Контекст и правна рамка
ЗЗЛПСПОИН беше приет от Народното събрание на 2 февруари 2023 г. и влезе в сила на 4 май 2023 г. Законът транспонира Директива (ЕС) 2019/1937 на Европейския парламент и на Съвета относно защитата на лицата, които подават сигнали за нарушения на правото на Съюза. България беше сред държавите членки, които приеха транспониращо законодателство с известно закъснение спрямо първоначалния срок от 17 декември 2021 г.
Законът обхваща широк кръг от нарушения, включително в областите на обществените поръчки, финансовите услуги, безопасността на продуктите и транспорта, опазването на околната среда, защитата на потребителите, защитата на личните данни, сигурността на мрежовите и информационните системи, правилата за конкуренция и държавните помощи, корпоративното данъчно облагане и защитата на финансовите интереси на Европейския съюз.
Комисията за защита на личните данни (КЗЛД) е определена като централен орган за външно подаване на сигнали. КЗЛД приема, регистрира и разглежда сигнали от лица, които предпочитат да не използват вътрешните канали на своя работодател или чиито сигнали не са били надлежно разгледани. Комисията също така поддържа регистър на подадените сигнали и следи за спазването на закона от задължените субекти.
Важно Всички работодатели в частния сектор с 50 или повече служители, както и всички работодатели в публичния сектор, независимо от броя на служителите, са задължени да създадат вътрешен канал за подаване на сигнали. Неспазването на това задължение води до значителни административни санкции.
Кой е задължен да създаде вътрешен канал
ЗЗЛПСПОИН определя две основни категории задължени субекти, които трябва да изградят и поддържат вътрешен канал за подаване на сигнали:
Частен сектор
Всички работодатели в частния сектор с 50 или повече работници и служители са задължени да създадат вътрешен канал за подаване на сигнали. За работодатели с между 50 и 249 служители законът предвижда възможност за споделяне на ресурси при създаването и управлението на вътрешния канал, което позволява на по-малките организации да обединят усилията си. Работодателите с 250 или повече служители трябва да имат самостоятелен вътрешен канал. Задължението се прилага и за работодатели в определени сектори, като финансовите услуги, независимо от броя на служителите.
Публичен сектор
Всички работодатели в публичния сектор са задължени да създадат вътрешен канал за подаване на сигнали, независимо от броя на служителите. Това включва органите на изпълнителната власт, общините, държавните предприятия, публичноправните организации и всички други структури, финансирани от публични средства. Общините с население под 10 000 души или с по-малко от 50 служители могат да споделят канали за подаване на сигнали помежду си.
Изисквания към вътрешния канал
Законът поставя конкретни изисквания към начина, по който вътрешните канали за подаване на сигнали трябва да бъдат изградени и управлявани. Каналът трябва да гарантира поверителността на подаващия сигнала и да позволява както писмено, така и устно подаване на сигнали. Основните изисквания включват:
- Определяне на служител или звено, отговорно за приемането и разглеждането на сигналите, което е независимо и не е в конфликт на интереси
- Осигуряване на канали, които позволяват подаване на сигнали в писмена форма (включително по електронен път) и/или устна форма (включително по телефон или чрез лична среща)
- Гарантиране на поверителността на самоличността на сигнализиращото лице и на всяко трето лице, споменато в сигнала, на всеки етап от процедурата
- Потвърждаване на получаването на сигнала в срок от 7 дни от получаването му
- Предоставяне на обратна информация на сигнализиращото лице за предприетите действия в срок не по-дълъг от 3 месеца от потвърждаването на получаването
- Водене на регистър на всички получени сигнали, който се съхранява за срок от 5 години
- Осигуряване на защита на личните данни в съответствие с Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни
- Предоставяне на ясна и лесно достъпна информация за процедурите за вътрешно и външно подаване на сигнали
Срокове за обработка на сигналите
| Действие | Срок |
|---|---|
| Потвърждаване на получаването на сигнала | 7 дни от получаването |
| Първоначална оценка на сигнала и определяне на компетентност | 30 дни от получаването |
| Предоставяне на обратна информация на сигнализиращото лице | 3 месеца от потвърждаването |
| Приключване на проверката по сигнала | Разумен срок, не по-дълъг от 6 месеца |
| Съхранение на данните в регистъра на сигналите | 5 години от получаването на сигнала |
| Уведомяване на КЗЛД за получени сигнали (ежегодно) | До 31 януари на следващата година |
При изключителни обстоятелства и сложни случаи срокът за обратна информация може да бъде удължен до 6 месеца, но сигнализиращото лице трябва да бъде уведомено за удължаването и причините за него.
Санкции при неспазване
ЗЗЛПСПОИН предвижда административни наказания за различни нарушения на задълженията по закона. Санкциите се налагат от Комисията за защита на личните данни:
- • Глоба от 5 000 до 20 000 лв. за работодател, който не е създал вътрешен канал за подаване на сигнали в съответствие с изискванията на закона
- • Глоба от 3 000 до 10 000 лв. за лице, което възпрепятства подаването на сигнал или предприема ответни действия срещу сигнализиращото лице
- • Глоба от 1 000 до 5 000 лв. за лице, което наруши задължението за поверителност относно самоличността на сигнализиращото лице
- • Глоба от 3 000 до 7 000 лв. за неизпълнение на задължението за предоставяне на обратна информация в законоустановените срокове
- • При повторно нарушение размерът на глобата се удвоява
- • Глоба от 500 до 5 000 лв. за лице, което съзнателно подаде сигнал с невярна информация
Санкциите могат да бъдат налагани кумулативно, което означава, че едно и също лице или организация може да бъде санкционирано за няколко нарушения едновременно. КЗЛД провежда и планови проверки за спазване на закона.
Защита на сигнализиращите лица
Законът предвижда широк набор от мерки за защита на лицата, подаващи сигнали, с цел да се предотвратят ответните действия и да се насърчи докладването на нарушения. Защитата се прилага от момента на подаване на сигнала и обхваща:
- ✕Забрана за всякакви форми на ответни действия, включително уволнение, понижаване, промяна на работното място, намаляване на възнаграждението, отказ за повишение и всяка друга форма на неблагоприятно третиране
- ✕Защита на поверителността на самоличността на сигнализиращото лице - разкриването без изрично съгласие е забранено и подлежи на санкции
- ✕Право на обезщетение за всички претърпени вреди, включително имуществени и неимуществени, в резултат на ответни действия
- ✕Освобождаване от отговорност за нарушаване на ограничения за разкриване на информация, при условие че сигнализиращото лице е имало основателни причини да смята, че подаването на сигнала е било необходимо
- ✕Достъп до безплатна правна помощ и консултации за лица, подаващи сигнали, при определени условия
- ✕Защита срещу наказателно, гражданско и административно преследване за придобиването на информацията, която е предмет на сигнала, при условие че придобиването не представлява самостоятелно престъпление
- ✕Забрана за отказ от правата по закона - всяко споразумение, с което сигнализиращото лице се отказва от правата си, е нищожно
- ✕Разширена защита, обхващаща и лица, свързани със сигнализиращото лице, включително колеги, роднини и юридически лица, в които сигнализиращото лице има участие
Тежестта на доказване при спорове относно ответни действия се обръща - работодателят трябва да докаже, че предприетите мерки не са свързани с подадения сигнал. Сигнализиращото лице получава защита независимо дали е използвало вътрешен или външен канал.
Стъпки за привеждане в съответствие
Извършете одит на текущото състояние
Оценете дали вашата организация попада в обхвата на ЗЗЛПСПОИН и дали вече разполагате с вътрешен канал за подаване на сигнали, който отговаря на законовите изисквания.
Определете отговорно лице или звено
Назначете служител или създайте специализирано звено, което ще приема, регистрира и разглежда сигналите. Уверете се, че лицето или звеното е независимо и не е в конфликт на интереси.
Изберете и внедрете подходяща платформа
Изберете технологично решение, което позволява сигурно и поверително подаване на сигнали в писмена и устна форма, и осигурява криптиране и защита на данните.
Разработете вътрешни правила и процедури
Създайте писмени процедури за приемане, регистриране, проверка и разглеждане на сигналите, включително ред за предоставяне на обратна информация и съхранение на документацията.
Обучете служителите
Проведете обучения за всички служители относно правата им по ЗЗЛПСПОИН, начините за подаване на сигнали и гаранциите за защита на поверителността.
Осигурете достъпна информация
Публикувайте ясна и лесно достъпна информация за вътрешния канал за подаване на сигнали на видно място - интранет, уебсайт, информационни табла.
Създайте регистър на сигналите
Въведете защитен регистър за всички получени сигнали, който да се съхранява за срок от 5 години и да е достъпен само за оправомощените лица.
Извършвайте периодичен преглед
Редовно преглеждайте ефективността на вътрешния канал и процедурите, актуализирайте ги при необходимост и докладвайте ежегодно на КЗЛД.
Как WhistleBox може да помогне
WhistleBox е специализирана платформа за подаване на сигнали, проектирана да отговори на всички изисквания на ЗЗЛПСПОИН и Директива (ЕС) 2019/1937. Нашето решение помага на организациите в България бързо и лесно да създадат вътрешен канал за подаване на сигнали, който е напълно съответстващ на закона.