Какви са изискванията за регистъра по Закона за защита на лицата, подаващи сигнали
Авторът
Йордан Владов е адвокат и член на Софийската адвокатска колегия. Специализира в областта на защита на личните данни, мерките срещу изпирането на пари и регулацията на платежните услуги, както и в защитата на лица, подаващи сигнали или публично оповестяващи информация за нарушения.
Комисията за защита на личните данни (КЗЛД) прие дългоочакваната наредба, която трябваше да внесе яснота по отношение на изискванията към вътрешния регистър на сигналите, който задължените по новия Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения лица в частния сектор трябва да поддържат от м. май тази година.
Припомняме, че на 4 май 2023 г. в сила влезе новият Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН), с приемането на който страната ни цели да изпълни задължението си за транспониране на Директива (ЕС) 2019/1937. ЗЗЛПСПОИН вече се прилага за работодатели в частния с над 250 работници или служители, а работодателите, които имат между 50 и 249 служители, ще трябва да съобразят дейността си с неговите изисквания преди 17 декември 2023 г.
I. Изискванията на закона
Целта на ЗЗЛПСПОИН е да осигури защита на лицата, които сигнализират за нарушения, станали им известни в хода на тяхната работа (т.нар. whistleblowers). На практика това са работници, служители и други лица, полагащи труд по извънтрудови отношения (изпълнители по граждански договори, външни консултанти), които са се сдобили с информация за нарушение, извършено от техния работодател или възложител. Видовете нарушения, за които се прилага този режим са много, и включват например нарушения на трудовото законодателство, режима на обществените поръчки, защитата на потребителите и др. Като пример за защита по ЗЗЛПСПОИН може да се ползва служител на банков клон, който става свидетел как се прескачат задължителни проверки, свързани с мерките срещу изпирането на пари, или работник, който сигнализира за системно полагане на задължителен неплатен извънреден труд при своя работодател.
Законът предоставя редица мерки за защита на сигнализиращите лица, като обща забрана за ответни действия с цел отмъщение за подадения сигнал, освобождаване от отговорност за придобиването на информацията за твърдяното нарушение, мерки за подкрепа и др. Тези мерки имат за цел да стимулират активната гражданска позиция на служителите чрез подаването на сигнали за нарушения. Това сигнализиране може да стане както чрез т.нар. вътрешен канал за подаване на сигнали, така и чрез подаване на сигнала извън организацията – чрез Комисията за защита на личните данни (КЗЛД). Принципът е, че лицата, разполагащи с информация за нарушения, следва приоритетно да сигнализират по вътрешния канал на организацията, но могат да направят това и директно пред КЗЛД, когато имат основание да смятат, че рискуват да претърпят ответни действия или сигналът им да бъде игнориран.
Създаването и поддържането на тези канали за сигнализиране на свой ред са свързани с редица задължения за работодателите и държавните учреждения.
Законът предвижда задължения както за частния, така и за публичния сектор, като задължените по него лица включват всички организации с 50 и повече служители, както и тези с по-малко служители, но попадащи в Приложението към ЗЗЛПСПОИН. Тази група включва лица, осъществяващи дейност в областта на финансовите услуги и пазари, инвестиционни схеми и инвестиционни посредници, застрахователи и кредитни институции, както и всички лица, задължени по Закона за мерките срещу изпирането на пари, като например счетоводители, нотариуси, адвокати, частни съдебни изпълнители, брокери на недвижими имоти и др.
Задължените лица следва да изградят и поддържат канали за вътрешно подаване на сигнали, по които техните служители или изпълнители могат да докладват информация за извършени нарушения в рамките на организацията. Наред с това е необходимо и определянето на служител, отговарящ за разследването на сигнали, който може да бъде вече определеният за длъжностно лице по защита на данните служител. Създаването на вътрешния канал и определянето на функциите на отговорния служител трябва да стане с вътрешни правили/процедури, които да уреждат реда и условията за приемане, обработване и разглеждане на сигналите. В допълнение, законът изисква на служителите да бъде предоставена информация за възможността да подават сигнали по вътрешния канал и да се ползват от защита по закона. Това на практика ще се случва чрез политика или друг сходен информационен документ, подобно на задължението за информираност по Закона за защита на личните данни.
Като част от предписаната от закона процедура по приемане, администриране и разглеждане на сигналите, задължените по ЗЗЛПСПОИН лица следва да поддържат регистър на сигналите за нарушения, който трябва да съдържа най-общо информация за сигнала, данни за твърдяното нарушение, действията по разследване и други последващи действия. Извън минималното изискуемо съдържание обаче, законът не дава допълнителни правила за воденето на този регистър.
II. Наредбата
Тези условия вече са налице с обнародваната на 4 август 2023 г. Наредба № 1 от 27 юли 2023 г. за воденето на регистъра на сигналите по чл.18 от Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения и за препращане на вътрешни сигнали към Комисията за защита на личните данни („Наредбата“).
Наредбата въвежда изискванията към начина на водене, съхранение и предоставяне на достъп до регистъра на сигнали, като освен това съдържа и правила за приемане и обработване на сигналите чрез вътрешния канал на задължените лица, както и за препращането им към КЗЛД.
Както е предвидено в Наредбата, комисията публикува на своята страница Модел на Регистър на сигналите – примерен регистър с минимално изискуемото от закона съдържание.
1. Ред за водене на регистъра
Както ЗЗЛПСПОИН, така и Наредбата изискват задължените лица да определят реда и условията за воденето на регистъра чрез вътрешен акт (в зависимост от вида субект – заповед на директор, управител, решение на УС или СД или др.). С този акт следва да се приемат вътрешни правила за обработването на сигнали и воденето и поддържането на регистъра. Те трябва да определят изискванията към съдържанието на регистъра (което трябва да е поне минимално установеното със ЗЗЛПСПОИН и Наредбата), начина на неговото водене и съхраняване и др. Вътрешните правила трябва да са съобразени с изискванията на Наредбата и последващите методически указания на КЗЛД.
Регистърът следва да се води и съхранява на траен носител (може да бъде електронен или съхраняван чрез облачна услуга), като отговорен за това е служителят, отговарящ за разглеждането на сигнали, определен от задълженото лице при създаване на канала за вътрешно сигнализиране.
При постъпването на всеки сигнал, в регистъра следва да се впишат минимум следните обстоятелствата относно:
- Лицето, приело сигнала;
- Датата на подаване;
- Засегнатото лице;
- Обобщени данни за твърдяното нарушение, като място и период на извършване, описание на деянието и други обстоятелства относно неговото извършване;
- Връзка на подадения сигнал с други сигнали, ако такава е налице;
- Информация, предоставена на лицето, подало сигнала, както и датата на предоставянето ѝ;
- Предприетите последващи действия;
- Резултатите от проверката по сигнала;
- Период на съхранение на сигнала;
- Собствен входящ номер;
- Уникален идентификационен номер (УИН) на сигнала.
Предоставянето на част от тези обстоятелства става с попълването на формуляр за сигнала от сигнализиращото лице или от лицето, приело сигнала, ако той е подаден устно. При липса на някой от предвидените реквизити, следва да се изискат допълнителни сведения от сигнализиращото лице в 7-дневен срок. Ако такива не бъдат предоставени, производството по сигнала следва да се прекрати.
На следващо място, Наредбата установява изискванията за съхраняване на сигналите и достъп до регистъра. Задължените лица трябва да съхраняват сигналите и всички приложени по тях материали за срок от 5 години, считано от приключване на разглеждането на сигнала. Този срок не се прилага в случаите на образувано наказателно, гражданско, трудовоправно и/или административно производство във връзка с подадения сигнал. Наредбата не дава пояснения какъв следва да е срокът на съхранение в тази хипотеза, но в такива случаи би следвало 5-годишният период да започне да тече от окончателното приключване на съответното производство.
Информацията в регистъра трябва да се съхранява по начин, който гарантира нейната сигурност и поверителност, така че достъп до него да имат единствено служителят, отговарящ за разглеждането на сигнали и поддържането на регистъра и КЗЛД и нейните служители с правомощията по ЗЗЛПСПОИН.
В случай на закриване или заличаване на задължено лице без правоприемник, всички сигнали с материалите по тях и регистърът се предават за съхранение на КЗЛД. На практика това означава, че при на ликвидация на дружество, поддържаният от него регистър, както и всички сигнали ще трябва да се предадат на комисията.
2. Препращане на сигнали към КЗЛД
На следващо място, Наредбата урежда реда и условията за препращане на сигнал, получен чрез канала за вътрешно подаване, до комисията в ролята ѝ на външен канал за сигнализиране по смисъла на ЗЗЛПСПОИН.
Сигналът следва да бъде препратен към КЗЛД, когато:
- Е получен от лице в частния сектор, което не е задължено по ЗЗЛПСПОИН и не е длъжно да поддържа канал за вътрешно подаване на сигнали;
- Съдържа информация за нарушения, извършени от лица, заемащи висши публични длъжности по смисъла на Закона за противодействие на корупцията и отнемане на незаконно придобито имущество, в който случай сигналът се препраща служебно към КПКОНПИ;
- Се отнася до дейността на друго задължено лице, различно от получилото сигнала; или
- Е налице необходимост от предприемане на действия от КЗЛД в съответствие с ЗЗЛПСПОИН.
Когато някоя от тези хипотези е налице, служителят, отговарящ за разглеждането на сигнали, в 7-дневен срок препраща сигнала, заедно с цялата информация, събрана по него, на КЗЛД и уведомява сигнализиращото лице за това.
Всъщност, това правило се прилага и за лица, които не са задължени да поддържат вътрешен канал за подаване на сигнали. Ако имате дружество с под 50 служители, например, и някой от тях подаде вътрешно сигнал за нарушение, Наредбата изисква да препратите този сигнал към КЗЛД за разглеждането му като подаден по външния канал. Тук остава неясно кой носи отговорността да извърши това препращане – Наредбата изисква това да е отговорният служител, но ако лицето изобщо не е задължено по закона, то няма да има задължението да определи такъв.
3. Уникален идентификационен номер (УИН)
Освен разпоредби, свързани с воденето и поддържането на регистъра на сигналите, Наредбата съдържа и правила относно приемането и обработването на сигналите, получени чрез канала за вътрешно подаване.
Съгласно чл. 4 от Наредбата, всеки сигнал, постъпил по вътрешен канал, се регистрира чрез попълване на формуляр и получаване на уникален идентификационен номер (УИН) от КЗЛД. За получаване на УИН, на комисията се предоставят данни относно работодателя, служителя, отговарящ за разглеждането на сигнала, начин на получаване и предмет на сигнала (в коя от предвидените в закона области попада нарушението).
Това означава, че дружествата трябва да предвидят в правилата си по администриране на канала за вътрешно подаване, че след получаването и завеждането на сигнала под собствен входящ номер, информация за него се изпраща и на комисията за получаване на УИН.
III. Практически предизвикателства
Изискванията, заложени в Наредбата, са очаквани, тъй като КЗЛД от известно време води кампания по тяхното разясняване и популяризиране сред бизнеса. Въпреки това, те имат потенциала да породят редица практически проблеми при приложението на ЗЗЛПСПОИН.
От съществено значение за задължените лица, които трябва да поддържат канал за вътрешно подаване на сигнали и регистър на сигналите, е изискването за информационна сигурност и поверителност. Наредбата не дава подробни указания какви мерки за защита на информацията следва да се предприемат, и освен ако в своите методически указания по приложението на закона КЗЛД не даде такива насоки, съществува реална опасност тази информационна сигурност да е само „на хартия“. Спазването на тези изисквания само формално може да доведе до изтичане на информация за сигнала или лицето, което го е подало, а от там – и до налагането на значителни по размер санкции от КЗЛД.
Задължените лица в частния сектор могат да използват професионални услуги при изграждането на канала за вътрешно подаване на сигнали. Следва обаче да се има предвид, че на външни лица могат да се възлагат само функциите по приемане и администриране на сигналите – разглеждането им е отговорност само на задълженото лице и на определения от него служител.
На следващо място, буди притеснение въведеното с Наредбата изискване за получаване на УИН за всеки сигнал, получен чрез канала за вътрешно подаване. Получаването на този номер изисква предоставянето на информация за сигнала на КЗЛД, с което на практика той излиза извън организацията на задълженото лице. Една от целите на ЗЗЛПСПОИН, както и на Директива (ЕС) 2019/1937, която той транспонира, е да стимулира сигнализирането преди всичко в рамките на съответната организация и „разрешаване“ на сигнала от самото задължено лице, когато това е възможно. С предоставянето на информация за всеки сигнал, КЗЛД получава данни за всяко потенциално нарушение, което всъщност дава стимул на бизнеса изобщо да не приема и обработва вътрешни сигнали.
Друг потенциален проблем, който е свързан с изискването за УИН, се крие в капацитета на КЗЛД да обработва очаквания голям обем информация. Броят на лицата, задължени по ЗЗЛПСПОИН да поддържат вътрешен канал за подаване на сигнали, е значителен – по данни на НСИ за 2021 г. в страната има общо 5190 предприятия с 50 и повече служители, без да се отчитат всички останали групи задължени лица. С изискването за издаване на УИН за всеки един вътрешно подаден сигнал КЗЛД присъства като задължителен елемент в процеса по вътрешно разглеждане на сигналите, отделно от законоустановените правомощия на комисията като външен канал за подаване на всички сигнали по ЗЗЛПСПОИН. Тези допълнителни отговорности предполагат значителен човешки, технологичен и организационен ресурс, като тепърва ще стане ясно дали КЗЛД ще може да се справи с новите си правомощия по Наредбата.
Наредбата действително дава известни насоки относно това как следва да се прилага законът на практика, но оставя и много неясноти, които тепърва предстои да бъдат запълнени от практиката на КЗЛД и съдилищата, както и от методическите указания на комисията.
Изясняването на тези въпроси следва да е приоритет на комисията преди влизането в сила на закона за най-широкия кръг от задължени лица на 17 декември, тъй като предвидените санкции за неизпълнение на задълженията по него са значителни. ЗЗЛПСПОИН предвижда задължените лица, които нямат създаден вътрешен канал за подаване на сигнали в съответствие с изискванията на закона и Наредбата, да подлежат на имуществена санкция в размер между 5 000 и 20 000 лв. Глобата за физически лица е между 1 000 и 5 000 лв., а размерът на санкцията е значително по-висок при повторно нарушение (между 5 000 и 10 000 лв. за физически лица, и между 10 000 и 30 000 лв. за юридически).
23
Коментирайте
Въс закон, без закон НЕ Е ВАЖНО какви са изискванията, а че НЯМА ЗАЩИТА. Преди ТРИ години подадох основателен сигнал за корупция в НАП с неуспорими доказателства. До ден днешен ме тормозят в собствения ми дом. ВСЯКАКВИ възможни институции откровено и открито се гаврят, съда не си мърда пръста по жалби и искове, а в НАП няма наказани, доказателствата никой никога не е обсъдил. За какво ни е тоя закон, като няма кой да го спазва? Говоря за администрация, съдебна и изпълнителна власт. От 3години (до 13.08.2023г Неделя, включително) ме злепоставят активно. Съдебна полиция имала била да ми връчва документи,… Покажи целия коментар »
Крайно време беше покрай “Законът за доносниците” да се направи и съответната наредба. Вижда се, че управляващата интимна некоалиция работи 🙂
Полезна статия, само не става ясно дали може да възникне противоречие между да речем преодставянето на правни услуги на частна или публична организация от адвокат като външен изпълнител и той установи (пряко или косвено) в процеса на работа по възложените му задачи незаконосъобразно поведение на ръководителя на структурата, т.е. доколко адвокатската тайна реално ще опази институцията/търговеца, ограничавайки възможностите на юриста да изпорти нещо на КЗЛД.
Чл. 4, т. 3 от ЗЗЛПСПОИН дава отговор на въпроса Ви:
Този закон не се прилага за сигнали за нарушения, които са станали известни на лица, упражняващи правна професия и за които съществува задължение по закон за опазване на професионална тайна.
Мерси 😉😉
It will always be helpful to read content from other writers and use something from their websites. kfc com survey
Да живей бюрокрацията. Безкраен низ от всевъзможни сладки длъжности, безмислен документооборот и нищоправене.
Аз демокрация за 30+ години не съм видял. За справка подписката за лева.
Да си беше пуснал мустак, по друг начин щяхте да гледате на него май..
Абсолютно Подкрепям
Роднина на някой васаджии или начинаещ ….
Аз работя от 15 години в нашето дружество…и то като работодател спекулира със заплатите на работниците и служителите, и като цяло с трудовите правоотношения, да, виждам, че работодателят прави схеми, но аз като негов юрисконсулт съм длъжен да го прикрия и по възможност изменя трудовия договор, съгласно изискванията на работодателя, макар и против законовите разпоредби. Ама какво да направя като явява и мой работодател и има опасност да ме освободи?. Еми, как ще открият тогава нарушения като аз с моите солидни правни умения съм изшиканирал трудовото правоотношение и надхитрил другите органи за защита?
Е какво излиза? Спънки за фирмите?
Добър анализ и полезни неща за всички интересуващи се.
Млад експерт!
Млада сила
… и нежна
Много полезно. Лошото е, че се очертават много предизвикателства пред бизнеса… Тези приложения със задължените лица са безкрайни и всеки може да попадне сред тях…
Горкият роден бизнес. Жив да го ожали човек.
Скучна тема, никого не го интересува, а само юристите, които припечелват едва едва.
Е какви да са? Ако това не ви е интересно ходете в жълтите псевдо новинарски сайтове, където изкарват, че Асен Василев бил слаб икономист, защото нямал спестени милиони левове, а дори имал кредит. Ако имаше спестени парите на Слави, то тогава щяха да го захапят, че вероятно е крадец. Глупаци.
Асен си е крадец, никакъв икономист не е.
Shaheryar Q.’s Upwork profile is a goldmine for anyone seeking expertly crafted One Pagers Upwork
. His work speaks for itself.