Ще изградим системата за защита на лицата, подаващи сигнали, но обществото още не е готово

От май 2023 г. е в сила изцяло нов Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН). Той е следствие и от Директива 2019/1937 (т.нар. Whistleblower Directive). Новата уредба е сравнявана с въвеждането на изискванията на Общия регламент за защита на данните (GDPR), които доведоха до известен шок в бизнеса и администрацията. Към 17 декември изтичат срокове, свързани с подготовката на задължените субекти по Закона за защита на лицата, подаващи сигнали. Водещ орган по прилагането на новите норми е Комисията за защита на личните данни (КЗЛД). Потърсихме за коментар проф. д.т.н. Веселин Целков – член на Комисията.

- Проф. Целков, от май месец действа изцяло новият закон за защита на лицата, които подават сигнали за нарушения. На 17 декември изтича много ключов срок. Подготвени ли са държавата, институциите и частните субекти за новата нормативна уредба? Предстоят ли глоби?

- В цялата система за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения, има няколко ключови елемента. На първо място, това е централният орган за външно подаване на сигнали и неговата администрация. Може да кажем, че централният орган е изпълнил всички свои задължения по този закон, утвърдил е и е публикувал съответната наредба...

- Централният орган сте вие?

- Централният орган е Комисията за защита на личните данни. В брой 67 на „Държавен вестник” от 04 август 2023 г. е обнародвана приетата от КЗЛД на 27 юли т.г. Наредба за воденето на регистъра на сигналите по чл. 18 от ЗЗЛПСПОИН и за препращане на вътрешни сигнали към Комисията за защита на личните данни. Паралелно с текста на наредбата Комисията публикува и първите методически указания за приемане, регистриране и разглеждане на сигнали, постъпили при задължените субекти по закона. В изпълнение на законовите изисквания за извършване на анализ на практиката по прилагането на ЗЗЛПСПОИН методическите указания могат да подлежат на периодично допълване и актуализиране.

- Кои са другите важни субекти според закона?

- Следват компетентните органи по чл. 20 – това е вторият ключов елемент. В предметното поле на своята дейност те имат съответните компетенции да разглеждат сигнали. Свършена е доста добра работа, свързана с установяване на взаимодействието между централния орган и компетентните органи и изясняването на техните отговорности съгласно закона. Третият ключов елемент е групата на задължените субекти. И с тях е свършена доста работа в смисъл на информираност на обществото, проведени са два-три публични семинара, има достатъчно публикувана информация на сайта на КЗЛД. Но в интерес на истината не може да се каже, че в момента задължените субекти са подготвени, защото те имат цял набор от отговорности, свързани с изграждането на вътрешния канал за подаване на сигнали. Те трябва да назначат лице за разглеждането на сигнали, да поддържат регистър на сигналите, да комуникират с лицето, подало сигнала, да установят взаимодействието с централния орган, много точно да разпишат стъпките и времевите срокове, свързани с установяване достоверността, валидността на сигнала. Освен това, следва да се осигури взаимодействието не само с лицето, подаващо сигнала, а и със засегнатите лица – те също имат права, като могат да се запознаят със сигнала, да представят допълнителни доказателства, факти и сведения, които ще дадат възможност да се разбере сигналът истински ли е, или не; извършени ли са, или не нарушения.

- Да очакваме ли шок за фирмите от порядъка на това, което се случи с GDPR?

- Шок, свързан с наказания, по-скоро не трябва да се очаква. Шоковото въздействие ще дойде тогава, когато стане ясно, че за получаване на публични финанси и изобщо за финансиране по (европейски) проекти, ще се наложи тази система не само да бъде изградена, а и да бъде в действие. Това е така нареченият за всяка една организация или фирма вътрешен канал за подаване на сигнали.

- Дали ще има въведено такова нормативно изискване?

- Нормативно може и да не бъде написало черно на бяло, но ще бъде въведено като едно от условията за финансиране. Това е практиката в Съединените щати. Там нито един инвестиционен фонд, нито една банка или друг субект, който ви дава пари, няма да инвестира в някакъв проект, ако организациите, изпълняващи този проект, нямат изградена и функционираща такава система за защита на лицата, подаващи сигнали.

- Кой е най-големият проблем по отношение на новата система за Вас?

- Правилата са ясни, ясно е и какво трябва да бъде взаимодействието. Системата ще бъде изградена. Големият въпрос е свързан със защитата на лицата, подаващи сигнали. Даже и в Съединените щати, които имат много силно развита система за защита на тези лица, реалната защита е около 30-40%. И тук е важна ролята не само на Комисията за защита на личните данни като централен орган, а и ролята на различни неправителствени организации, на Националното бюро за правна помощ и други, които трябва да създадат онези истински механизми, които ще доведат до реалната защита на лицата. Защото в момента защитата се свежда до няколко възможни опции. Те са свързани със защита на информацията и самоличността, забрана за ответни действия, предупреждаване на ръководителя да не се предприемат репресивни мерки срещу служителя, подаващ сигнал, осигуряване на правна помощ и няколко други, но общо взето обществото не е готово да осигури необходимата защита.

- Малките търговски дружества трябва ли да се запознаят с новата нормативна уредба, или по-скоро тях това не ги засяга?

- Всички дружества, които имат 50 и повече служители, са задължени по закон да организират такава система, като са предвидени и доста сериозни санкции. Те не са като при GDPR - от порядъка на милиони евро, но са достатъчно сериозни. А и много силно ще е репутационното въздействие, ако съответният субект не е изградил такава система. Т.е. щом не си направил система, която да защитава хората, подаващи сигнали за нарушения, по подразбиране може да се мисли, че такива нарушения се извършват и се злоупотребява с публични финанси или по друг начин в предметното поле на правото на Европейския съюз.

- Какво се случва на 17 декември?

- Ключовите дати са няколко, но 17 декември е последната дата, към която всичко трябва да бъде подготвено от всички задължени субекти по закона.

- Но все пак предполагам, че ще има някакъв гратисен неформален срок, в който КЗЛД ще се съобразява с реалната ситуация...

- Целта на Комисията като централен орган е да направи така, че тази система да работи, и хората, които виждат нарушения, да не се страхуват да подават сигнали. Голямата задача е да бъдат защитени нашите права, така че обществените ресурси да се използват съгласно законите, целесъобразно и да няма злоупотреби.

Подробна информация за Закона, Наредбата и методическите указания могат да бъдат намерени на електронната страница на КЗЛД – www.cpdp.bg