РЕЗЮМЕ НА ЗАКОН ЗА ЗАЩИТА НА ЛИЦАТА, ПОДАВАЩИ СИГНАЛИ ИЛИ ПУБЛИЧНО ОПОВЕСТЯВАЩИ ИНФОРМАЦИЯ ЗА НАРУШЕНИЯ

юли 6, 2023 | Новини и анализи

Основни положения:

С приемането на Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения Република България транспортира разпоредбите на Директива (ЕС) 2019/1937 на Европейския парламент и на Съвета от 23 октомври 2019 година относно защитата на лицата, които подават сигнали за нарушения на правото на Съюза. Законът е обнародван в Държавен вестник, бр. 11 от 2 февруари 2023 год. и влиза в сила от 4 май 2023 год. Работодателите в частния сектор, които имат между 50 и 249 служители ще прилагат определени разпоредби от закона от 17 декември 2023 год.

Целта на закона е да осигури защита на лицата в публичния и правния сектор, които подават сигнали или публично оповестяват информация за нарушения на българското законодателство или на актове на Европейския съюз, станала им известна при или по повод изпълнение на трудовите или служебните им задължения.

Разпоредбите на ЗЗЛПСПОИЗ се прилагат по отношение на сигнали или публично оповестяване на информация в различни области, сред които:

  1. Обществени поръчки;
  2. Финансовите услуги, продукти и пазари и предотвратяване изпирането на пари и финансирането на тероризма;
  3. Трудовото законодателство;
  4. Защитата на потребителите;
  5. Защитата на неприкосновеността на личния живот и личните данни и сигурност на мрежите и информационните системи;
  6. Нарушения, свързани с трансгранични данъчни схеми;
  7. Извършени престъпления от общ характер;
  8. Правилата за заплащане на дължими публични държавни и общински вземания;
  9. Други, съгласно посоченото в ЗЗЛПСПОИЗ.

Кои лица, подаващи сигнали за нарушения, получават защита?

Законът предвижда осигуряване на защита на сигнализиращите лица от момента на подаване на сигнала или публичното оповестяване на информация. Защитата се разпрострира по отношение на различни категории физически лица, основно такива, които в процеса на извършване на определена работа са научили за определени нарушения. Такива могат да бъдат:

  1. Настоящи или бивши работници и/или служители;
  2. Лица, които полагат труд без трудово правоотношение и/или упражняват свободна професия;
  3. Стажанти и/или доброволци;
  4. Съдружници, акционери, едноличен собственик на капитала, член на управителен или контролен орган на търговско дружество, както и член на одитния комитет на предприятие;
  5. Подизпълнители и/или доставчици;
  6. Кандидати за работа, получили в това качество информация за нарушение;
  7. Всеки, който е получил информация за извършено нарушение при изпълнение на служебните си задължения.

Важно е да се отбележи, че съгласно ЗЗЛПСПОИЗ не се разглеждат сигнали за нарушения, извършени преди повече от две години, както и анонимни сигнали.

Видове канали за подаване на сигнали:

ЗЗЛПСПОИЗ дава възможност сигналите за нарушения да бъдат подавани по два начина: чрез вътрешен канал за подаване на сигнали и чрез външен канал. Ролята на външен канал е възложена на Комисия за защита на личните данни, като подробно е регламентиран редът за сезиране на Комисията. С оглед възможността за бързо предотвратяване на нарушението или отстраняване на последиците от такова нарушение, сигналът следва да се подава приоритетно чрез канал за вътрешно подаване на сигнали. В тази връзка законът е възложил на определени категории работодатели създаването и администрирането на вътрешните канали за подаване на сигнали.

За кои групи работодатели законът поражда задължения за администриране на сигналите?

  1. Работодателите в публичния сектор с изключение на общините с население под 10 000 души или по-малко от 50 работници и/или служители;
  2. Работодателите в частния сектор с 50 и повече работници и/или служители;
  3. Работодателите в частния сектор независимо от броя на работниците и/или служителите, ако осъществяваната от тях дейност попада в приложното поле на актовете на Европейския съюз, посочени в част I, буква „Б“ и част от II от приложението към чл. 3, ал. 1 и 3 от ЗЗЛПСПИОЗ. (буква „Б“ се отнася до правилата за установяване на регулаторна и надзорна рамка и защита на потребителите и инвеститорите в областта на финансовите услуги на Съюза, на капиталовите пазари, банкирането, кредитирането, инвестициите, застраховането и презастраховането, професионалните или личните пенсии, продуктите, ценните книжа, инвестиционните фондове, услугите в сферата на плащанията и дейностите, изброени в приложение I към Директива 2013/36/ЕС на Европейския парламент и на Съвета от 26 юни 2013 год. относно достъпа до осъществяването на дейност от кредитните институции и относно пруденциалния надзор върху кредитните институции и инвестиционните посредници; част II от приложението засяга сходни нормативни актове на Европейския съюз в сферата на финансовите услуги, продукти и пазари и предотвратяване изпирането на пари и финансирането на тероризма;)

Какво представлява вътрешният канал за подаване на сигнали и как функционира?

Основните изисквания към вътрешния канал за подаване на сигнали са две:

  1. Да се управлява по начин, който гарантира пълнотата, целостта и поверителността на информацията и възпрепятства достъпа на неоправомощени лица до тази информация; и
  2. Да дава възможност за съхранение на записана на траен носител информация за нуждите на проверката по сигнала и за по-нататъшни разследвания.

В изпълнение на тези задължения задължените субекти следва да предоставят ясна и леснодостъпна информация относно условията и реда за подаване на сигнали. Информацията следва да бъде предоставена на интернет страницата на задължените субекти, както и на видно място в офисите и работните помещения.

Ред за разглеждане на сигналите

Всеки работодател следва да определи един или повече от своите служители, които да отговарят за получените сигнали. Такива служители могат да бъдат длъжностните лица по защита на личните данни или други лица, определени от работодателя, които едновременно с това да изпълняват и други трудови задължения в дружеството. За всеки един конкретен случай обаче не следва да е налице конфликт на интереси между подаващия сигнали и определеният за разглеждането му служител.

Подаване на сигнала

Сигналът се подава до служителя, отговарящ за разглеждането на сигнали, писмено, включително чрез електронна поща, или устно. Устното подаване може да се осъществи по телефон или чрез други системи за гласови съобщения, както и чрез лична среща, уговорена между страните в подходящ срок. За регистрирането на сигнала се използва формуляр, одобрен от националния орган за външно подаване на сигнали (Комисия за защита на личните данни), който следва да съдържа определени в закона реквизити. Писменият сигнал се подава чрез попълване на посочения формуляр, а при устен сигнал формулярът се попълва от служителя, отговарящ за разглеждането на сигналите, като формулярът може и да не бъде подписан от подаващия сигнала. Към сигнала могат да бъдат приложени всякакви видове доказателства в подкрепа на изложените твърдения, като в случай на пропуск в попълването на формуляра може да бъде даден 7-дневен срок на лицето, подало сигнала, да ги отстрани. В случай че това не стане, сигналът заедно с приложенията към него се връща на сигнализиращото лице.

Разглеждане на сигналите

Служителите, които отговарят за разглеждането на сигналите, са длъжни:

  1. Да получават сигналите и да потвърждават тяхното получаване в срок от 7 дни от получаването.
  2. Да гарантират, че самоличността на сигнализиращото лице и на всяко друго лице, посочено в сигнала, ще бъде надлежно защитена.
  3. Да поддържат връзка със сигнализиращото лице, като при необходимост изискват от него или от трети лица допълнителна информация.
  4. Да предоставят обратна информация на подателя на сигнала за предприетите действия в срок не по-дълъг от три месеца след потвърждаване получаването на сигнала.
  5. Да предоставят на лицата, желаещи да подадат сигнал, ясна и леснодостъпна информация за процедурата за външно подаване на сигнали.
  6. Да поддържат регистър на подадените сигнали.
  7. Да изслушат лицето, срещу което е подаден сигналът, или да приемат писмените му обяснения и да съберат и оценят посочените от него доказателства.
  8. Да предоставят на засегнатото лице всички събрани доказателства и да му предоставят възможност да направи възражение в 7-дневен срок.
  9. Да предоставят възможност на засегнатото лице да представи и посочи нови доказателства, които да бъдат събрани в хода на проверката.

В случай че изнесените в сигнала факти бъдат потвърдени, служителите, отговарящи за разглеждането на сигналите, следва да:

  1. Организират предприемането на последващи действия във връзка със сигнала, като за целта могат да изискват съдействието на други лица или звена в структурата на съответния задължен субект;
  2. Предложат на задължения субект предприемане на конкретни мерки с цел преустановяване или предотвратяване на нарушението в случаите, когато такова е констатирано или има реална опасност за неговото извършване;
  3. Насочат сигнализиращото лице към компетентните органи, когато се засягат негови права;
  4. Препращат сигнала на органа за въшно подаване на сигнали при необходимост от предприемане на действия от негова страна, като за препращането сигнализиращото лице се уведомява предварително. Когато сигналът е подаден срещу работодателя на сигнализиращото лице, служителят, разглеждащ сигнала, насочва сигнализиращото лице към едновременно подаване на сигнала и посредством външен канал за подаване на сигнали.

Последващи действия, които следва да бъдат предприети от задълженото лице:

  1. Да предприемат мерки в рамките на своята компетентност за преустановяване на нарушението или за предотвратяването му, ако то не е започнало;
  2. Да приоритизират по предварително определени критерии и правила разглеждането на постъпили множество сигнали за по-тежки нарушения.
  3. Да прекратят проверката.
  4. Да изготви индивидуален доклад, в който описва накратко информацията от сигнала, предприетите действия, окончателните резултати от проверката по сигнала, които заедно с мотивите съобщава на подалия сигнала работник или служител и на засегнатото лице при спазване на задължението за тяхната защита.

Регистър на сигналите

Всяко задължено лице следва да създава и поддържа регистър на сигналите за нарушения, който не може да бъде публичен. В регистъра следва да се съдържа информация за:

  1. Лицето, което е приело сигнала;
  2. Датата на подаване на сигнала;
  3. Засегнатото лице, ако такава информация се съдържа в сигнала;
  4. Обобщени данни за твърдяното нарушение, като място и период на извършване на нарушението, описание на деянието и други обстоятелства, при които е било извършено;
  5. Връзката на подадения сигнал с други сигнали след установяването и в процеса на обработване на сигнала;
  6. Информацията, която е предоставена като обратна връзка на лицето, подало сигнала, и датата на предоставянето й;
  7. Предприетите последващи действия;
  8. Резултатите от проверката по сигнала;
  9. Периода на съхраняване на сигнала.

Информацията, вписана в регистъра, следва да се съхранява по начин, който гарантира нейната поверителност и сигурност. В тази връзка ЗЗЛПСПОИЗ въвежда и следните допълнителни правила, на които следва да се подчиняват вътрешните канали за подаване на сигнали:

Задължените лица следва да предприемат съответни мерки за защита на информацията, свързана с подадените сигнали за нарушения, и за защита на самоличността на сигнализиращите и засегнатите лица, като се предвидят механизми за осигуряване на достъп до тази информация само на служителите, на които тези данни са необходими за изпълнение на служебните им задължения. В тази връзка следва да се има предвид, че предаването на данни и позоваването на обстоятелства относящи се до подадените сигнали не може да разкрива пряко или косвено самоличността на сигнализиращото или засегнатото лице, както и да създаде предположения за неговата самоличност. Разкриването на самоличността на сигнализиращото лице се извършва само в изрично предвидени в българското или европейското законодателство случаи и то след предварително писмено и мотивирано уведомление до сигнализиращото лице относно разкриване на неговата самоличност.

Всяко обработване на лични данни, извършено по ЗЗЛПСПОИЗ, следва да се подчинява на съответните регламенти и директиви за защита на личните данни, въведени в европейското законодателство, както и със Закона за защита на личните данни.

Мерки за осигуряване на защита

ЗЗЛПСПОИЗ въвежда обща забрана за ответни действия спрямо сигнализиращите лица. Това са дейстия, имащи характера на репресия и поставящи лицата в неблагоприятно положение, както и заплахи или опити за такива действия, а именно:

  1. Временно отстраняване от длъжност или уволнение;
  2. Понижаване в длъжност или забавяне на повишение в длъжност;
  3. Изменение на мястото или характера на работата;
  4. Отказ за осигуряване на обучение за поддържане и повишаване на професионалната квалификация;
  5. Отрицателна оценка на работата;
  6. Прилагане на имуществена и/или дисциплинарна отговорност;
  7. Други действия, имащи характер на репресия.

В случай на нарушение на забраната за ответни действия увреденото лице може да търси обезщетение за претърпените от него имуществени и неимуществени вреди. Вредите се считат за причинени умишлено до доказване на противното.

Според Закона сигнализиращите лица не носят отговорност за придобиването на информацията, за която е подаден сигналът или която е публично оповестена, или за достъпа до нея, при условие, че това придобиване или този достъп не съставлява самостоятелно престъпление. Освен това, когато срещу лице има образувано наказателно, гражданско или административно производство във връзка с подаден от него сигнал или публично оповестена информация, то лицето има право да поиска прекратяване на това производство, ако е имало основателна причина да предполага, че подаването на сигнала или публичното оповестяване на информацията са били необходими за разкриване на нарушение.

На следващо място, предвидени са мерки за защита и на засегнатите от сигнала лица. Те имат право на справедлив процес, да бъдат изслушани, както и право на достъп до отнасящите се до тях документи. Засегнатите лица имат право на обезщетение за всички имуществени и неимуществени вреди, когато е установено, че сигнализиращото лице съзнателно е подало сигнал с невярна информация или публично е оповестило невярна информация, както и когато според обстоятелствата е било длъжно да предположи, че информацията е невярна.

Какви са санкциите при неспазване разпоредбите на ЗЗЛПСПОИЗ?

ЗЗЛПСПОИЗ дава възможност на Комисия за защита на личните данни да налагат различни по размер глоби/имуществени санкции, които в определени случаи могат да достигнат до 30 000 лв. Обект на санкциите могат да бъдат задължени по закона лица – работодатели, които не създадат или не поддържат канал за вътрешно подаване на сигнали, възпрепятстват подаването на сигнал по реда на Закона и др. Санкция може да бъде наложена и на лице, което предприеме действия с цел репресия срещу лицето, подало сигнала, или срещу лице, свързано с него. На следващо място, предвидена е и санкция при нарушаване на задължението за поверителност. Глоба може да бъде наложена и на лице, което съзнателно е подало сигнал или е оповестило публично невярна информация. Актовете за установяване на нарушението се съставят от длъжностни лица, определени от Комисия за защита на личните данни, а наказателните постановление се издават от председателя на Комисията. Съставянето, издаването, обжалването и изпълнението на актовете се извършва по реда на Закона за административните нарушения и наказания.

Заключение

С приемането на ЗЗЛПСПОИЗ се въведе нов регулаторен режим в България, осигуряващ защитни механизми спрямо сигнализиращите и засегнатите лица, с които всички задължени лица – работодателя следва да се съобразяват.