Săriți la conținutul principal Cerut de Legea 361/2022 pentru organizațiile cu 50+ lucrători

Metodologie #

Acest document consemnează modul în care EthicsPortal interpretează dispozițiile Directivei (UE) 2019/1937 care admit mai mult de o lectură rezonabilă. Este redactat pentru responsabili de conformitate, responsabili cu protecția datelor și consilieri juridici care trebuie să ia decizii operaționale defensabile în absența unor orientări interpretative autoritative din partea Comisiei Europene sau a Curții de Justiție.

Este un document viu. Dacă Curtea de Justiție, Comitetul european pentru protecția datelor sau o autoritate națională competentă emite o interpretare obligatorie diferită de pozițiile de mai jos, acest document este revizuit, iar poziția anterioară este păstrată în istoricul reviziilor.

Pentru harta funcționalitate-cerință - adică ce capabilitate EthicsPortal satisface fiecare dispoziție a Directivei - consultați pagina de conformitate. Cele două documente sunt complementare: conformitatea descrie ce face produsul; metodologia descrie cum citim legea.

Ultima actualizare: aprilie 2026.

§1. Domeniu de aplicare și surse #

Această metodologie privește Directiva 2019/1937 astfel cum a fost transpusă în dreptul național al celor 27 de state membre ale UE. Atunci când transpunerea națională este mai strictă decât Directiva, regula națională prevalează pentru organizațiile care operează în jurisdicția respectivă (vezi §10).

Surse cu autoritate, în ordinea priorității:

  1. Textul Directivei - Directiva (UE) 2019/1937 din 23 octombrie 2019, inclusiv considerentele sale.
  2. Legile naționale de transpunere - obligatorii în fiecare stat membru. Consultați legislația privind avertizorii, pe țări pentru denumirile actelor normative și autoritățile de aplicare.
  3. Hotărârile Curții de Justiție a Uniunii Europene - obligatorii la nivelul Uniunii.
  4. Orientările Comitetului european pentru protecția datelor - pentru aspectele privind protecția datelor (articolul 17 și suprapunerea cu GDPR).
  5. Orientările autorităților naționale competente - persuasive în statul emitent.

Acest document descrie metodologia operațională. Nu reprezintă consultanță juridică. Organizațiile ar trebui să valideze interpretările cu consilieri juridici competenți în jurisdicția lor înainte de a se baza pe ele în audit sau litigiu.

§2. Convenții #

Directiva prevede introduce o afirmație despre ceea ce cere textul Directivei.

În practică, asta înseamnă introduce interpretarea EthicsPortal acolo unde textul permite mai mult de o lectură.

EthicsPortal implementează asta prin introduce modul în care interpretarea se manifestă în produs. Operatorii care aleg o interpretare diferită pot avea nevoie să ajusteze configurația sau procedurile.

Toate referințele la articole privesc Directiva 2019/1937, dacă nu se precizează altfel.

§3. Pragul de 50 de lucrători (art. 8) #

Întrebarea. Articolul 8 alineatul (3) cere entităților cu „50 sau mai mulți lucrători” să instituie canale interne de raportare. Directiva nu definește cum se calculează efectivul, cum se iau în calcul lucrătorii part-time și temporari sau dacă pragul se aplică pe persoană juridică ori pe grup.

Directiva prevede că „entitățile juridice din sectorul privat cu 50 sau mai mulți lucrători” trebuie să se conformeze (art. 8 alin. 3). Considerentul 48 clarifică faptul că pragul se calculează „în conformitate cu dreptul intern de transpunere a dreptului relevant al Uniunii”.

În practică, asta înseamnă că calculul urmează regulile existente ale fiecărui stat membru privind numărarea forței de muncă în materia ocupării și securității sociale. Aceste reguli diferă:

Pragul se calculează pe persoană juridică, nu pe grup. O societate-mamă și o filială sunt entități distincte în sensul articolului 8, dacă legea națională nu prevede altfel. Articolul 8 alineatul (6) permite resurse partajate în cadrul unui grup de până la 249 de lucrători, dar obligația de a institui un canal se declanșează tot pe entitate, odată depășit pragul de 50 de lucrători.

Contractorii, lucrătorii temporari și stagiarii sunt, în general, incluși în prag atunci când intră în definiția națională a „lucrătorului” - care este mai largă decât „salariatul” în dreptul UE. Curtea de Justiție a statuat în mod constant că noțiunea de „lucrător” în dreptul UE include orice persoană care prestează servicii pentru și sub autoritatea alteia, în schimbul unei remunerații (a se vedea Lawrie-Blum, C-66/85).

EthicsPortal implementează asta prin faptul că nu condiționează accesul de numărul de lucrători. Orice organizație poate pune în funcțiune un portal indiferent de dimensiune. Organizațiile sub pragul de 50 de lucrători operează adesea voluntar astfel de canale - pentru managementul riscului, deoarece legea națională impune un prag mai mic sectorului lor (de exemplu, serviciile financiare) sau pentru că politica de grup o cere.

§4. Termenul pentru confirmarea primirii (art. 9 alin. 1 lit. b) #

Întrebarea. Articolul 9 alineatul (1) litera (b) cere confirmarea primirii „în termen de șapte zile de la primire”. Directiva nu precizează dacă este vorba de zile calendaristice sau lucrătoare și nici când începe să curgă termenul pentru raportările primite în afara programului de lucru.

Directiva prevede confirmarea primirii „în termen de șapte zile de la primire”. Nu există alte calificări.

În practică, asta înseamnă șapte zile calendaristice, calculate din momentul în care raportarea intră în canal. Aceasta urmează principiul general potrivit căruia termenele din dreptul Uniunii curg în zile calendaristice dacă nu se prevede în mod expres altfel (Regulamentul (CEE, Euratom) nr. 1182/71, art. 3). Statele membre care au transpus Directiva au tratat în mod constant termenul de șapte zile ca termen în zile calendaristice (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5 alin. 1 lit. d; Loi Waserman art. 8).

O raportare transmisă la 23:59 într-o duminică este o raportare primită în acea duminică. Termenul de șapte zile începe în ziua următoare (ziua 1 = luni) și expiră la finalul celei de-a șaptea zile. Acest lucru urmează articolului 3 alineatul (1) din Regulamentul 1182/71, care prevede că, dacă perioada este exprimată în zile, ziua evenimentului care declanșează termenul nu se ia în calcul.

Confirmarea primirii nu este același lucru cu răspunsul pe fond. Confirmarea primirii este o confirmare că raportarea a fost primită și înregistrată. Nu trebuie să conțină o evaluare a fondului și nici numele persoanei care gestionează cazul.

EthicsPortal implementează asta prin trimiterea unei confirmări automate către persoana care raportează în momentul transmiterii, afișată în portal și, atunci când sunt furnizate date de contact, și prin e-mail. Confirmarea include referința cazului și termenul legal de 3 luni pentru feedback. Organizațiile configurate pentru confirmare manuală primesc alerte cu 48 de ore înainte de expirarea termenului de 7 zile și în ziua expirării.

§5. Termenul pentru feedback (art. 9 alin. 1 lit. f) #

Întrebarea. Articolul 9 alineatul (1) litera (f) cere feedback „în termen de cel mult trei luni de la confirmarea primirii sau, dacă nu a fost trimisă o confirmare, în termen de trei luni de la expirarea perioadei de șapte zile de la efectuarea raportării”. Directiva nu definește ce califică drept „feedback”.

Directiva prevede că „feedback” înseamnă „furnizarea către persoana care raportează a unor informații privind acțiunea preconizată sau luată în continuarea raportării și motivele acesteia” (art. 5 pct. 13).

În practică, asta înseamnă că feedbackul trebuie să fie substanțial. O nouă confirmare a primirii sau o formulare de tipul „raportarea este în curs de analiză” nu reprezintă feedback în sensul articolului 9 alineatul (1) litera (f). Persoana care raportează are dreptul să știe, până la expirarea termenului de 3 luni, ce acțiune intenționează organizația să întreprindă sau a întreprins și de ce.

Feedbackul nu trebuie să fie o concluzie finală. O organizație poate spune că situația este încă investigată, cu condiția să precizeze ce a fost făcut până atunci, ce pași urmează și când poate fi așteptată o nouă actualizare. Ceea ce se cere este o informație suficientă pentru ca persoana care raportează să poată evalua dacă organizația tratează raportarea cu seriozitate.

Termenul de trei luni curge de la data confirmării primirii, nu de la data transmiterii raportării. Dacă confirmarea este întârziată, fereastra pentru feedback se scurtează în mod corespunzător - ultima dată permisă pentru feedback este la trei luni și șapte zile după transmiterea raportării.

EthicsPortal implementează asta prin urmărirea ambelor termene (confirmarea în 7 zile, feedbackul în 3 luni) pentru fiecare caz și prin afișarea alertelor de întârziere tuturor administratorilor organizației. Feedbackul către persoana care raportează este transmis prin canalul de mesagerie bidirecțional din portal, care păstrează anonimatul atunci când identitatea nu a fost dezvăluită.

§6. Urmărirea diligentă (art. 9 alin. 1 lit. d) #

Întrebarea. Articolul 9 alineatul (1) litera (d) cere o „urmărire diligentă de către persoana sau compartimentul desemnat prevăzut la litera (c)”. Termenul „diligentă” nu este definit.

Directiva prevede că follow-up-ul înseamnă „orice acțiune întreprinsă de destinatarul unei raportări sau de orice autoritate competentă pentru a verifica exactitatea susținerilor din raportare și, dacă este cazul, pentru a remedia încălcarea raportată” (art. 5 pct. 12).

În practică, asta înseamnă că urmărirea diligentă are trei componente operaționale minime:

  1. Evaluare. O analiză documentată a faptului dacă susținerile, dacă ar fi adevărate, ar constitui o încălcare aflată în domeniul material al Directivei (art. 2) sau al transpunerii naționale.
  2. Investigație proporțională cu acuzația. Pași de investigație proporționali cu gravitatea încălcării pretinse, cu forța probelor și cu prejudiciul potențial. Nu orice raportare justifică o investigație completă; o raportare fără detalii concrete poate fi evaluată și închisă cu o justificare documentată. O raportare cu detalii specifice și coroborabile justifică mai mult.
  3. Evidență contemporană. Acțiunile întreprinse, deciziile luate și rațiunea lor trebuie înregistrate la momentul în care au loc. O urmărire diligentă care nu lasă nicio urmă este, în practică, indistinctă de lipsa oricărei urmăriri.

„Diligent” este un standard obiectiv. Nu este satisfăcut doar prin bună-credință subiectivă. O organizație care închide în mod obișnuit raportări fără evaluare sau care întârzie luni de zile înainte să deschidă un dosar nu este diligentă, chiar dacă se consideră bine intenționată.

EthicsPortal implementează asta prin furnizarea unui flux de lucru de gestionare a cazurilor, cu tranziții de statut (primit, confirmat, în investigație, închis), note interne pentru colaborarea responsabililor de caz și un jurnal de audit doar cu adăugare, care înregistrează fiecare acțiune cu marcaj temporal și actor. Jurnalul de audit este principala probă a diligenței în audit sau în revizuirea de reglementare.

§7. Confidențialitatea identității (art. 16) #

Întrebarea. Articolul 16 alineatul (1) cere ca identitatea persoanei care raportează să nu fie dezvăluită nimănui dincolo de personalul autorizat. Directiva nu precizează dacă „identitatea” se extinde și la metadate care ar putea identifica raportorul (adrese IP, amprente de browser, metadate de autor din fișiere, modele de timestamp-uri).

Directiva prevede că „identitatea persoanei care raportează nu este divulgată nimănui dincolo de membrii personalului autorizat competenți să primească sau să urmărească raportările, fără consimțământul explicit al persoanei respective” (art. 16 alin. 1).

În practică, asta înseamnă că „identitatea” este citită funcțional: include orice informație care, singură sau în combinație cu alte date, permite identificarea persoanei care raportează. Această lectură este aliniată definiției datelor cu caracter personal din GDPR (Regulamentul (UE) 2016/679, art. 4 pct. 1) și poziției constante a Comitetului european pentru protecția datelor, potrivit căreia identificabilitatea este dependentă de context.

Următoarele sunt tratate ca informații de identitate:

Organizațiile care păstrează adrese IP ale raportorilor sau care acceptă fișiere încărcate fără eliminarea metadatelor se expun unui eșec de confidențialitate care constituie, din punct de vedere tehnic, o încălcare a articolului 16, chiar dacă numele persoanei care raportează nu este niciodată divulgat.

EthicsPortal implementează asta prin faptul că nu stochează niciodată adresele IP ale persoanelor care raportează (limitarea abuzului se bazează pe hash-uri unidirecționale ireversibile), elimină metadatele EXIF și metadatele documentelor din toate fișierele înainte de stocare și criptează la nivel de repaus câmpurile de identitate cu criptare nedeterministă, astfel încât nici măcar accesul complet la baza de date să nu permită căutări în masă după nume.

§8. Perioada de păstrare (art. 18) #

Întrebarea. Articolul 18 alineatul (1) cere ca evidențele raportărilor să fie păstrate „nu mai mult decât este necesar și proporțional pentru respectarea cerințelor impuse de prezenta directivă sau a altor cerințe impuse de dreptul Uniunii sau de dreptul intern”. Directiva nu stabilește o perioadă maximă.

Directiva prevede un standard de tip „necesar și proporțional”, ancorat în scopuri de conformitate.

În practică, asta înseamnă că păstrarea trebuie justificată prin trimitere la un scop juridic sau operațional concret, limitată în timp și documentată în evidențele de protecție a datelor ale organizației (GDPR, art. 30). În lipsa unei investigații în curs, a unui litigiu sau a unei cerințe legale specifice, păstrarea dincolo de închiderea cazului devine din ce în ce mai greu de justificat.

Justificări frecvente și duratele lor tipice:

ScopPăstrare tipică
Caz activ (de la primire până la închidere)Durata cazului
Investigație sau litigiu ulteriorPână la soluționarea finală
Jurnal de audit de reglementarePerioada stabilită de reglementarea sectorială (adesea 5 ani pentru servicii financiare)
Protecție pentru pretenții privind represaliile (art. 21)Termenul național de prescripție pentru litigii de muncă (de regulă 2-5 ani)
Raportare statistică în temeiul art. 27 alin. 2Doar date anonimizate; datele personale trebuie minimizate sau șterse

Transpunerea națională poate stabili perioade specifice. Exemple:

O perioadă generală de păstrare aleasă doar pentru comoditate („păstrăm totul 10 ani”) nu este conformă nici cu articolul 18, nici cu articolul 5 alineatul (1) litera (e) din GDPR. Păstrarea trebuie legată de un scop.

EthicsPortal implementează asta prin perioade de retenție configurabile (12, 24, 36, 60 de luni), cu ștergerea automată a raportărilor închise la sfârșitul perioadei configurate. Setarea implicită este cea mai scurtă perioadă care satisface cele mai frecvente cerințe ale legilor naționale de transpunere. Operatorii din sectoare cu obligații legale mai lungi configurează perioada în mod corespunzător.

Întrebarea. Articolul 17 din Directivă cere ca prelucrarea datelor cu caracter personal să respecte GDPR. Directiva însăși nu este un temei legal în sensul articolului 6 din GDPR - un operator trebuie să identifice temeiul concret aplicabil.

Directiva prevede că prelucrarea „se efectuează în conformitate cu Regulamentul (UE) 2016/679” (art. 17).

În practică, asta înseamnă că temeiul legal este articolul 6 alineatul (1) litera (c) din GDPR - obligație legală, atunci când organizația este supusă obligației legale de a institui și opera un canal de raportare. Pentru organizațiile care depășesc pragul de 50 de lucrători (sau sunt sub acest prag, dar legea sectorială impune obligația), articolul 6 alineatul (1) litera (c) este temeiul corect și suficient. Consimțământul persoanei care raportează nu este necesar și nici nu ar trebui solicitat - tratarea prelucrării ca fiind bazată pe consimțământ ar fi înșelătoare și ar crea un drept teoretic de retragere pe care operatorul nu îl poate respecta.

Pentru organizațiile care operează voluntar un canal de raportare (sub pragul de 50 de lucrători și fără obligație sectorială), temeiul legal este articolul 6 alineatul (1) litera (f) - interes legitim, cu condiția unui test de echilibrare documentat. Interesul legitim de a preveni și detecta nereguli în interiorul organizației este bine stabilit și recunoscut în orientările naționale din mai multe state membre.

Categorii speciale de date cu caracter personal (GDPR, art. 9) pot apărea incidental în raportări - de exemplu, o raportare privind discriminarea poate dezvălui date privind sănătatea sau originea etnică. Temeiul pentru prelucrarea datelor din articolul 9 este de obicei articolul 9 alineatul (2) litera (g) - interes public major, cu condiția ca prelucrarea să fie proporțională și însoțită de garanții specifice. Raportările care dezvăluie infracțiuni (GDPR, art. 10) sunt prelucrate în baza corespunzătoare din dreptul național.

EthicsPortal implementează asta prin documentarea articolului 6 alineatul (1) litera (c) ca temei implicit în Acordul de prelucrare a datelor și în politica de confidențialitate. Operatorii aflați sub pragul legal ajustează politica de confidențialitate pentru a reflecta articolul 6 alineatul (1) litera (f) și își documentează separat testul de echilibrare.

§10. Prevalența dreptului național (art. 25) #

Întrebarea. Articolul 25 alineatul (1) prevede că statele membre pot introduce sau păstra dispoziții „mai favorabile drepturilor persoanelor care raportează” decât cele prevăzute în Directivă. Directiva nu explică modul în care operatorii ar trebui să rezolve conflictele atunci când legea națională este mai strictă.

Directiva prevede la articolul 25 alineatul (1) că „statele membre pot introduce sau menține dispoziții mai favorabile drepturilor persoanelor care raportează decât cele prevăzute de prezenta directivă, fără a aduce atingere articolului 22 [drepturile persoanelor vizate] și articolului 23 alineatul (2) [sancțiuni pentru raportări false făcute cu bună știință]”.

În practică, asta înseamnă că, atunci când transpunerea națională este mai strictă decât Directiva, legea națională prevalează pentru organizațiile care operează în jurisdicția respectivă. Nu există opțiunea de a vă baza pe minimul Directivei atunci când regula locală este mai strictă. Directiva stabilește un prag minim, nu un plafon maxim.

Exemple practice de reguli naționale mai stricte:

Pentru operatorii multi-țară, regula operațională este: în fiecare jurisdicție, aplicați standardul mai strict dintre (Directivă, lege națională). În unele situații, aceasta înseamnă că politica de grup adoptă un standard uniform ridicat, aliniat celei mai stricte reguli naționale din orice țară de operare. De regulă, aceasta este preferabilă menținerii unor politici paralele pe jurisdicții, ceea ce crește sarcina administrativă și riscul de a aplica regula greșită.

EthicsPortal implementează asta prin calibrarea valorilor implicite la cel mai strict numitor comun dintre cele 27 de state membre: cele mai scurte termene de confirmare și feedback, cea mai restrictivă retenție implicită și cea mai completă informare anti-represalii. Operatorii care activează într-o singură jurisdicție pot relaxa anumite setări pentru a se alinia regulilor naționale, dar baza este calibrată peste minimul Directivei oriunde legile naționale de transpunere depășesc Directiva.

§11. Raportarea anonimă (art. 6 alin. 2, art. 9 alin. 1 lit. e) #

Întrebarea. Trebuie o organizație să accepte raportări anonime?

Directiva prevede la articolul 6 alineatul (2) că aceasta „nu aduce atingere competenței statelor membre de a decide dacă obligă sau nu entitățile juridice […] să accepte și să urmărească raportările anonime”. Articolul 9 alineatul (1) litera (e) cere „o urmărire diligentă, atunci când este prevăzută de dreptul național, în ceea ce privește raportarea anonimă”.

În practică, asta înseamnă că legea națională decide. Există două poziții:

Trei consecințe.

Odată acceptate, obligația există. O organizație care publică „acceptăm raportări anonime” a activat articolul 9 alineatul (1) litera (e). Obligația se atașează politicii publicate, nu raportării individuale.

Protecția anti-represalii se aplică numai din momentul identificării. Articolul 21 nu poate proteja o persoană necunoscută. Acțiunile întreprinse în perioada de anonimat nu devin retroactiv acoperite.

Anonimatul este un standard tehnic, nu o promisiune de marketing. Un formular care colectează o adresă de e-mail nu este anonim. Un canal care jurnalizează adrese IP nu este anonim. Confidențialitatea din articolul 16 protejează o identitate cunoscută împotriva divulgării; anonimatul împiedică identificarea de la bun început.

EthicsPortal implementează asta prin acceptarea implicită a raportărilor anonime. Niciun detaliu de contact nu este obligatoriu. Adresele IP nu sunt stocate niciodată (limitarea abuzului folosește hash-uri unidirecționale ireversibile). Metadatele fișierelor sunt eliminate înainte de stocare. Operatorii pot configura portalul pentru a cere date de contact atunci când legea națională impune raportări identificate. Raportările anonime acceptate urmează același flux de caz, aceleași termene și același standard de urmărire diligentă ca raportările identificate.

Istoricul reviziilor #

Corecții și întrebări #

Acest document este conceput pentru a putea fi citat și folosit ca referință. Dacă identificați o eroare sau o poziție care intră în conflict cu o hotărâre a Curții de Justiție, cu o opinie a Comitetului european pentru protecția datelor sau cu o orientare națională obligatorie, scrieți la support@ethicsportal.eu. Corecțiile sunt publicate în istoricul reviziilor, cu data și un rezumat al modificării.

Pentru întrebări despre modul în care o anumită interpretare se aplică situației concrete a organizației dvs., acest document nu înlocuiește consultanța juridică. Contactați un consilier juridic competent în jurisdicția relevantă.

Ultima actualizare: