Prijeđi na glavni sadržaj Zakonska obveza EU-a za organizacije s 50 ili više radnika

Tumačenja Direktive 2019/1937 #

Ovaj dokument bilježi kako EthicsPortal tumači odredbe Direktive (EU) 2019/1937 koje dopuštaju više od jednog razumnog čitanja. Napisan je za službenike za usklađenost, službenike za zaštitu podataka i pravne savjetnike koji moraju donositi obranjive operativne odluke u nedostatku mjerodavnih smjernica za tumačenje Europske komisije ili Suda Europske unije.

To je živući dokument. Kada Sud Europske unije, Europski odbor za zaštitu podataka ili nadležno nacionalno tijelo izda obvezujuće tumačenje koje se razlikuje od stajališta u nastavku, ovaj se dokument revidira, a prethodno se stajalište čuva u dnevniku izmjena.

Za mapu značajka-zahtjev — koja mogućnost EthicsPortala ispunjava svaku odredbu Direktive — vidjeti mapu pokrivenosti Direktive 2019/1937 . Dva su dokumenta komplementarna: mapa pokrivenosti dokumentira što proizvod čini; ovaj dokument dokumentira kako čitamo zakon.

Posljednje ažuriranje: travanj 2026.

§1. Opseg i izvori #

Ova metodologija obrađuje Direktivu (EU) 2019/1937 kako je prenesena u nacionalno pravo 27 država članica EU-a. Kada je nacionalni prijenos stroži od Direktive, nacionalno pravilo vrijedi za organizacije koje posluju u toj jurisdikciji (vidjeti §9).

Mjerodavni izvori, prema redoslijedu prvenstva:

  1. Sam tekst Direktive — Direktiva (EU) 2019/1937 od 23. listopada 2019., uključujući njezine uvodne izjave.
  2. Nacionalni propisi kojima je prenesena — obvezujući unutar svake države članice. Za konkretne nazive zakona i tijela za izvršenje vidjeti zakoni o zaštiti prijavitelja nepravilnosti po državama .
  3. Presude Suda Europske unije — obvezujuće u cijeloj Uniji.
  4. Smjernice Europskog odbora za zaštitu podataka — za aspekte zaštite podataka (članak 17., GDPR sloj).
  5. Smjernice nacionalnih nadležnih tijela — uvjerljive unutar države koja ih izdaje.

Ovaj je dokument operativna metodologija. Nije pravni savjet. Organizacije bi trebale provjeriti tumačenja s nadležnim pravnim savjetnikom u svojoj jurisdikciji prije nego što se na njih oslone u reviziji ili sudskom postupku.

§2. Konvencije #

Direktiva propisuje uvodi izjavu o tome što tekst Direktive zahtijeva.

U praksi to znači uvodi tumačenje EthicsPortala kada tekst dopušta više od jednog čitanja.

EthicsPortal to provodi uvodi kako se tumačenje očituje u proizvodu. Operateri koji odaberu drukčije tumačenje možda će morati u skladu s time prilagoditi konfiguraciju ili postupke.

Sve upute na članke odnose se na Direktivu (EU) 2019/1937, osim ako nije drukčije navedeno.

§3. Prag od 50 radnika (čl. 8.) #

Pitanje. Članak 8. stavak 3. zahtijeva od subjekata s „50 ili više radnika” da uspostave unutarnje kanale za prijavu. Direktiva ne definira kako se izračunava broj zaposlenih, kako se broje radnici u nepunom radnom vremenu i privremeni radnici te primjenjuje li se prag po pravnoj osobi ili po grupi društava.

Direktiva propisuje da „pravni subjekti u privatnom sektoru s 50 ili više radnika” moraju postupati u skladu (čl. 8. st. 3.). Uvodna izjava 48. pojašnjava da se prag izračunava „u skladu s nacionalnim pravom kojim se prenosi relevantno pravo Unije”.

U praksi to znači da izračun slijedi postojeća pravila svake države članice o brojanju radne snage za potrebe zapošljavanja i socijalnog osiguranja. Ta se pravila razlikuju:

Prag se izračunava po pravnoj osobi, a ne po grupi društava. Matica i podružnica zasebni su subjekti za potrebe članka 8., osim ako nacionalno pravo ne propisuje drukčije. Članak 8. stavak 6. dopušta dijeljenje resursa unutar grupe do 249 radnika — ali obveza uspostave kanala i dalje se aktivira po subjektu iznad praga od 50 radnika.

Ugovaratelji, privremeni radnici preko agencije i pripravnici općenito se ubrajaju u prag kada potpadaju pod nacionalnu definiciju „radnika” — koja je šira od „zaposlenika” prema pravu EU-a. Sud Europske unije dosljedno je smatrao da pojam „radnik” u pravu EU-a uključuje svaku osobu koja obavlja usluge za drugoga i pod njegovim vodstvom u zamjenu za naknadu (vidjeti Lawrie-Blum, C-66/85).

EthicsPortal to provodi time što ne ograničava pristup brojem zaposlenih. Svaka organizacija može aktivirati portal bez obzira na veličinu. Organizacije ispod praga od 50 radnika često upravljaju portalima dobrovoljno — radi upravljanja rizikom, jer nacionalno pravo primjenjuje niži prag na njihov sektor (npr. financijske usluge) ili jer to nalaže politika grupe.

§4. Rok za potvrdu primitka (čl. 9. st. 1. t. (b)) #

Pitanje. Članak 9. stavak 1. točka (b) zahtijeva potvrdu primitka „u roku od sedam dana od tog primitka”. Direktiva ne navodi kalendarske ili radne dane, niti kada brojač počinje za prijave zaprimljene izvan radnog vremena.

Direktiva propisuje potvrdu primitka „u roku od sedam dana od primitka”. Nije dana daljnja kvalifikacija.

U praksi to znači sedam kalendarskih dana, brojeno od trenutka kada prijava uđe u kanal. To slijedi opće načelo da rokovi u pravu Unije teku u kalendarskim danima osim ako nije izričito navedeno drukčije (Uredba (EEZ, Euratom) br. 1182/71, čl. 3.). Države članice koje su prenijele Direktivu dosljedno tretiraju rok od sedam dana kao kalendarske dane (HinSchG §17(1)2; D.Lgs. 24/2023 čl. 5(1)(d); Loi Waserman čl. 8.).

Prijava poslana u 23:59 u nedjelju jest prijava zaprimljena te nedjelje. Brojač od sedam dana počinje sljedećeg dana (dan 1. = ponedjeljak) i istječe na kraju sedmog dana. To slijedi članak 3. stavak 1. Uredbe 1182/71, koji propisuje da kada se rok izražava u danima, dan događaja koji ga pokreće ne računa se.

Potvrda primitka nije isto što i sadržajni odgovor. Potvrda primitka potvrda je da je prijava zaprimljena i evidentirana. Ne mora sadržavati nikakvu ocjenu osnovanosti prijave ni ime osobe koja je rješava.

EthicsPortal to provodi slanjem automatske potvrde primitka prijavitelju u trenutku slanja, prikazane na portalu i (kada su navedeni podaci za kontakt) e-poštom. Potvrda primitka uključuje oznaku predmeta i zakonski rok od tri mjeseca za povratnu informaciju. Organizacije konfigurirane za ručnu potvrdu primitka primaju upozorenja o roku 48 sati prije isteka roka od sedam dana i na dan isteka.

§5. Rok za povratnu informaciju (čl. 9. st. 1. t. (f)) #

Pitanje. Članak 9. stavak 1. točka (f) zahtijeva povratnu informaciju „koja ne premašuje tri mjeseca od potvrde primitka ili, ako prijavitelju nije poslana potvrda primitka, tri mjeseca od isteka roka od sedam dana nakon podnošenja prijave”. Direktiva ne definira što se kvalificira kao „povratna informacija”.

Direktiva propisuje da „povratna informacija” znači „pružanje prijavitelju informacija o predviđenoj ili poduzetoj radnji kao postupanju po prijavi i o razlozima za to postupanje” (čl. 5. t. 13.).

U praksi to znači da je povratna informacija sadržajna. Daljnja potvrda primitka ili izjava da je prijava „u pregledu” nije povratna informacija u smislu članka 9. stavka 1. točke (f). Prijavitelj ima pravo do isteka roka od tri mjeseca saznati koju radnju organizacija namjerava poduzeti (ili je poduzela) i obrazloženje iza nje.

Povratna informacija ne mora biti konačna odluka. Organizacija može navesti da je predmet još uvijek u ispitivanju, pod uvjetom da također navede što je dosad učinjeno, koji se daljnji koraci planiraju i kada se može očekivati daljnje ažuriranje. Zahtijevaju se informacije dovoljne da prijavitelj ocijeni postupa li organizacija s prijavom ozbiljno.

Brojač od tri mjeseca teče od datuma potvrde primitka, a ne od datuma slanja prijave. Kada je potvrda primitka odgođena, prozor za povratnu informaciju u skladu s time se skraćuje — najkasniji dopušteni datum povratne informacije jest tri mjeseca i sedam dana nakon podnošenja prijave.

EthicsPortal to provodi praćenjem obaju rokova (7 dana za potvrdu primitka, 3 mjeseca za povratnu informaciju) po predmetu i isticanjem upozorenja o kašnjenju svim administratorima organizacije. Povratna informacija prijavitelju isporučuje se kroz dvosmjerni kanal za razmjenu poruka portala, koji čuva anonimnost prijavitelja kada nije otkrio svoj identitet.

§6. Postupanje po prijavi s dužnom pažnjom (čl. 9. st. 1. t. (d)) #

Pitanje. Članak 9. stavak 1. točka (d) zahtijeva „postupanje po prijavi s dužnom pažnjom od strane imenovane osobe ili odjela iz točke (c)”. „S dužnom pažnjom” nije definirano.

Direktiva propisuje da postupanje po prijavi znači „svaka radnja koju poduzima primatelj prijave ili bilo koje nadležno tijelo radi procjene točnosti navoda iz prijave i, prema potrebi, radi rješavanja prijavljene povrede” (čl. 5. t. 12.).

U praksi to znači da postupanje po prijavi s dužnom pažnjom ima tri minimalne operativne komponente:

  1. Procjena. Dokumentirana ocjena toga bi li navodi, ako su istiniti, predstavljali povredu unutar materijalnog opsega Direktive (čl. 2.) ili nacionalnog prijenosa.
  2. Ispitivanje razmjerno navodu. Koraci ispitivanja srazmjerni ozbiljnosti navodne povrede, snazi dokaza i potencijalnoj šteti. Ne zahtijeva svaka prijava potpuno ispitivanje; prijava bez ikakvih konkretnih pojedinosti može se procijeniti i zatvoriti uz dokumentirano obrazloženje. Prijava s konkretnim, potkrijepljenim pojedinostima zahtijeva više.
  3. Istovremena evidencija. Poduzete radnje, donesene odluke i njihovo obrazloženje moraju se bilježiti u trenutku nastanka. Postupanje s dužnom pažnjom koje ne ostavlja trag ne razlikuje se od nepostojanja postupanja.

„S dužnom pažnjom” objektivan je standard. Ne ispunjava se samo subjektivnom dobrom vjerom. Organizacija koja redovito zatvara prijave bez procjene ili kojoj treba mjesecima da otvori spis ne postupa s dužnom pažnjom čak i ako vjeruje da postupa.

EthicsPortal to provodi pružanjem radnog tijeka upravljanja predmetima s prijelazima statusa (zaprimljeno, potvrđeno, u ispitivanju, zatvoreno), internim bilješkama za suradnju osoba za rješavanje i zapisom aktivnosti koji dopušta samo dodavanje, a koji bilježi svaku radnju s vremenskom oznakom i sudionikom. Zapis aktivnosti primarni je dokaz dužne pažnje u reviziji ili regulatornom pregledu.

§7. Povjerljivost identiteta (čl. 16.) #

Pitanje. Članak 16. stavak 1. zahtijeva da se identitet prijavitelja ne otkriva nikome izvan ovlaštenih članova osoblja. Direktiva ne navodi proteže li se „identitet” na metapodatke koji bi mogli identificirati prijavitelja (IP adrese, otisci preglednika, metapodaci o autorstvu datoteka, obrasci vremenskih oznaka).

Direktiva propisuje da se „identitet prijavitelja ne otkriva nikome izvan ovlaštenih članova osoblja nadležnih za primanje prijava ili postupanje po njima, bez izričite privole te osobe” (čl. 16. st. 1.).

U praksi to znači da se „identitet” čita funkcionalno: uključuje svaku informaciju koja, sama ili u kombinaciji, omogućuje identifikaciju prijavitelja. To je čitanje usklađeno s definicijom osobnih podataka prema GDPR-u (Uredba (EU) 2016/679, čl. 4. t. 1.) i s dosljednim stajalištem Europskog odbora za zaštitu podataka da je mogućnost identifikacije ovisna o kontekstu.

Sljedeće se tretira kao informacija o identitetu:

Organizacije koje čuvaju IP adrese prijavitelja ili koje prihvaćaju prenesene datoteke bez uklanjanja metapodataka izložene su propustu povjerljivosti koji je tehnički povreda članka 16. čak i ako se ime prijavitelja nikada ne otkrije.

EthicsPortal to provodi time što nikada ne pohranjuje IP adrese prijavitelja (ograničavanje brzine koristi nepovratne jednosmjerne sažetke), uklanja EXIF i metapodatke dokumenata iz svih prenesenih datoteka prije pohrane te enkriptira polja identiteta prijavitelja pri pohrani nedeterminističkom enkripcijom (tako da čak ni potpun pristup bazi podataka ne omogućuje skupno traženje po imenu).

§8. Razdoblje čuvanja (čl. 18.) #

Pitanje. Članak 18. stavak 1. zahtijeva da se evidencija o prijavama čuva „samo onoliko dugo koliko je nužno i razmjerno radi usklađivanja sa zahtjevima nametnutima ovom Direktivom ili drugim zahtjevima nametnutima pravom Unije ili nacionalnim pravom”. Direktiva ne navodi najdulje razdoblje.

Direktiva propisuje standard „nužno i razmjerno”, vezan uz svrhe usklađenosti.

U praksi to znači da čuvanje mora biti opravdano s obzirom na konkretnu pravnu ili operativnu svrhu, vremenski ograničeno i dokumentirano u evidenciji organizacije o zaštiti podataka (čl. 30. GDPR-a). U nedostatku tekućeg ispitivanja, sudskog postupka ili konkretnog zakonskog zahtjeva, čuvanje nakon zatvaranja predmeta postaje sve teže opravdati.

Uobičajena opravdanja i njihova tipična trajanja:

SvrhaTipično čuvanje
Aktivan predmet (od zaprimanja do zatvaranja)Trajanje predmeta
Naknadno ispitivanje ili sudski postupakDo konačnog rješenja
Zapis aktivnosti za regulatornu revizijuRazdoblje određeno sektorskim propisom (uobičajeno 5 godina za financijske usluge)
Zaštita od zahtjeva zbog osvete (čl. 21.)Nacionalni zastarni rok za radne sporove (tipično 2–5 godina)
Statističko izvješćivanje prema čl. 27. st. 2.Samo anonimizirani podaci; osobne podatke treba svesti na najmanju mjeru ili izbrisati

Nacionalni prijenos može odrediti konkretna razdoblja. Primjeri:

Paušalno razdoblje čuvanja odabrano radi praktičnosti („sve čuvamo 10 godina”) nije usklađeno ni s člankom 18. ni s člankom 5. stavkom 1. točkom (e) GDPR-a. Čuvanje mora biti vezano uz svrhu.

EthicsPortal to provodi pružanjem konfigurabilnih razdoblja čuvanja (12, 24, 36, 60 mjeseci) uz automatsko brisanje zatvorenih prijava na kraju konfiguriranog razdoblja. Zadana je postavka najkraće razdoblje koje ispunjava najčešće zahtjeve nacionalnih prijenosa. Operateri u sektorima s duljim zakonskim obvezama čuvanja konfiguriraju razdoblje u skladu s time.

§9. Pravna osnova za obradu (interakcija s GDPR-om) #

Pitanje. Članak 17. Direktive zahtijeva da obrada osobnih podataka bude u skladu s GDPR-om. Sama Direktiva nije pravna osnova prema članku 6. GDPR-a — voditelj obrade mora utvrditi koja se konkretna osnova primjenjuje.

Direktiva propisuje da se obrada „provodi u skladu s Uredbom (EU) 2016/679” (čl. 17.).

U praksi to znači da je pravna osnova članak 6. stavak 1. točka (c) GDPR-a — pravna obveza, kada organizacija podliježe pravnoj obvezi uspostave i upravljanja kanalom za prijavu. Za organizacije iznad praga od 50 radnika (ili ispod njega kada sektorski propis nameće obvezu), članak 6. stavak 1. točka (c) ispravna je i dostatna osnova. Privola prijavitelja nije potrebna i ne bi se trebala tražiti — tretiranje obrade kao da se temelji na privoli bilo bi obmanjujuće i stvorilo bi teoretsko pravo na povlačenje koje voditelj obrade ne može ispuniti.

Za organizacije koje dobrovoljno upravljaju kanalom za prijavu (ispod praga od 50 radnika i bez sektorskog naloga), pravna je osnova članak 6. stavak 1. točka (f) — legitimni interes, podložno dokumentiranom testu ravnoteže. Legitimni interes u sprječavanju i otkrivanju nepravilnosti unutar organizacije dobro je utvrđen i priznat u nacionalnim smjernicama diljem država članica.

Posebne kategorije osobnih podataka (čl. 9. GDPR-a) mogu se pojaviti usputno u prijavama — prijava diskriminacije može otkriti podatke o zdravlju ili etničkom podrijetlu. Pravna osnova za podatke iz članka 9. tipično je članak 9. stavak 2. točka (g) — značajan javni interes, pod uvjetom da je obrada razmjerna i popraćena posebnim mjerama zaštite. Prijave koje otkrivaju kaznena djela (čl. 10. GDPR-a) obrađuju se na temelju odgovarajuće osnove iz članka 10. u nacionalnom pravu.

EthicsPortal to provodi dokumentiranjem članka 6. stavka 1. točke (c) kao zadane pravne osnove u Ugovoru o obradi podataka i obavijesti o privatnosti. Operateri ispod zakonskog praga prilagođavaju obavijest o privatnosti tako da odražava članak 6. stavak 1. točku (f) i zasebno bilježe svoj test ravnoteže.

§10. Nadređenost nacionalnog prava (čl. 25.) #

Pitanje. Članak 25. stavak 1. propisuje da države članice mogu uvesti ili zadržati odredbe „povoljnije za prava prijavitelja” od onih utvrđenih Direktivom. Direktiva ne uređuje kako bi operateri trebali rješavati sukobe kada je nacionalno pravo strože.

Direktiva propisuje u članku 25. stavku 1. da „države članice mogu uvesti ili zadržati odredbe povoljnije za prava prijavitelja od onih utvrđenih ovom Direktivom, ne dovodeći u pitanje članak 22. [prava osoba na koje se prijava odnosi] i članak 23. stavak 2. [kazne za svjesno lažne prijave]”.

U praksi to znači da kada je nacionalni prijenos stroži od Direktive, nacionalno pravo vrijedi za organizacije koje posluju u toj jurisdikciji. Ne postoji mogućnost oslanjanja na minimum Direktive kada je lokalno pravilo strože. Direktiva postavlja donju granicu, a ne gornju.

Praktični primjeri strožih nacionalnih pravila:

Za operatere u više država, operativno je pravilo: u svakoj jurisdikciji primijeniti strože od (Direktiva, nacionalno pravo). To ponekad znači da politika grupe postavlja jedinstveno visoki standard koji odgovara najstrožem nacionalnom pravilu u bilo kojoj državi poslovanja. To je općenito poželjnije od održavanja usporednih politika po jurisdikciji, čime se povećavaju administrativno opterećenje i rizik primjene pogrešnog pravila.

EthicsPortal to provodi zadanom postavkom na najstroži zajednički nazivnik diljem 27 država članica: najkraći prozori za potvrdu primitka i povratnu informaciju, najuže razdoblje čuvanja, najpotpunija obavijest o zabrani osvete. Operateri u jednoj jurisdikciji mogu ublažiti pojedine zadane postavke kako bi odgovarale nacionalnim pravilima, ali osnovica je kalibrirana iznad minimuma Direktive u svakom članku gdje ga nacionalni propisi premašuju.

§11. Anonimna prijava (čl. 6. st. 2., čl. 9. st. 1. t. (e)) #

Pitanje. Mora li organizacija prihvaćati anonimne prijave?

Direktiva propisuje u članku 6. stavku 2. da „ne utječe na ovlast država članica da odluče hoće li ili neće zahtijevati od pravnih subjekata […] da prihvaćaju i postupaju po anonimnim prijavama”. Članak 9. stavak 1. točka (e) zahtijeva „postupanje po prijavi s dužnom pažnjom, kada je to predviđeno nacionalnim pravom, u pogledu anonimne prijave”.

U praksi to znači da nacionalno pravo odlučuje. Dva stajališta:

Tri posljedice.

Nakon prihvaćanja, obvezujuće. Organizacija koja objavi „prihvaćamo anonimne prijave” pokrenula je članak 9. stavak 1. točku (e). Obveza se veže uz politiku, ne uz pojedinačnu prijavu.

Zabrana osvete primjenjuje se tek od identifikacije. Članak 21. ne može zaštititi nepoznatu osobu. Radnje poduzete tijekom anonimnog razdoblja nisu retroaktivno pokrivene.

Anonimnost je tehnički standard, a ne obećanje. Obrazac koji prikuplja e-poštu nije anoniman. Kanal koji bilježi IP adrese nije anoniman. Povjerljivost iz članka 16. štiti poznati identitet od otkrivanja; anonimnost sprječava identifikaciju.

EthicsPortal to provodi prihvaćanjem anonimnih prijava prema zadanim postavkama. Podaci za kontakt nisu potrebni. IP adrese nikada se ne pohranjuju (ograničavanje brzine koristi nepovratne jednosmjerne sažetke). Metapodaci datoteka uklanjaju se prije pohrane. Operateri mogu konfigurirati portal da zahtijeva podatke za kontakt kada nacionalno pravo nalaže identificirane prijave. Prihvaćene anonimne prijave slijede isti radni tijek predmeta, rokove i standard postupanja s dužnom pažnjom kao i identificirane.

Dnevnik izmjena #

Ispravci i upiti #

Ovaj je dokument namijenjen citiranju i oslanjanju. Ako uočite pogrešku, stajalište koje je u suprotnosti s presudom Suda Europske unije, mišljenjem Europskog odbora za zaštitu podataka ili obvezujućim nacionalnim smjernicama, obratite se na legal@ethicsportal.eu . Ispravci se objavljuju u dnevniku izmjena s datumom i sažetkom promjene.

Za pitanja o tome kako se određeno tumačenje primjenjuje na okolnosti vaše organizacije, ovaj dokument nije zamjena za pravni savjet. Obratite se nadležnom pravnom savjetniku u svojoj jurisdikciji.

Posljednje ažuriranje: