Kako pravilno pripraviti notranji akt po Zakonu o varstvu prijaviteljev (ZZPri)?

Izvajanje Zakona o varstvu prijaviteljev (ZZPri) je ključen korak k večji integriteti in transparentnosti podjetij. Zakonodaja zahteva, da podjetja z več kot 50 zaposlenimi vzpostavijo varno notranjo pot za prijavo nepravilnosti.

Čeprav so zakonski roki za vzpostavitev poti (december 2023) že potekli, se mnoga podjetja še vedno soočajo z izzivi pri zagotavljanju resnične anonimnosti in tehnične varnosti, ki bi preprečila povračilne ukrepe. V nadaljevanju pojasnjujemo, kako določbe ZZPri prenesti v notranji akt in na kaj morate biti posebej pozorni.

Kaj mora vsebovati akt o notranji prijavni poti?

Zakon določa, da mora vaš interni dokument natančno opredeliti:

  • Imenovanje zaupnika: Oseba (ali enota), ki sprejema in obravnava prijave.
  • Kontaktne kanale: Elektronski naslov, telefonska številka ali digitalna platforma (kot je SpeakSAFE).
  • Postopek obravnave: Jasni koraki od prejema do končnega poročila.
  • Varnostne ukrepe: Kako boste preprečili dostop nepooblaščenim osebam do identitete prijavitelja.
  • Obveščanje vodstva: Kako in kdaj se poroča o ugotovitvah, ne da bi se ogrozila zaupnost.

Izvajanje zakona ni povsem enostavno, saj morajo podjetja zagotavljati ustrezno zaščito prijaviteljev, anonimnost in nepristranskost v postopkih obravnave prijav. Pri tem je ključno, da organizacije dosledno upoštevajo določbe ZZPri in lastnega notranjega akta.

V nadaljevanju vam bomo predstavili, kako določbe Zakona o zaščiti prijaviteljev pravilno prenesti v notranji akt, ter izpostavili izzive, s katerimi se podjetja pri tem najpogosteje srečujejo.

Zakon določa, da mora akt o notranji prijavni poti vključevati:

  • imenovanje zaupnika, po potrebi pa tudi administrativno osebje oziroma opredelitev informacijsko podprtega načina prejema in evidentiranja prijav (vključno z morebitnim zunanjim ponudnikom storitve);
  • kanale za prijavo: elektronski naslov, telefonsko številko ali druge kontaktne podatke za prejem prijav;
  • postopek prejema notranje prijave in njene obravnave;
  • varnostne ukrepe za preprečitev dostopa nepooblaščenim osebam do informacij o prijavitelju in drugih podatkov iz evidence prijav;
  • protokol obveščanja notranjih organizacijskih enot, odgovornih za odpravo kršitev, ter način seznanitve vodstva z obravnavo prijave;
  • način informiranja zaposlenih in drugih oseb v delovnem okolju zavezanca o možnosti zunanje prijave.

Zaupnik

Naloge zaupnika opravlja oseba, zaposlena pri zavezancu. Zaupnik je lahko posameznik, možno pa je imenovati tudi enega ali več namestnikov zaupnika. Vlogo zaupnika lahko opravlja tudi notranja organizacijska enota zavezanca.

Zaupnik je ključen za zagotavljanje učinkovitosti sistema prijav. Biti mora na voljo zaposlenim, ki sumijo na kršitve, pri svojem delu pa mora biti neodvisen od drugih vodilnih funkcij v podjetju.

Svetujemo imenovanje vsaj enega namestnika, saj zakon določa stroge roke za odziv (7 dni za potrditev prejema in 3 mesece za povratno informacijo), ki jih v primeru odsotnosti zaupnika ne smete zamuditi.

V zvezi z vprašanjem o imenovanih zaupnikih KPP pojasnjuje, da ZZPri v šestem odstavku 9. člena določa, da zavezanci za vzpostavitev notranje poti za prijavo kršitev izmed zaposlenih imenujejo zaupnika. Zakon za zaupnika ne določa nobenih pogojev (v smislu izobrazbe, delovne dobe ipd.), razen zahteve, da je zaposlen pri zavezancu.

Zakon sicer izrecno ne navaja, kdo imenuje zaupnika v imenu zavezanca, vendar pa iz narave tovrstnih imenovanj izhaja, da je to navadno predstojnik zavezanca, ki tudi sicer sprejema sklepe o kadrovskih in drugih odločitvah. Zaupnik po končani obravnavi notranje prijave izdela poročilo z ugotovitvami, s katerimi v skladu s šestim odstavkom 12. člena ZZPri seznani vodstvo zavezanca, ki nato odloča o predlaganih ukrepih za odpravo kršitve, kar prav tako kaže na povezavo med zaupnikom in predstojnikom oziroma vodstvom zavezanca.

Način imenovanja zaupnika zakon torej prepušča zavezancu, tako da Komisija za preprečevanje korupcije nima pristojnosti nadzirati primernosti zaupnika in lahko zgolj priporoča, da je zaupnik zaupanja vredna oseba, ki uživa ugled tako pri vodstvu kot pri zaposlenih in ki je dalj časa zaposlena pri zavezancu, zaradi česar dobro pozna organizacijo in delo notranjih enot zavezanca.

Prejem prijav

Prijavitelji lahko prijave podajo prek elektronskega naslova, telefonske številke ali na drug način. Zakonodajalec, kljub drugačnim predlogom civilne družbe, žal ni natančno opredelil niti obveznih načinov vzpostavitve prijavnih poti niti varnostnih standardov za prejem prijave. Iz določb zakona pa jasno izhaja, da se vsi podatki o prijavi privzeto štejejo za zaupne, izjeme za njihovo razkritje pa so v zakonu izrecno navedene.

Glede na to, da elektronska pošta ni varen kanal za prenos informacij, ne zagotavlja zanesljive dostave sporočil, hkrati pa je izpostavljena tveganjem lažnega predstavljanja (t.i. phishing), uporabo navadne e-pošte za prejem in obravnavo prijav močno odsvetujemo.

Med druge načine prejema prijav sodi tudi namestitev fizičnega poštnega predalnika, kamor prijavitelji oddajo svoje prijave. Zakon dopušča tudi druge tehnične možnosti, vendar jih izrecno ne opredeljuje.

Obravnava prijav

Postopek prejema in obravnave prijav mora biti jasno opredeljen ter mora zagotavljati, da se vse prijave obravnavajo strogo zaupno.

Zakon sicer omogoča imenovanje enega samega zaupnika, hkrati pa določa stroge roke za odziv na prijave. Zaradi tveganja morebitne daljše odsotnosti zaupnika je smiselno, da zavezanec opredeli tudi njegove namestnike ali pa za opravljanje te vloge pooblasti specifično notranjo organizacijsko enoto.

Če se zavezanec odloči, da bo nalogo zaupnika prevzela organizacijska enota, mora natančno opredeliti način obravnave prijav znotraj te enote. Večji zavezanci se pogosto odločajo za kompleksnejše sisteme z jasno določenimi vlogami, kot so npr. vodja preiskav, preiskovalec ipd.

Zavezanec mora v notranjem aktu natančno določiti postopek obravnave, pri čemer je treba dosledno upoštevati obvezne zakonske roke (7 dni za potrditev prejema in 3 mesece za povratno informacijo). Če se zavezanec odloči, da bo evidenčne podatke o prijavi in poročilo hranil dlje, kot je zakonsko predpisano, mora to izrecno opredeliti v aktu.

Preprečitev dostopa do informacij

Ukrepi za zaščito osebnih podatkov prijavitelja so namenjeni zagotavljanju, da informacije o prijavitelju in druge vsebine iz evidence prijav niso dostopne nepooblaščenim osebam.

V aktu je treba opredeliti načine, s katerimi zavezanec zagotavlja varnost podatkov, kot so:

  • Šifriranje podatkov med prenosom in v mirovanju (encryption at rest and in transit).
  • Veriženje zapisov za zagotavljanje nezatažljivosti (non-repudiation) vrstnega reda dogodkov.
  • Kriptografski izvlečki (hash) za zagotavljanje integritete podatkov.
  • Stroga kontrola dostopa do podatkov.
  • Sistemi za zaznavanje in preprečevanje vdorov (IDS/IPS).
  • Sistemi za upravljanje varnostnih informacij in dogodkov (SIEM).

Če se zavezanec odloči, da bo notranjo prijavno pot upravljal sam, mora zagotoviti, da do podatkov o prijavah dostopajo izključno zaupniki.

V primeru, da zavezanec upravljanje notranje prijavne poti zaupa zunanjemu ponudniku (npr. SpeakSAFE), je ta dolžan upoštevati vse določbe zakona glede varovanja identitete prijavitelja in zagotavljanja stroge zaupnosti.

Zakaj e-pošta ni primerna za prijave?

Čeprav zakon dopušča različne poti, uporabo navadne e-pošte močno odsvetujemo. Elektronska pošta ni varen kanal:

  • Ne zagotavlja anonimnosti (IP naslovi, metapodatki)

  • Izpostavljena je tveganjem lažnega predstavljanja (phishing)
  • Sistemski administratorji imajo pogosto tehničen dostop do poštnih predalov, kar krši načelo stroge zaupnosti.

Sodobne rešitve, kot je SpeakSAFE, te težave rešujejo z end-to-end šifriranjem in izolacijo podatkov na ločenih poddomenah.

Tehnična zaščita podatkov in anonimnost

V notranjem aktu morate opredeliti, kako tehnično varujete podatke. Pri SpeakSAFE zagotavljamo standarde, ki presegajo osnovne zahteve:

  • Šifriranje v mirovanju in med prenosom (AES-256).
  • Nezatažljivost zapisov: Uporaba revizijskih sledi, ki preprečujejo naknadno spreminjanje podatkov.
  • Izolacija sistemov: Vsaka organizacija deluje na svoji poddomeni, kar preprevuje navzkrižno uhajanje podatkov.

Obveščanje notranjih organizacijskih enot

Cilj zakona je, da se čim več kršitev hitro in učinkovito razreši znotraj organizacije zavezanca. V notranjem aktu je treba natančno opredeliti postopek obravnave posamezne prijave. Zaupnik ob prejemu prijave to najprej preizkusi in se v skladu z določbami 11. člena ZZPri odloči o njeni obravnavi.

V primeru obravnave prijave mora akt določati način, kako zaupnik o kršitvi obvesti notranje organizacijske enote, odgovorne za odpravo nepravilnosti. Prav tako je treba opredeliti, kdaj in na kakšen način zaupnik o poteku obravnave seznani vodstvo zavezanca, pri čemer mora ves čas zagotavljati zaupnost in varovati identiteto prijavitelja.

Poročanje in zunanje poti

Cilj zakona je reševanje nepravilnosti “doma”. Če podjetje nima delujoče ali varne notranje poti, lahko prijavitelj uporabi zunanjo pot (npr. KPK ali pristojna ministrstva). Podjetje je dolžno zaposlene jasno informirati o tej možnosti, kar običajno stori z objavo na oglasni deski ali spletni strani.

V notranjem aktu mora biti jasno opredeljeno, na kakšen način je to obveščanje zagotovljeno. Zavezanec se lahko odloči za objavo na spletni strani, oglasni deski ali drug primeren način, kar mora biti prav tako navedeno v aktu.

Poskrbite za popolno skladnost vašega podjetja še danes.

Cilj zakona je reševanje nepravilnosti “doma”. Zagotovite svojim zaposlenim varno in anonimno pot s platformo SpeakSAFE.