Din anul 2022, protecția juridică acordată avertizorilor în interes public (Whistleblowers) a devenit aplicabilă și în mediul privat. Directiva (UE) 2019/1937, care armonizează regulile de raportare și protecție la nivel de uniune, a fost transpusă în România prin Legea 361/2022 privind protecția avertizorilor în interes public.
Pentru companiile cu minim 250 de angajați (altele decât cele care activează în domeniile menționate în anexele Legii 361/2022), obligațiile legii legate de instituirea unui canal intern de raportare au devenit aplicabile de la data intrării în vigoare a Legii 361/2022. În schimb, organizațiile mai mici, cu 50-249 de angajați, au avut o perioadă de grație care se termină pe 17 decembrie 2023.
Care sunt cerințele de conformitate Whistleblowing ce trebuie să fie aplicate?
1. Instituirea canalului intern de raportare
Companiile au obligația de a implementa un canal intern prin intermediul căruia avertizorii vor putea raporta încălcări ale legii în scris, pe suport hârtie sau în format electronic, prin comunicare la liniile telefonice sau prin alte sisteme de mesagerie vocală, sau prin întâlnire faţă în faţă, la cererea avertizorului în interes public.
În acest sens, companiile pot implementa o adresă de e-mail dedicată, un alt mijloc de raportare electronic (formular pe un domeniu alocat în acest sens), o adresa poștală sau o linie telefonică dedicată.
Canalul de raportare trebuie să poată garanta, din punct de vedere tehnic și organizațional, protejarea confidențialității avertizorilor și a altor persoane menționate în raportare.
2. Desemnarea unei persoane
Este necesară desemnarea unei persoane, a unui compartiment sau a unui terț cu atribuții pentru gestionarea raportărilor. Persoana desemnată trebuie să fie independentă în exercitarea funcției și să acționeze cu imparțialitate.
Aceasta persoană sau echipă va fi responsabilă cu primirea, înregistrarea și examinarea raportărilor, precum și cu efectuarea de acţiuni subsecvente şi soluţionarea raportărilor.
3. Adoptarea unei proceduri, cu conținut minim obligatoriu
Companiile au obligația de a elabora o procedură privind gestionarea raportărilor interne şi efectuarea de acţiuni subsecvente care trebuie să cuprindă o serie de elemente:
i. detalii privind conceperea şi gestionarea canalelor de raportare, astfel încât să fie protejată confidenţialitatea identităţii avertizorului şi a oricărei părţi terţe menţionate în raportare şi să se împiedice accesul la raportare al personalului neautorizat;
ii. detalii privind persoana desemnată sau departamentul din companie cu atribuții în ceea ce priveşte gestionarea raportărilor;
iii. informații privind acţiunile subsecvente desfășurate de către persoana desemnată în exercitarea atribuțiilor sale;
iv. obligaţia de informare a avertizorului cu privire la primirea raportării, stadiul acţiunilor subsecvente, precum şi modalitatea de soluționare a raportării;
v. obligaţia de informare a conducerii companiei cu privire la modalitatea de soluţionare a raportării;
vi. detalii privind obligaţia de a furniza informaţii privind procedurile de raportare externă către autorităţile competente.
Canalul intern de raportare, respectiv persoana desemnată să gestioneze raportările ân cadrul companiei se aduc la cunoștința avertizorilor prin afișare pe website-ul companiei, respectiv la sediul acesteia, într-un loc vizibil și accesibil.
4. Respectarea GDPR, inclusiv informarea despre prelucrarea datelor personale
Prelucrarea datelor personale în contextul primirii raportărilor și investigării faptelor semnalate se face cu respectarea normelor generale din GDPR și legislația națională în domeniul protecției datelor, în plus față de cerințele speciale din Legea 361/2022.
Concret, companiile trebuie să pună la dispoziție avertizorilor o notă de informare despre prelucrarea datelor și să implementeze principiile generale GDPR (inclusiv identificarea temeiurilor legale adecvate, minimizarea și securitatea datelor). De asemenea, companiile vor mai avea în vedere: actualizarea registrului de evidență a prelucrării datelor, încheierea acordurilor de prelucrare a datelor personale cu eventuali terți furnizori de servicii aferente canalelor de raportare, prevenirea incidentelor de securitate sau raportarea incidentelor care au avut loc.
5. Documentarea raportărilor și menținerea unor registre
Raportările primite pe canalul intern trebuie să fie înregistrate conform procedurii adoptate de companie și păstrate timp de 5 ani. De asemenea, informațiile legate de raportare se păstrează într-un registru cu un conținut impus de lege.
Care sunt sancțiunile?
Încălcarea obligațiilor prevăzute Legea 361/2022 de către companii poate fi sancționată cu amendă contravențională de până la 40.000 lei.
De asemenea, un avertizor care a fost ținta represaliilor ca urmare a unei raportări, poate contesta în instanță măsurile luate ca represalii în acest context. În aceste cazuri sarcina de a dovedi că măsura contestată este justificată de alte motive decât cele care au legătură cu raportarea revine companiei cu privire la care se face contestarea privind represaliile.
Articol scris de Alexandra Cruceru
CIPP/E, Senior Associate