Mapa pokrivenosti Direktive 2019/1937 #
EthicsPortal je izrađen da vašu organizaciju zadrži usklađenom s Direktivom (EU) 2019/1937, njezinim nacionalnim prijenosom u vašoj državi i GDPR-om. Svaka se značajka izravno povezuje sa zakonskim zahtjevom.
Ova je stranica mapa značajka-zahtjev: svaki članak Direktive povezan je s konkretnom mogućnošću EthicsPortala koja ga rješava. Za to kako EthicsPortal tumači dvosmislene odredbe tih članaka — prag od 50 radnika, što se računa kao „postupanje po prijavi s dužnom pažnjom”, obrazloženja čuvanja, pravnu osnovu prema GDPR-u, nadređenost nacionalnog prava — vidjeti zasebna tumačenja .
Svih 27 država članica EU-a prenijelo je Direktivu u nacionalno pravo. Vaša organizacija mora postupati u skladu s nacionalnim pravom u svojoj državi poslovanja — za konkretne nazive zakona, kazne i tijela za izvršenje pogledajte našu referencu zakoni o zaštiti prijavitelja nepravilnosti po državama . Ključni nacionalni propisi uključuju Loi Waserman (Francuska), HinSchG (Njemačka), D.Lgs. 24/2023 (Italija), Ley 2/2023 (Španjolska) i Zakon od 14. lipnja 2024. (Poljska).
Posljednje ažuriranje: 2026-05-17.
§1. Kanali za prijavu (čl. 8.) #
Organizacije s 50 ili više radnika moraju uspostaviti sigurne unutarnje kanale za prijavu.
| Zahtjev | Kako EthicsPortal to rješava |
|---|---|
| Siguran kanal za prijavu | Enkriptirani web-portal s jedinstvenom URL adresom po organizaciji |
| Povjerljivost identiteta prijavitelja | Enkripcija svih osobnih podataka od kraja do kraja, bez bilježenja IP adresa, automatsko uklanjanje metapodataka iz prenesenih datoteka |
| Dostupno svim radnicima | Web-bazirani portal radi na bilo kojem uređaju, bez instalacije aplikacije ili računa |
| Prilagodljivo organizaciji | Konfigurabilne kategorije, logotip i uvodna poruka |
§2. Postupci prijave (čl. 9.) #
| Zahtjev | Članak | Kako EthicsPortal to rješava |
|---|---|---|
| Imenovati nepristranu osobu ili odjel | Art. 9(1)(c) | Sustav dodjele predmeta s pristupom temeljenim na ulogama — samo ovlaštene osobe za rješavanje vide prijave |
| Potvrditi primitak unutar 7 dana | Art. 9(1)(b) | Automatsko praćenje rokova s obavijestima e-poštom osobama za rješavanje kada se rok od 7 dana približava ili je propušten |
| Postupanje po prijavi s dužnom pažnjom od strane imenovane osobe | Art. 9(1)(d) | Upravljanje predmetima s tijekom statusa (zaprimljeno, potvrđeno, u ispitivanju, zatvoreno), interne bilješke za suradnju osoba za rješavanje i potpun zapis aktivnosti |
| Pružiti povratnu informaciju unutar tri mjeseca | Art. 9(1)(f) | Automatsko praćenje roka od 3 mjeseca s upozorenjima o kašnjenju svim administratorima organizacije. Prijavitelji vide vremenski slijed na portalu i mogu provjeriti status u bilo kojem trenutku pomoću svojeg ID-a slučaja i pristupnog koda |
| Omogućiti usmenu prijavu (telefonom, glasovnom porukom ili fizičkim susretom na zahtjev) | Art. 9(2) | Konfigurabilni telefonski broj prikazan na portalu; osobe za rješavanje mogu bilježiti telefonske, usmene i pisane prijave izravno u sustavu |
| Informirati o mogućnostima vanjske prijave | Art. 9(1)(g) | Portal prikazuje informacije o pravu prijavitelja da se obrati nacionalnim nadležnim tijelima, uz pozivanje na Direktivu (EU) 2019/1937 |
§3. Opseg zaštite (čl. 4.) #
Direktiva štiti ne samo radnike, već i ugovaratelje, dobavljače, dioničare i druge treće strane.
EthicsPortal na portalu prikazuje jasne smjernice da je prijava otvorena radnicima, ugovarateljima, dobavljačima i svim drugim trećim stranama.
Obrazac za unos također pita prijavitelja — neobvezno — za njegov odnos prema organizaciji (sadašnji ili bivši radnik, ugovaratelj, dobavljač, kandidat za posao, dioničar ili drugo), preslikavajući kategorije osobnog opsega iz čl. 4., kako bi osobe za rješavanje mogle potvrditi da se zaštita primjenjuje. Pitanje se može preskočiti, pa anonimnost nikada ne ovisi o odgovoru na njega.
§4. Zabrana osvete (čl. 6., 19.–21.) #
Prijavitelji moraju biti obaviješteni da je osveta zabranjena zakonom.
EthicsPortal prikazuje obavijest o zabrani osvete na svakoj stranici portala, uz pozivanje na Direktivu (EU) 2019/1937, prije nego što prijavitelj pošalje prijavu.
Obrazac za unos dodatno omogućuje prijavitelju da neobvezno označi boji li se osvete ili je već suočen s njom. Kada je to postavljeno, prijava nosi istaknutu oznaku hitnosti u prikazu osobe za rješavanje, pa je predmet s povišenom zaštitom vidljiv na prvi pogled.
§5. Povjerljivost identiteta (čl. 16.) #
| Zahtjev | Kako EthicsPortal to rješava |
|---|---|
| Identitet se ne otkriva izvan ovlaštenog osoblja | Kontrola pristupa temeljena na ulogama — samo administratori, primarna dodijeljena osoba i izričito dodani sudionici (npr. pravna, kadrovska služba) mogu vidjeti prijavu. Osobe za rješavanje koje nisu administratori vide samo predmete kojima su dodijeljene ili u koje su dodane kao sudionici |
| Anonimnost osobe za rješavanje prema prijavitelju | Prijavitelji nepravilnosti u porukama vide „Osoba za rješavanje predmeta”, nikada stvarno ime ili e-poštu osobe za rješavanje |
| Osjetljivi podaci enkriptirani | Imena prijavitelja, podaci za kontakt, opisi prijava i tijela poruka enkriptirani su pri pohrani nedeterminističkom enkripcijom |
Bez obrade sadržaja prijave umjetnom inteligencijom. Povjerljivost prema Art. 16 proteže se na to koje treće strane vide prijavu. EthicsPortal ne prenosi sadržaj prijave, identitet prijavitelja ni komunikaciju predmeta nijednom velikom jezičnom modelu ni usluzi zaključivanja umjetne inteligencije — ni za kategorizaciju, ni za sažimanje, ni za prevođenje. Nijedan pružatelj umjetne inteligencije (OpenAI, Anthropic, Google, Mistral ili drugi) nije podizvršitelj obrade. Time se iz vašeg ugovora o obradi podataka uklanja jedna kategorija otkrivanja podizvršitelja obrade i iz vaše procjene učinka (DPIA) uklanjaju razmatranja iz Art. 22 (automatizirano donošenje odluka). Pogledajte popis podizvršitelja obrade za odgovarajući unos.
Dva dodatna razloga zbog kojih je ovo odluka razine povjerljivosti, a ne sklonost prema značajci:
- Bez izmišljanja u lancu dokaza o usklađenosti. Veliki jezični modeli proizvode vjerojatnosni izlaz. Sažetak koji kaže „ova prijava ne djeluje hitno” vjerojatnost je, a ne činjenica, i ne može se reproducirati ni revidirati. EthicsPortal deterministički bilježi sudionika, radnju i vremensku oznaku — zapis aktivnosti je dokaz, a ne nagađanje.
- Bez napadne površine za umetanje uputa u prijave prijavitelja. Unos prijavitelja po definiciji nije pouzdan. Njegovo usmjeravanje kroz veliki jezični model stvara kategoriju napada u kojoj upute ugrađene u tekst prijave mogu manipulirati izlazom okrenutim osobama za rješavanje (predloženi odgovori, sažeci, kategorizacija). EthicsPortal u potpunosti uklanja tu površinu time što ne provodi zaključivanje nad sadržajem prijave.
§6. Vođenje evidencije (čl. 18.) #
| Zahtjev | Kako EthicsPortal to rješava |
|---|---|
| Voditi evidenciju o svakoj prijavi | Potpun zapis aktivnosti svih radnji: slanja, promjene statusa, poruke, dodjele i pregledi prijava |
| Evidencija pohranjena sigurno | Sva osjetljiva polja enkriptirana pri pohrani |
| Evidencija dostupna za dohvat | Potpun izvoz predmeta u PDF uključujući metapodatke, niz poruka, popis priloga i zapis aktivnosti. PDF izvješće o usklađenosti na razini organizacije dostupno revizorima — uključuje kontrolni popis Direktive, SLA pokazatelje i sažetak zaštite podataka bez otkrivanja osjetljivih podataka iz prijava |
| Brisati evidenciju kada više nije potrebna | Konfigurabilno razdoblje čuvanja podataka (12, 24, 36 ili 60 mjeseci) uz automatsko brisanje zatvorenih prijava kojima je isteklo |
§7. Usklađenost s GDPR-om #
| Zahtjev | Članak | Kako EthicsPortal to rješava |
|---|---|---|
| Pravna osnova za obradu | čl. 6. st. 1. t. (c) | Obrada je nužna radi usklađenosti s Direktivom (EU) 2019/1937 |
| Otkrivanje obrade podataka | čl. 13./14. | Obavijest o privatnosti prikazana na obrascu za slanje prijave prije nego što prijavitelj pošalje prijavu |
| Smanjenje količine podataka | čl. 5. st. 1. t. (c) | Prikupljaju se samo bitna polja; ime i kontakt prijavitelja neobvezni su |
| Ograničenje pohrane | čl. 5. st. 1. t. (e) | Konfigurabilno razdoblje čuvanja po organizaciji uz automatsko brisanje |
| Cjelovitost i povjerljivost | čl. 5. st. 1. t. (f) | Enkripcija pri pohrani za sve osjetljive podatke; bez bilježenja IP adresa na rutama portala; metapodaci datoteka automatski se uklanjaju |
| Pravo na brisanje | čl. 17. | Automatsko brisanje na temelju čuvanja; ručno brisanje dostupno administratorima |
§8. Sigurnosne mjere #
| Mjera | Pojedinost |
|---|---|
| Enkripcija pri pohrani | Svi opisi prijava, imena prijavitelja, podaci za kontakt i tijela poruka enkriptirani su nedeterminističkom enkripcijom |
| Bez bilježenja IP adresa | IP adrese prijavitelja nikada se ne pohranjuju — ograničavanje brzine koristi nepovratne jednosmjerne sažetke |
| Uklanjanje metapodataka datoteka | EXIF podaci (GPS koordinate, model fotoaparata, podaci o autoru) automatski se uklanjaju iz prenesenih slika prije pohrane |
| Anonimnost identiteta osobe za rješavanje | Prijavitelji nepravilnosti nikada ne vide stvarno ime osobe za rješavanje — poruke prikazuju „Osoba za rješavanje predmeta” |
| Ograničavanje brzine | Krajnje točke javnog portala imaju ograničenu brzinu radi sprječavanja zlouporabe |
| Kontrola pristupa | Dozvole temeljene na ulogama osiguravaju da samo ovlaštene osobe za rješavanje mogu vidjeti prijave; osobe za rješavanje koje nisu administratori vide samo predmete kojima su dodijeljene ili u koje su dodane kao sudionici |
| Zapis aktivnosti | Svaka se radnja bilježi s vremenskom oznakom, sudionikom i vrstom radnje — dopušta samo dodavanje i uvijek je dostupan za regulatorni pregled |
§9. Što vaša organizacija još treba učiniti #
EthicsPortal rješava tehničke zahtjeve. Vaša je organizacija odgovorna za:
- Imenovanje osobe za rješavanje prijava — imenujte barem jednu osobu odgovornu za rješavanje prijava
- Internu politiku — usvojite politiku zaštite prijavitelja nepravilnosti i priopćite je radnicima
- Osposobljavanje — osigurajte da imenovane osobe za rješavanje razumiju obveze povjerljivosti
- Provedbu zabrane osvete — osigurajte da uprava razumije da je osveta povreda zakona
- Privolu za otkrivanje identiteta — ako se identitet prijavitelja mora podijeliti izvan ovlaštenih osoba za rješavanje (npr. s tijelima kaznenog progona), prethodno pribavite izričitu privolu prijavitelja (Art. 16(2) )
- Informiranje radnika — podijelite URL portala s radnicima (EthicsPortal pruža poveznicu za dijeljenje i QR kôd)
Pitanja? #
Administratori mogu preuzeti PDF izvješće o usklađenosti izravno sa stranice postavki portala. Uključuje potpun kontrolni popis Direktive (EU) 2019/1937, SLA pokazatelje, mjere zaštite podataka i sažetak zapisa aktivnosti — spremno za predaju revizoru bez otkrivanja ikakvih osjetljivih podataka iz prijava.
Za zahtjeve specifične za pojedinu državu (kazne, razdoblja čuvanja, tijela za izvršenje) pogledajte našu referencu zakoni o zaštiti prijavitelja nepravilnosti po državama .
Za to kako EthicsPortal tumači dvosmislene odredbe Direktive (prag od 50 radnika, što se računa kao „postupanje po prijavi s dužnom pažnjom”, obrazloženja čuvanja, pravnu osnovu prema GDPR-u), pogledajte tumačenja Direktive 2019/1937 .
Ako vam je potrebna pomoć u dokazivanju usklađenosti vašem pravnom timu ili regulatoru, obratite nam se na legal@ethicsportal.eu .
Posljednje ažuriranje: