Глоби и пропуснати ползи грозят фирмите, които не спазват закона за защита на лицата, подаващи сигнали

Субектите все още не оценяват напълно важността на това да внедрят и поддържат система за съответствие с изискванията на ЗЗЛПСПОИН, казва консултантът Георги Средков

Ключови думи: Георги Средков, фирми, закони

Д-р Георги Средков е управител и съдружник във фирма "Информейшън Консултинг Офис" ООД, преподавател в Правно-исторически факултет на Югозападен университет "Неофит Рилски", Благоевград. „Информейшън консултинг офис“ е създадена през 2017 г. и е една от първите в България, която предоставя професионални консултантски услуги за цялостна подготовка, внедряване, поддържане и одит на съответствието с изискванията на Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни, както и обучение и сертифициране на Длъжностно лице по защита на данните.

Днес фирмата предлага и:

• Консултиране и изготвяне на необходимите вътрешни правила и процедури за изграждане на вътрешен канал, за прилагане и демонстриране на съответствие с изискванията на Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН).

• Консултиране и внедряване на методика и инструменти за оценка на риска за информационната сигурност, съобразени с бизнеса и дейността на дадената компания.

• Обучение по Правилника за прилагане на Закона за мерките срещу изпирането на пари.

За фирмата работят утвърдени специалисти, университетски преподаватели. Отличаваме се от другите фирми с внимание към клиента и адаптивност към неговите специфични изисквания и нужди, както и съобразяване с особеностите на бизнеса в България, съобщават от дружеството.

- Г-н Средков, трогват ли се задължените субекти от изцяло новия Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения? Той действа вече няколко месеца?

- Наблюденията до момента показват, че задължените субекти все още не оценяват напълно важността на това да внедрят и поддържат система за съответствие с изискванията на Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения. Например един от публично видимите признаци, чрез който може лесно да се установи нивото на съответствие на задължения субект, е, когато на сайта на дадена организация няма публикувани вътрешни правила за приемане и обработка на сигнали по ЗЗЛПСПОИН.

Такова изискване е записано както в Член 12, алинея (4) от Закона, така и в Раздел „4. Задължение за поверителност“ от „Методически указания № 1 за приемане, регистриране и разглеждане на сигнали, постъпили при задължените субекти по Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения, приети с решение на КЗЛД по протокол № 28/27.07.2023 г.“. Там се казва, че „информация за условията и реда за подаване на сигнал по вътрешен канал следва да бъде оповестена публично на интернет страницата на задължения субект (при наличие на такава) и на видно място в офисите и работните помещения, определени за контакт и обслужване на клиенти.“

- Сложно ли е прилагането на закона, търсят ли ви за консултации?

- Не смятам, че е сложно, но, като при всяка материя, има специфични особености по привеждането, поддържането и доказването на съответствие, още повече че до момента нормативната уредба по ЗЗЛПСПОИН претърпя няколко корекции. Ние следим всяка промяна и съветваме нашите клиенти, ако са необходими актуализации. Изграждането и поддържането на Вътрешен канал по ЗЗЛПСПОИН има нормативни, административни и информационно-организационни аспекти. Мога да споделя минималните елементи, необходими за изграждане на вътрешен канал.

Такива са:

1. Вътрешни правила по ЗЗЛПСПОИН, съобразени с дейността и процесите в организацията на задължения субект (или на групата задължени субекти) одобрени от ръководството;

2. Заповед на ръководството на задължения субект (или на групата задължени субекти), с която се възлагат ролите и отговорностите на един или повече служители, които да участват в различните етапи от приемане до приключване на обработката на подаден сигнал по ЗЗЛПСПОИН.

3. Допълнение към длъжностна характеристика на функции по ЗЗЛПСПОИН на служителите, които са определени да участват във вътрешния канал.

4. Уведомителна табела, съдържаща информация за създадените входни точки към вътрешния канал за подаване на сигнали по ЗЗЛПСПОИН като адрес, имейл, телефон, интернет форма и др.

5. Регистър по ЗЗЛПСПОИН и актуални образци на формуляри от сайта на КЗЛД.

6. Провеждане на обучение на служителите, имащи отговорности към вътрешния канал за подаване на сигнали, обхващащо:

• Основни положения в Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения. Запознаване с „Наредба №1/27.07.2023 г. за воденето на регистъра на сигналите по чл. 18 от закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения и за препращане на вътрешни сигнали към комисията за защита на личните данни“ и с „Методически указания № 1 за приемане, регистриране и разглеждане на сигнали, постъпили при задължените субекти по Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения“ (приети с решение на КЗЛД по протокол № 28/27.07.2023 г.).

• Канали за подаване на сигнали. Изисквания за създаване на канал за вътрешно подаване на сигнал.

• Подаване на сигнал, работа със сигналите, вътрешна проверка и последващи действия. Създаване и поддържане на регистър на сигналите за нарушения.

• Задължения за поверителност. Обработване на личните данни.

• Мерки за осигуряване на защита.

• Административно-наказателна отговорност по ЗЗЛПСПОИН.

- Кои субекти имат задължения по закона? Какви са те?

- В раздел I “Вътрешно подаване на сигнал”, Член 12 алинея (1), ясно са посочени задължените субекти по ЗЗЛПСПОИН. Задължени субекти по този закон са:

1. работодателите в публичния сектор с изключение на общините по ал. 2;

2. работодателите в частния сектор с 50 и повече работници или служители;

3. работодателите в частния сектор независимо от броя на работниците или служителите, ако осъществяваната от тях дейност попада в приложното поле на актовете на Европейския съюз, посочени в част I, буква "Б" и част II от приложението към чл. 3, ал. 1 и 3.“

Тъй като Законът транспонира изискванията на Директива (ЕС) 2019/1937 на Европейския парламент и на Съвета от 23 октомври 2019 г. относно защитата на лицата, които подават сигнали за нарушения на правото на Съюза, има множество препратки към други Европейски Регламенти и Директиви, които следва да се отчитат при приемането и обработката на сигнали. Това може да затрудни нашите клиенти и затова се стараем да ги консултираме при възникване на даден казус. Консултациите могат да бъдат свързани с това дали полученият сигнал попада в обхвата на Закона, как е най-добре да бъде обработен и т.н.

- Тежки ли са санкциите за задължените субекти? Какви са те?

- Санкциите са описани в Глава четвърта „Административно наказателни разпоредби“ като най-общо:

• Ако Задължен субект няма създаден канал за вътрешно подаване на сигнал за нарушения, който да отговаря на посочените изисквания в чл. 13, ал. 1 и 2, може да бъде наложена глоба от 1000 до 5000 лева, а когато нарушението е извършено от юридическо лице или едноличен търговец, може да бъде наложена имуществена санкция в размер от 5000 до 20 000 лв. За повторно нарушение наказанието е глоба от 5000 до 10 000 лв. или имуществена санкция в размер от 10 000 до 30 000 лв.

• За възпрепятстване на подаване на сигнал, за непредприемане на необходимите законоустановени действия или за непредоставяне на информация за последващи действия на лицето, подало сигнала, глобата е в размер от 400 до 4000 лв., освен ако не подлежи на по-тежко наказание.

• За предприемане на репресивни действия спрямо лицето, подало сигнала, законодателят е предвидил глоба в размер от 2000 до 8000 лв., освен ако не подлежи на по-тежко наказание.

• Ако лицето съзнателно е подало сигнал или е оповестило публично невярна информация, се наказва с глоба от 3000 до 7000 лв.

• На лице, което не изпълнява наложените коригиращи мерки, се налага глоба, съответно имуществена санкция, в размер от 1000 до 4000 лв., освен ако не подлежи на по-тежко наказание.

На пръв поглед, размерът на възможните санкции не е толкова впечатляващ, както при GDPR, но следва да се имат в предвид други фактори, които биха могли да имат въздействие. Частичното или цялостно несъответствие на Задължен субект може да доведе до:

• натрупване на глоби;

• невъзможност за участие в търгове или държавни поръчки;

• невъзможност за финансиране по Европейски или местни програми;

• невъзможност да предлага стоки или услуги или да бъде поддоставчик на задължено лице, което е постигнало и поддържа съответствие по ЗЗЛПСПОИН.

• и други.

- Бихте ли консултирали и лица, подаващи сигнали за нарушения? Те какво трябва да знаят?

- Да, разбира се, стига сигналът да е етичен, основан на реални факти и да е в полза на обществото. Бихме могли да консултираме лица, които искат да подадат сигнал по ЗЗЛПСПОИН, като оценим дали информацията е достатъчна и влиза в обхвата на Закона, да помогнем с оформяне на сигнала според конкретния казус.