Bułgarska ustawa o ochronie sygnalistów "ЗЗЛПСПОИН"
Bułgaria powierzyła swój system dla sygnalistów mało oczywistemu urzędowi. Państwowy kanał zgłoszeń prowadzi Komisja ds. Ochrony Danych Osobowych. Ustawa o ochronie osób zgłaszających lub publicznie ujawniających informacje o naruszeniach (ЗЗЛПСПОИН) nie dopuszcza zgłoszeń anonimowych i pomija wszystko, co jest starsze niż dwa lata. Pominięcie wewnętrznego kanału grozi firmie karą do 20 000 lewów. Oto jak działają te przepisy.
Najważniejsze informacje
- Pracodawcy zatrudniający 50 lub więcej osób muszą prowadzić wewnętrzny kanał zgłoszeń.
- Komisja ochrony danych jest jedynym państwowym kanałem i kieruje zgłoszenia do 14 organów sektorowych.
- Ustawa nie przyjmuje zgłoszeń anonimowych ani dotyczących naruszeń sprzed ponad dwóch lat.
- Sygnalista, który spotkał się z odwetem, może dochodzić odszkodowania, a to pracodawca musi udowodnić, że nie był to odwet.
- Firmie, która pominie kanał, grozi przy ponownym naruszeniu kara do 30 000 lewów.
Kogo i co chroni ustawa?
Ustawa obejmuje szeroki zakres. Zgłoszenie może wskazywać naruszenie prawa UE. Mieszczą się tu zamówienia publiczne, usługi finansowe i bezpieczeństwo produktów. Obejmuje też bezpieczeństwo transportu, środowisko, zdrowie publiczne i ochronę danych. Ale Bułgaria poszła dalej, niż wymaga dyrektywa. Ustawa obejmuje każde zwykłe przestępstwo, o którym pracownik dowie się w związku z pracą. Obejmuje też bułgarskie przepisy o pracy, służbie cywilnej i długach publicznych. Pracownik może więc zgłosić kradzież lub tuszowanie zagrożenia, a nie tylko naruszenie prawa UE.
"Niniejsza ustawa ma zastosowanie do zgłoszeń lub publicznego ujawnienia informacji o ... przestępstwie o charakterze powszechnym, o którym osoba, o której mowa w art. 5, dowiedziała się w związku z wykonywaniem swojej pracy."
Art. 3 ust. 1 ustawy o ochronie osób zgłaszających naruszenia
Ochrona obejmuje długą listę osób. Dotyczy pracowników i urzędników. Włączeni są samozatrudnieni, wykonawcy i dostawcy. Tak samo wolontariusze i stażyści. Tarcza rozciąga się na członków organów spółki, wspólników i jedynego właściciela firmy. Sięga nawet kandydata do pracy, który dowiedział się o naruszeniu podczas rekrutacji, oraz pracownika, którego umowa już wygasła. Chronione są także osoby pomagające i krewni, ponieważ mogą spotkać się z odwetem za cudze zgłoszenie.
Pewne sprawy pozostają poza ustawą. Nie dotyczy ona informacji niejawnych ani umów obronnych objętych traktatami UE. Wyłączona jest tajemnica adwokacka, więc prawnicy zobowiązani do zachowania poufności pozostają chronieni. Wyłączona jest również tajemnica lekarska. Tak samo narady sądu i przepisy postępowania karnego.
Którzy pracodawcy muszą utworzyć kanał?
Obowiązek ten spoczywa na każdym pracodawcy z sektora publicznego. Dotyczy też firm prywatnych zatrudniających 50 lub więcej pracowników. W niektórych dziedzinach wielkość nie ma znaczenia. Firma z branży finansowej lub przeciwdziałania praniu pieniędzy musi utworzyć kanał niezależnie od liczby zatrudnionych. To samo dotyczy innych wymienionych obszarów aktów UE. Małe miejscowości mają ulgę. Gmina poniżej 10 000 mieszkańców może dzielić zasoby z innymi. Tak samo firma zatrudniająca mniej niż 50 osób.
Obowiązek wchodził w życie etapami. Ustawa weszła w życie 4 maja 2023 r., trzy miesiące po ogłoszeniu. Podmioty publiczne i większe firmy prywatne musiały być gotowe od tego dnia. Firmy prywatne zatrudniające 50 do 249 osób dostały więcej czasu. Ich termin upływał 17 grudnia 2023 r. Te średniej wielkości firmy mogą również prowadzić wspólny kanał. Mogą wyznaczyć jedną osobę lub jedną komórkę do obsługi zgłoszeń dla całej grupy.
Każdy zobowiązany pracodawca musi opublikować zasady zgłaszania. Szczegóły umieszcza się na jego stronie internetowej i w jego siedzibie. Co najmniej raz na trzy lata musi też dokonać przeglądu własnych zasad zgłaszania.
Jak utworzyć wewnętrzny kanał zgłoszeń?
Najpierw wyznacz pracownika do przyjmowania i oceny zgłoszeń. Może to być osoba, która już zajmuje się ochroną danych. Sprawdza się to, dopóki nie ma konfliktu interesów. Tylko ona może czytać przychodzące zgłoszenia. Musi chronić nazwisko każdego zgłaszającego. Musi odciąć od dostępu każdego, kto nie ma potrzeby wglądu. Pracownicy muszą mieć możliwość zgłaszania na piśmie, telefonicznie lub osobiście. Zgłaszający wypełnia standardowy formularz, ustalony przez komisję ochrony danych.
"Pracownicy odpowiedzialni za badanie zgłoszeń ... potwierdzają ich otrzymanie w ciągu 7 dni, dbają o należytą ochronę tożsamości osoby zgłaszającej oraz przekazują informację zwrotną o podjętych działaniach w terminie nie dłuższym niż trzy miesiące."
Art. 16 ustawy o ochronie osób zgłaszających naruszenia
Wtedy zaczyna biec termin. Osoba prowadząca sprawę musi potwierdzić otrzymanie w ciągu 7 dni. Musi przekazać zgłaszającemu informację zwrotną w ciągu trzech miesięcy. Każdy pracodawca prowadzi niejawny rejestr zgłoszeń. Rejestr odnotowuje, kto i kiedy przyjął zgłoszenie. Odnotowuje zarzucane naruszenie oraz podjęte w jego następstwie działania. Jeśli fakty się potwierdzą, osoba prowadząca sprawę proponuje rozwiązanie. Jeśli ujawni się przestępstwo, akta trafiają wprost do prokuratora.
WeMoral oddaje wyznaczonej osobie zapieczętowaną skrzynkę odbiorczą. Nikt inny nie może jej otworzyć. Prowadzi też niejawny rejestr wymagany przez art. 18, z każdym wpisem oznaczonym znacznikiem czasu. To system dla sygnalistów hostowany na własnym serwerze, który spełnia wymagania ЗЗЛПСПОИН wobec wewnętrznego kanału. Firma prywatna może powierzyć tę pracę zewnętrznemu dostawcy, a WeMoral zajmuje to miejsce. Gdy komisja przekaże sprawę albo Ombudsman skontroluje akta, to właśnie ten oznaczony czasowo rejestr jest dokumentem, po który sięgasz. Wewnętrzny kanał możesz uruchomić w jeden dzień.
Co się dzieje, gdy zgłaszasz sprawę państwu?
Droga zewnętrzna prowadzi przez jeden organ. Bułgaria wyznaczyła swoją Komisję ds. Ochrony Danych Osobowych jako organ centralny dla zgłoszeń zewnętrznych. Ten sam regulator, który strzeże danych osobowych, przyjmuje teraz zgłoszenia sygnalistów. W większości spraw sam ich nie rozstrzyga. Każde zgłoszenie przekazuje właściwemu regulatorowi sektorowemu w ciągu 7 dni. I dba o to, by przy tym przekazaniu nie ujawnić nazwiska zgłaszającego.
"Organem centralnym do spraw zgłoszeń zewnętrznych oraz ochrony osób objętych ochroną na podstawie niniejszej ustawy jest Komisja ds. Ochrony Danych Osobowych."
Art. 19 ustawy o ochronie osób zgłaszających naruszenia
Lista organów przyjmujących jest długa. Zgłoszenie dotyczące finansów trafia do Komisji Nadzoru Finansowego. Zgłoszenie dotyczące żywności trafia do Bułgarskiej Agencji Bezpieczeństwa Żywności. Zgłoszenie dotyczące konkurencji trafia do regulatora ds. konkurencji. W sumie komisja może kierować zgłoszenia do 14 wskazanych organów. Musi przekazać zgłaszającemu informację zwrotną w ciągu trzech miesięcy. W trudnej sprawie może to wydłużyć do sześciu miesięcy. Zasady kanału możesz przeczytać na własnej stronie komisji.
Kanał stanowi odrębną komórkę wewnątrz komisji. Zgłoszenia rozdziela się losowo między przeszkolonych pracowników. Pracownicy ci nie mogą przekazywać szczegółów zgłoszenia nikomu. Zakaz ten obejmuje nawet pozostałych członków komisji.
Na szczycie jest jeszcze jedna kontrola. Ombudsman Republiki kontroluje pracę komisji nad zgłoszeniami. Ombudsman sprawdza, czy dotrzymano terminów, czy rejestry są zgodne z ustawą i czy zgłaszający byli chronieni. Rozpatruje też skargi na komisję i co roku składa sprawozdanie Parlamentowi. Organ, który prowadzi kanał, sam jest więc nadzorowany.
Brak zgłoszeń anonimowych i dwuletni termin
Bułgaria dokonała dwóch wyborów, które dyrektywa pozostawiła otwarte. Nie wszczyna postępowania na podstawie zgłoszenia anonimowego. I nie podejmuje działań w sprawie naruszenia popełnionego ponad dwa lata temu. Standardowy formularz wymaga podania imienia, nazwiska i adresu zgłaszającego. Wymaga numeru telefonu i podpisu. System jest więc zbudowany wokół zgłoszeń imiennych.
"Nie wszczyna się postępowania w sprawie: 1. zgłoszeń anonimowych; 2. zgłoszeń dotyczących naruszeń popełnionych ponad dwa lata temu."
Art. 9 ustawy o ochronie osób zgłaszających naruszenia
Jest jeden zawór bezpieczeństwa. Załóżmy, że ktoś zgłosił sprawę anonimowo. Załóżmy, że później go zidentyfikowano i wtedy spotkał się z odwetem. Ustawa nadal go chroni. Wystarczy, że miał uzasadnione podstawy, by sądzić, że zgłoszenie było prawdziwe. Dwuletni termin i zakaz anonimowości zwężają więc drzwi wejściowe. Ale nie pozbawiają ochrony kogoś, kogo zdemaskowano i ukarano.
Jak chroni się sygnalistów przed odwetem?
Działania odwetowe są wprost zakazane. Ustawa wymienia 15 ich form. Sięgają od zwolnienia i degradacji po obniżkę wynagrodzenia. Obejmują przymusowe przeniesienie i złą opinię. Na liście są wpis na czarną listę, rozwiązanie umowy i cofnięcie licencji. Tak samo nakaz poddania się badaniu lekarskiemu. Groźby i próby także się liczą.
"Zakazane są wszelkie formy działań odwetowych wobec osób, o których mowa w art. 5, mające charakter represji i stawiające je w niekorzystnym położeniu, jak również groźby lub próby takich działań."
Art. 33 ustawy o ochronie osób zgłaszających naruszenia
Ustawa przechyla też szalę na korzyść zgłaszającego. Sygnalista dotknięty represją może dochodzić odszkodowania. Domniemywa się, że szkoda była zamierzona, dopóki druga strona nie udowodni inaczej. A w sprawie o odwet ciężar dowodu spoczywa na pracodawcy. Musi udowodnić, że jego działanie miało zgodną z prawem przyczynę. Musi wykazać, że zgłoszenie nie było powodem.
Wraz z tarczą przychodzi wsparcie. Komisja udziela bezpłatnych porad. Krajowe Biuro Pomocy Prawnej zapewnia pomoc prawną. Obejmuje ona sprawy karne, cywilne i administracyjne. Mediator może pomóc w sporach transgranicznych. Zgłaszający jest też zwolniony z odpowiedzialności za uzyskanie informacji. A chronione ujawnienie tajemnicy przedsiębiorstwa uznaje się za zgodne z prawem.
Zgłaszający, przeciwko któremu wszczęto sprawę sądową, ma jeszcze jedno uprawnienie. Może wystąpić do sądu o jej umorzenie. Wystarczy, że miał uzasadnione podstawy, by sądzić, że zgłoszenie było potrzebne do ujawnienia naruszenia.
Jakie są kary?
Kary wyrażone są w lewach, walucie krajowej. Lew jest powiązany z euro kursem 1,95583. Przewodniczący komisji ochrony danych wydaje decyzje o nałożeniu kar. Pieniądze trafiają do budżetu państwa. Poniższe kwoty rosną przy ponownym naruszeniu.
| Naruszenie (artykuł) | Kara |
|---|---|
| Brak wewnętrznego kanału, osoba fizyczna (art. 41) | 1 000-5 000 BGN (511-2 556 EUR) |
| Brak wewnętrznego kanału, firma lub jednoosobowy przedsiębiorca (art. 41) | 5 000-20 000 BGN (2 556-10 226 EUR); do 30 000 BGN przy ponownym naruszeniu |
| Blokowanie zgłoszenia albo pominięcie działań następczych lub informacji zwrotnej (art. 42) | 400-4 000 BGN (205-2 045 EUR) |
| Odwet wobec zgłaszającego (art. 43) | 2 000-8 000 BGN (1 022-4 090 EUR) |
| Naruszenie poufności (art. 44) | 400-4 000 BGN (205-2 045 EUR) |
| Złożenie świadomie fałszywego zgłoszenia (art. 45) | 3 000-7 000 BGN (1 534-3 579 EUR) |
Rozwiązanie Bułgarii jest swoiste. Większość krajów stworzyła nowy urząd. Inne oparły się na regulatorze rynku pracy. Bułgaria powierzyła to zadanie strażnikowi swoich danych. Następnie ustanowiła Ombudsmana, by pilnował pilnującego. Na papierze to schludne dopasowanie. Komisja już wie, jak utrzymać nazwiska w tajemnicy. Trudniejsze jest pytanie otwarte. Czy kierowanie zgłoszenia przez jedną komisję, a dalej do 14 ministerstw, utrzymuje nadawcę tak bezpiecznie, jak obiecuje ustawa? Aby zobaczyć, jak Bułgaria wypada na tle reszty wspólnoty, nasz spis przepisów o ochronie sygnalistów według krajów zestawia je obok siebie.
Doradca prawny od prawa gospodarczego, handlowego i własności intelektualnej. Pisze o przepisach o sygnalistach, dyrektywie UE i wdrażaniu procedur zgłoszeń.