VSI BLOGI

Kaj vse mora vsebovati akt za notranjo prijavno pot

Prejmite koristne nasvete in informacije s področja zaščite prijaviteljev v svoj e-poštni nabiralnik
Z naročilom se strinjate s politiko varstva osebnih podatkov.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Deli

Izvajanje Zakona o varstvu prijaviteljev (ZZPri) je pomemben korak k večji preglednosti in transparentnosti delovanja podjetij. Podjetja, ki zaposlujejo 50 ali več delavcev, morajo sprejeti notranji akt, ki ureja notranjo prijavno pot prijav nepravilnosti. Podjetja, ki zaposlujejo 250 ali več delavcev morajo ta notranji akt sprejeti že do 23. maja 2023, podjetja z 50 ali več delavcev pa imajo čas do 17. dec. 2023.

Izvajanje zakona ni ravno enostavno, saj morajo podjetja zagotavljati ustrezno zaščito prijaviteljev, anonimnost in nepristranskost v postopkih obravnave prijav. Pri tem je ključno, da se podjetja držijo določb ZZPri in svojega notranjega akta.

Predstavili vam bomo predstavili, kako podjetja prenesejo določbe zakona o zaščiti prijaviteljev v svoj notranji akt in opisali bomo izzive, s katerimi se podjetja soočajo pri izvajanju zakona.

Zakon določa, da mora akt o notranji prijavni poti za prijave žvižgačev vključevati:

  1. zaupnika, po potrebi pa tudi administrativno osebje oziroma informacijsko podprt način prejema in evidentiranja prijav in morebitnega zunanjega ponudnika storitve prejemanja prijav;
  2. elektronski naslov, telefonsko številko ali druge kontaktne podatke za prejem prijav; 
  3. postopek prejema notranje prijave in njene obravnave; 
  4. ukrepe za preprečitev dostopa nepooblaščenim osebam do informacij o prijavitelju in drugih vsebin iz evidence prijav; 
  5. obveščanje notranjih organizacijskih enot, odgovornih za odpravo kršitve, način seznanitve vodstva o obravnavi prijave; 
  6. način informiranja zaposlenih in drugih oseb v delovnem okolju zavezanca o možnosti zunanje prijave.

 

Zaupnik

Naloge zaupnika opravlja zaposleni pri zavezancu. Zaupnik je lahko en sam, možno je tudi imenovanje enega ali več namestnikov zaupnik. Vlogo zaupnika lahko opravlja tudi notranja organizacijska enota zavezanca.

Zaupnik je ključen za zagotavljanje učinkovitosti sistema za prijav. Zaupnik mora biti na voljo zaposlenim, ki sumijo na kršitve, in mora biti neodvisen od drugih vodilnih funkcij v podjetju. 

Prejem prijav

Prijave lahko prijavitelji podajajo preko elektronskega naslova, telefonsko številke ali na drug način. Zakonodajalec, kljub drugačnim predlogom civilne družbe, žal ni natančno opredelil niti obveznih načinov izvedbe prijavnih poti niti varnostnih standardov za prejem prijave. Iz določb zakona pa sicer jasno izhaja, da se vsi podatki o prijavi privzeto štejejo za zaupne, izjeme za njihov razkritje pa so v zakonu izrecno navedene.

Glede na to da elektronska pošta ni varen kanal za prenos informacij, ne zagotavlja dostave sporočil, nevarni pa so tudi poskusi  lažnega predstavljanja (t.i. phishing) uporabo elektronske pošte za prejem in obravnavo prijav odsvetujemo.

Pod druge načine prejema prijav lahko zavezanec uporabi tudi poseben fizičen poštni predal kamor prijavitelji oddajo prijave. Zakon sicer dopušča tudi druge možnosti prjav jih pa izrecno ne opredeli.

Obravnava prijav

Postopek prejema in obravnave prijav mora biti jasno opredeljen in mora zagotavljati, da se prijave obravnavajo na zaupen način.

Zakon sicer omoroča imenovanje enega samega zaupnika, hkrati pa določa tudi roke za odgovor na pritožbe. Zaradi morebitne daljše odsotnosti zaupnika je zato smiselno, da zavezanec  opredeli še njegove namestnike ali pa za opravljanje vloge zaupnika pooblasti organizacijsko enoto zavezanca. 

Če se zavezanec odloči, da bo nalogo zaupnika prevzela organizacijska naloga zaupnika mora opredeliti način obravnave prijav v okviru organizacijske enote. Večji zavezanci se lahko odločijo  za bolj kompleksne načine obravnave prijav z natančno opredelitvijo vlog kot so npr. vodja preiskav, preiskovalec ipd.

Zavezanec mora natančno opredeliti interni postopek obravnave prijave pri čemer  je treba upoštevati tudi obvezne roke, ki jih določa zakon.

Če se zavezanec odloči, da bo hranil evidenčne podatki o prijavi in poročilo dlje kot je zakonsko predpisano mora to opredeliti v aktu.

Preprečitev dostopa do informacij

Ukrepi za zaščito osebnih podatkov prijavitelja so namenjeni zagotavljanju, da dostop do informacij o prijavitelju in drugih vsebin iz evidence prijav ni dostopen nepooblaščenim osebam.

V aktu je potrebno opredeliti način s katerim zavezanec zavaruje varnost podatkov: kot so šifriranje podatkov med prenosom in hranjenjem, veriženje zapisov za zagotavljanje nezatajljivost vrstnega reda dogodkov, kriptografski zmletki sporočil za zagotavljanje integritete podatkov, kontrola dostopov do podatkov, sistemi za zaznavanje in preprečevanje vdorov ter sistemi za upravljanje varnostnih informacij in dogodkov (SIEM).

Če se zavezanec odloči,da bo notranjo prijavno pot upravljal sam je treba zagotoviti, da do podatkov o prijavah dostopajo samo zaupniki.  

Če se zavezanec odloči prepustiti funkcijo upravljanja notranje prijavne poti zunanjemu ponudniku (npr whistler.si) je le-ta dolžan upoštevati vse določbe tega zakona glede varovanja identitete prijavitelja in zaupnosti. 

Obveščanje notranjih organizacijskih enot

Cilj zakona je, da bi se čim več kršitev hitro in učinkovito rešilo v okviru zavezanca. V aktu je potrebno opredeliti postopek obravnave posamezne kršitve. Zaupnik ob prejemu prijave morebitne kršitve le-to preizkusi in se v skladu z določbami 11. člena zakona odloči ali jo bo obravnaval.

V primeru obravnave prijave je potrebno v aktu opredeliti način kako zaupnik o kršitvi obvesti notranje organizacijskih enote, odgovorne za odpravo kršitve in kako in kdaj zaupnik o obravnavi prijave seznani vodstvo zavezanca.

Informiranja zaposlenih o možnosti zunanje prijave

V primeru, da notranja prijavna pot ni vzpostavljen ali ni delujoča zakon prijaviteljem omogoča tudi zunanjo pot za prijavo nepravilnosti. V zakonu je naveden seznam organov, ki morajo vzpostaviti zunanjo prijavno pot. 

Zavezanec je o možnostih uporabe zunanjih prijavnih poti dolžan seznaniti zaposlene in druge osebe v delovnem okolju zavezanca. Akt mora opredeliti na kakšne način je to zagotovljeno. Zavezanec se lahk oodloči za objavo na spletnih straneh, oglasni deski ali drug primeren način in to tudi opredeli v aktu. petnajstega odstavka tega člena.

Čas imate
do 19.dec.

00
dni
00
ur
00
minut
00
sekund

Za podjetja z 250 ali več zaposlenimi je 23. 5. 2023 zakonsko določen datum, do katerega je potrebno urediti varno in zaščiteno notranjo prijavno pot za žvižgače. Za ostale zavezance je rok 19. 12. 2023.  Whistler.si je celovit sistem podpore žvižgačem za slovenska podjetja in ustanove, ki že deluje v šestih državah.

NAROČITE DEMO PREDSTAVITEV

Sorodne objave

Vse o zaščiti prijaviteljev nepravilnosti (žvižgačev)

Poglej VSE

Slovenski zakon o žvižgačih je varnostno pomanjkljiv - kaj lahko storite?

Slovenija je sprejela zakon o zaščiti žvižgačev, ki je pomemben korak v boju proti korupciji. Implementacija zakona je pomanjkljiva, saj notranji komunikacijski kanal žvižgačev zahteva le "poseben elektronski naslov", kar ni dovolj varno.
PREBERI VEČ

Zakon o zaščiti žvižgačev v Sloveniji: zakaj moramo škodo kriti davkoplačevalci?

Slovenski parlament je sprejel zakon o zaščiti prijaviteljev (ZZPri), s katerim želi zaščititi zaposlene, ki prijavijo nezakonita ali neetična dejanja na delovnem mestu.
PREBERI VEČ

Ob sprejemu zakona o zaščiti prijaviteljev

Slovenija je sprejela Zakon o zaščiti prijaviteljev (ZZPri), ki ima za osnovni namen zaščito žvižgačev, vzpostavitev notranjih in zunanjih prijavnih poti, opredelitev načinov prijave kršitev, varovanje žvižgačev pred povračilnimi ukrepi, podporne ukrepe za žvižgače in uvedbo zaupnika.
PREBERI VEČ
View all
© 2023 Inetis d.o.o.
Varstvo osebnih podatkovPogoji uporabe
Hvala.
Oops! Something went wrong while submitting the form.