Directiva Whistleblowing EU1937/2019 Ce trebuie sa stii?
Directiva avertizorilor de integritate
La 16 decembrie 2019 a intrat în vigoare Directiva UE privind protecția avertizorilor de integritate. Vă vom arăta cum puteți implementa directiva rapid și ușor în compania dumneavoastră.
Companiile private cu peste 50 de angajați, instituțiile din sectorul public, autoritățile precum și primariile oraselor cu 10.000 sau mai mulți locuitori sunt obligate să stabilească canale interne de raportare adecvate.
Companiile cu 250 sau mai mulți angajați trebuie să se conformeze pana la 17 Decembrie 2021, în timp ce companiile cu angajați între 50 și 250 de angajați au termen de transpunere pana la 17 Decembrie 2023 pentru a se conforma.
Avertizorii ar trebui să poată transmite rapoarte fie în scris, printr-un sistem online, printr-o cutie poștală sau prin poștă și/sau oral, printr-o linie telefonică telefonică sau un robot telefonic. Nu sunt protejați doar angajații care raportează fapte ilegale, ci și solicitanții de locuri de muncă, foștii angajați, susținătorii denunțătorului si jurnaliștii.
Obligatiile companiilor
Toate datele personale, atât cele ale avertizorului, cât și ale oricăror persoane acuzate, trebuie tratate în conformitate cu GDPR.
Companiile trebuie să numeasca „cea mai potrivită” persoană pentru a primi și a urmări raportarile de integritate primite pe canalul intern. Potrivit Directivei UE, acesta ar putea fi:
Auditor Sef, șef de resurse umane, consilier juridic, director financiar (CFO), membru al consiliului executiv sau membru in conducere.
De asemenea, companiile pot externaliza procesarea rapoartelor, de exemplu către o persoana autorizata externa (ex: Ofiter Protectia Datelor Personale).
Compania este obligată să confirme primirea raportului anunțului în termen de șapte zile. Avertizorul trebuie să fie informat cu privire la orice acțiune întreprinsă în termen de trei luni (90 zile), stadiul anchetei interne și rezultatul acesteia.
Companiile sunt obligate să furnizeze autorității competente informații despre procesul intern de raportare, precum și despre canalul (canalele) de raportare. Aceste informații trebuie să fie ușor de înțeles și accesibile, nu numai pentru angajați, ci și pentru furnizori, furnizori de servicii și parteneri de afaceri.
Toate rapoartele primite trebuie păstrate într-un loc sigur, astfel încât să poată fi folosite ca dovezi, dacă este necesar. Perioada de stocare ceruta de lege este de 5 ani.
Companiile cu numar de anagajati între 50 și 250 pot folosi un canal de raportare in comun pentru a obține și colecta rapoarte, cu condiția ca toate celelalte obligații prezentate să fie îndeplinite.
Directiva UE transpusa in legea romaneasca include și detalii despre sancțiuni. Companiile care împiedică raportarea avertizorilor sau a căuta să le obstrucționeze vor fi sancționate cu amenzi mari. Același lucru este valabil și în cazul în care companiile nu reușesc să păstreze confidențialitatea rapoartelor si a avertizorilor. Vor fi, de asemenea sanctiuni, daca vor exista măsuri de represalii împotriva avertizorilor.
Deși directiva aduce în mod clar beneficii avertizorilor, credem, de asemenea, că există beneficii semnificative pentru organizații. Cel mai important, asigurându-se că există aranjamente eficiente de avertizare, angajații și alte părți interesate sunt încurajate să ceara si sa astepte rezolvarea problemelor la nivel intern.
Pentru toate canalele de raportare, identitatea avertizorului trebuie protejată. Toate datele trebuie tratate în conformitate cu GDPR.
În cazul în care canalele interne de raportare nu sunt implementate, ar trebui să fie clar că avertizorii vor putea raporta autorităților publice sau mass-media, în conformitate cu Directiva UE privind avertizorii - cu riscuri incalculabile pentru organizații.
Deoarece toate rapoartele trebuie să fie documentate și trebuie luate măsuri pentru a fi documentate, fiecare raport trebuie să fie ușor accesibil ofițerilor de conformitate pentru gestionarea pașilor următori.
Durata implementării depinde de mărimea și complexitatea structurii organizaționale.
Întrucât toate rapoartele trebuie să fie documentate și trebuie luate măsuri consecutive, fiecare raport trebuie să fie ușor accesibil pentru ofițerii de conformitate, pentru gestionarea pașilor următori. În consecință, un sistem de avertizare ar trebui să fie intuitiv și ușor de utilizat.
Cel mai important, avertizorul trebuie să aibă încredere că identitatea sa este pe deplin protejată.
Din acest motiv, sistemele digitale de avertizare care s-au dovedit a fi sigure și fiabile, sunt recomandate în special companiilor mici și mari, precum și instituțiilor publice. Un sistem certificat de protecție a datelor și securitate IT asigură că datele nu pot fi accesate nici măcar de către furnizor. Din motive legate de protecția datelor, trebuie acordată atenție și locației serverelor furnizorului (in interiorul UE).
Companiile internaționale ar trebui, de asemenea, să se asigure că rapoartele pot fi transmise indiferent de locație și oră, pentru a se asigura că angajații internaționali au acces deplin la sistem.
.
Avertizorul ar trebui să fie informat într-o perioadă rezonabilă de timp cu privire la acțiunile ulterioare planificate sau întreprinse și motivele pentru care au fost alese.
Reperele de timp se refera la urmatoarele:
§ trimiterea catre alte canale sau proceduri (exemplu: HR) pentru sesizările care privesc doar drepturile individuale ale avertizorului,
§ inchiderea raportului din lipsa probelor sau din alte motive,
§ inițierea unor investigații interne, eventual cu indicarea rezultatelor și a posibilelor măsuri de remediere a problemei, sau
§ implică trimiterea către o autoritate competentă pentru investigații ulterioare, în măsura în care aceste informații nu afectează cercetarea internă sau ancheta și nu afectează drepturile persoanei vizate de raport.”
Avertizorul trebuie ținut informat cu privire la progresul și rezultatele investigației pe măsură ce aceasta se desfășoară.
Da, pe baza Directivei UE privind avertizorii, personalul care gestionează rapoartele, trebuie să fie special instruit și familiarizat cu reglementările aplicabile privind protecția datelor (GDPR). Aceste abilități sunt necesare pentru procesarea eficientă a rapoartelor, pentru a comunica cu avertizorii, chiar dacă aleg să rămână anonimi, și pentru a gestiona acțiunile consecutive corespunzătoare.
Conform Directivei, companiile nu trebuie să se bazeze pe obligațiile legale sau contractuale, cum ar fi clauzele de loialitate din contracte de munca sau acordurile de confidențialitate sau de nedivulgare, pentru a exclude posibilitatea de raportare, pentru a refuza protecția avertizorilor, sau pentru a le impune sancțiuni pentru raportarea informațiilor privind încălcările, mai exact - este interzis companiilor:
§ a exclude posibilitatea de raportare,
§ să refuze protecția avertizorilor
§ prevede sancțiuni pentru raportarea sau dezvăluirea informațiilor despre încălcări atunci când divulgarea informațiilor acoperite de aceste clauze și acorduri este necesară pentru a descoperi încălcarea legii.
Dacă aceste condiții sunt îndeplinite, avertizorii nu sunt răspunzători în temeiul dreptului civil, penal sau administrativ sau în ceea ce privește dreptul muncii.
Directiva prevede că avertizorii care obțin sau au acces în mod legal acces la informațiile privind încălcările ar trebui să beneficieze de imunitate de răspundere. În cazul în care informațiile relevante au fost obținute sau obținute prin săvârșirea unei infracțiuni, cum ar fi violarea fizică sau piratarea informatica, răspunderea penală ar trebui să rămână guvernată de legislația națională aplicabilă.
DOTCOM IT PRO SRL, Barbu Vacarescu 129, Bucuresti Telefon 0746 305 003
