През 2019 г. Европейският парламент прие Директива (ЕС) 2019/1937 на Европейския парламент и на съвета от 23 октомври 2019 година относно защитата на лицата, които подават сигнали за нарушения на правото на Съюза („Директивата“) и държавите членки са длъжни да я транспонират в националните си законодателства до 17 декември 2021.
Директивата цели да насърчи служители, да подават сигнали за нарушения на законодателството на ЕС в рамките на организациите, в които работят. От гледна точка на българското законодателство това не е нов подход - българският Наказателен кодекс например, съдържа разпоредби в областта от десетилетие. Въпреки това, практиката показва ниски нива на проактивност по отношение на докладването на нередности в частния сектор.
Директивата определя значително широк материален обхват, като обхваща области, някои от които засягат бизнес процеси, присъстващи в почти всички компании: обществени поръчки, финансови услуги, продукти и пазари и предотвратяване на изпирането на пари и финансирането на тероризма, безопасност на продуктите и съответствие, безопасност на транспорта, опазване на околната среда, радиационна защита и ядрена безопасност, безопасност на храните и фуражите, здраве на животните и хуманно отношение към тях, обществено здраве, защита на потребителите, защита на неприкосновеността на личния живот и личните данни и сигурност на мрежите и информационните системи.
Директивата се фокусира основно върху защитата на лицата, сигнализиращи за нередности, но съдържа и разпоредби, целящи предотвратяването на евентуални смущения за бизнеса от страна на физически лица, които постоянно подават необосновани сигнали. Служителите са обект на защита съгласно Директивата само ако имат достатъчно основания да смятат, че е извършено нарушение и съответно сигнализират за него в съответствие с Директивата.
Директивата предвижда три основни вида подаване на сигнали за нередности:
► Вътрешно: докладване за нарушения в рамките на дадено предприятие (от частния или публичния сектор);
► Външно: докладване за нарушения директно на съответните компетентни органи; и
► Публично: оповестяване на съответната информация относно нарушение пред обществеността. В този сценарий лицето e защитено от Директивата, в случай че е опитало да осъществи вътрешно или външно докладване преди публичното оповестяване.
За да имат възможност служителите да подават сигнали за нарушения на европейското законодателство, бизнесът трябва да създаде и поддържа надлежно защитени канали за сигнализиране на нередности. Това означава, че работодателите са длъжни да обезпечат процеса както документално, така и технически. Директивата обаче предвижда тези задължения да важат само за предприятия с 50 или повече служители, като по този начин малките бизнеси биват освобождавани от подобна административна тежест. Определени изключения са предвидени за предприятия, попадащи във важни от социална гледна точка сектори като например опазването на околната среда и здравеопазването.
Директивата точно счита, че едва ли би могла да бъде постигната вътрешна поверителност по отношение на каналите за сигнализиране на нередности. Поради тази причина тя предвижда тези процеси да могат да се управляват от трети лица.
След подаване на сигнал, отговорният отдел/лица пристъпват към надлежно разследване и предоставят подходяща обратна връзка.
Основната цел на Директивата е не само да насърчи хората принципно да се противопоставят на законодателни нарушения, но и да осигури достатъчна защита на тези, които действително го правят. Всеки сигнализиращ следва да бъде защитен от отстраняване, съкращение, уволнение или еквивалентна мярка, настъпваща като следствие от неговите действия. Сигнализиращите получават и по-широка защита на индустриално ниво (чрез налагане на забрана за тяхното включване в специфичните за всяка индустрия черни списъци), както и защита от лишаване от каквито и да било други права.
Имайки предвид, че съгласно Директивата личните данни се обработват в рамките на каналите за сигнализиране за нередности, тя разумно припомня, че по отношение на обработката на лични данни, се прилагат правилата на Регламент (ЕС) 2016/679 и Директива (ЕС) 2016/680. Тъй като потенциалният незаконен достъп до или разкриване на лични данни на лица, сигнализиращи за нередности, може да причини значителна намеса в тяхната лична сфера, администраторите на данни трябва да прилагат много строги политики и мерки в това отношение. В допълнение трябва да се обръща специално внимание на договорните отношения, в случай че външен субект е ангажиран за обработка на канали за нередности.
Директивата за защита на лица, сигнализиращи за нередности поставя стабилна основа за намаляване на незаконните практики както в публичния, така и в частния сектор. Практическата ефективност и изпълнение обаче ще зависят от бизнеса и публичните органи.