TFL Vsebine / TFLGlasnik

1. Uvod*

Zakon o zaščiti prijaviteljev (ZZPri) [1] oziroma »žvižgačev« bo v slovenski pravni red prenesel Direktivo o zaščiti oseb, ki prijavijo kršitve prava Unije (Direktiva 2019/1937), in bo kmalu zavezancem naložil podobne izzive, ki smo jim že od leta 2018 priča pri varstvu osebnih podatkov. Predlog je novembra precej prepričljivo prestal splošno razpravo (tj. prvo javno branje zakona) na plenarni seji Državnega zbora, [2] tako da lahko pričakujemo njegovo uveljavitev – če ne bo ločene tretje obravnave in veta Državnega sveta – že v prvi polovici februarja 2023. [3]

Nedvomno bo zakon za zavezance prinesel več obveznosti, za implementacijo nekaterih od teh pa zelo verjetno ne bo dovolj časa. Razmere bodo verjetno podobne kot pri Splošni uredbi o varstvu osebnih podatkov [4] oziroma vseh obveznostih, ki so od leta 2018 naložene različnim subjektom v javnem in zasebnem sektorju. Uveljavitev ZZPri bo verjetno časovno celo zelo blizu uveljavitvi novega Zakona o varstvu osebnih podatkov (ZVOP-2),[5] ki bo v Sloveniji kot pravzaprav zadnji državi članici Evropske unije implementiral Splošno uredbo o varstvu podatkov. Za zavezance oziroma njihove službe za zagotavljanje skladnosti poslovanja to pomeni dodatno težavo, tudi sicer pa se zdi, da so občutki zavezancev v teh mesecih pred uveljavitvijo ZZPri podobni, kot so bili leta 2018 z uveljavitvijo obveznosti Splošne uredbe o varstvu podatkov: veliko zahtevnih nalog, pomanjkanje izkušenj (gre za povsem nove zahteve) in (pre)malo časa.

2. Notranja prijavna pot

Ena od pomembnejših zahtev ZZPri bo vzpostavitev notranjih prijavnih poti. ZZPri je namenjen zaščiti prijaviteljev kot posameznikov, ki so zaradi zaščite javnega interesa prijavili kršitev predpisov, za katero so ti izvedeli v njihovem delovnem okolju.

V skladu s tem mora sistem za vzpostavitev notranje prijave zagotavljati zaščito identitete prijavitelja in zaupnost vseh prejetih informacij , saj je že na njihovi podlagi mogoče neposredno ali posredno sklepati o identiteti prijavitelja. Notranja pot mora omogočati natančno evidentiranje prijav in njihove vsebine brez možnosti posega tretjih nepooblaščenih oseb in vodstva. Hkrati mora biti taka, da zaupniku onemogoča poseganje v vsebino prijave in vsega prejetega gradiva, ki prijavo spremlja.

Zakon določa več možnih načinov notranje prijavne poti, in sicer se lahko za ta namen vzpostavijo poseben elektronski naslov za prejemanje prijav, telefonska številka oziroma drugi komunikacijski kanali, kot je denimo informacijsko podprt sistem za sprejem, evidentiranje in obdelavo prijav.

Ob danih možnosti za vzpostavitev notranjega kanala za prijave je zelo malo verjetno, da bodo zavezanci varni pred denarnimi globami, če bodo vzpostavili zgolj elektronski naslov ali telefonsko številko, [6] saj tak način prijaviteljem (zlasti v manjših delovnih organizacijah) ne bo dajal občutka varnosti pred razkritjem njihove identitete in pred povračilnimi ukrepi. Prav tako obstaja večja verjetnost, da bodo imeli prijavitelji manj zaupanja v zaupnika in v celoten sistem notranjega kanala za prijave. Vsak sistem, ki ne bo informacijsko podprt, ne bo zagotavljal absolutne hrambe in zaščite vseh prejetih informacij s strani prijavitelja, med katerimi bodo lahko tudi poslovne skrivnosti, zato mora biti vsakemu zavezancu v interesu, da vzpostavi notranji kanal, ki bo zagotavljal največjo stopnjo varnosti in zaupnosti in ki bo onemogočal zlorabe. Hkrati pa bo tak sistem vsaki organizaciji omogočal izpolnjevanje zakonskih zavez glede postavljenih rokov (zaupnik mora preveriti procesne predpostavke za prijavo v sedmih dneh in prijavitelju poslati potrdilo, končno poročilo o obravnavi pa mora prijavitelju poslati v treh mesecih od prejema prijave) in navsezadnje reševanje vseh spornih zadev izključno znotraj lastne organizacije. Hitro in učinkovito reševanje vseh spornih zadev pa omogoča zgolj dvostranska komunikacija med prijaviteljem in zaupnikom. Če zaupnik ne bo zmožen obdelati prijav v zakonsko določenih rokih, pa ima vsak prijavitelj zagotovljeno zakonsko zaščito tudi v primeru javnega razkritja (18. člen predloga zakona).

Treba je poudariti, da se lahko prijava opravi na več možnih načinov, tj. »znotraj« svoje delovne organizacije (tako imenovanemu zaupniku), zunanjim pristojnim institucijam ali celo z javnim razkritjem. Pri tem je treba poudariti, da že bežno branje Direktive 2019/1937 izkazuje, da je njena ureditev izrecno naklonjena prvi možnosti, tj. tako imenovani notranji prijavni poti znotraj delovne organizacije v javnem ali zasebnem sektorju, kjer se je prijavitelj tudi neposredno seznanil s to kršitvijo. Ta namen je jasno opredeljen že v uvodnih izjavah k tej direktivi. [7] To vse pomeni, da je prav ta pot prijave bistvena za doseganje sistemskega cilja, h kateremu stremi Direktiva 2019/1937 kot celota: zaščiti javnega interesa, čeprav za ceno drugih, tudi poslovnih interesov. Če je notranja pot prijave neustrezna, prijavitelj ohranja zaščito po tem zakonu, če uporabi zunanjo prijavno pot (prijavo naslovi neposredno na nadzorni organ).

Naloga in odgovornost, da lahko ta notranja prijavna pot resnično deluje, pa je tako po direktivi kot seveda tudi po predlogu ZZPri postavljena na (singularna) pleča zaupnika kot zaupanja vredne osebe ali notranje organizacijske enote za prejem in obravnavo notranjih prijav pri delodajalcu (zavezancu), ki je hkrati odvisen od kanala, ki ga bo za prijave vzpostavil delodajalec.

Predlog ZZPri v 33. členu, tj. v okviru prehodnih in končnih določb, vse zavezance v zasebnem sektorju, ki zaposlujejo 250 ali več ljudi, ter vse zavezance v javnem sektorju zavezuje, da morajo vzpostaviti poti za notranjo prijavo v 90. dneh od uveljavitve tega zakona, vse zavezance v zasebnem sektorju, ki zaposlujejo do 249 zaposlenih, pa najpozneje do 17. decembra 2023. Pri tem velja, da so zavezanci za vzpostavitev notranje prijavne poti vsi subjekti javnega in zasebnega prava, ki zaposlujejo 50 ali več oseb (drugi odstavek 9. člena predloga ZZPri). Toda ob teh je še veliko dodatnih zavezancev, saj predlog ZZPri določa izjeme od pravila najmanj 50 zaposlenih oseb – in teh je res veliko, sploh v javnem sektorju, kjer velja dolžnost vzpostavitve notranje poti za prijavo – in to ne glede na število zaposlenih – tudi za vsa ministrstva, upravne enote, vladne službe, javne agencije,Urad predsednika, Državno odvetništvo, Ustavno sodišče, Računsko sodišče, Varuha človekovih pravic, Informacijskega pooblaščenca, Komisijo za preprečevanje korupcije, Državno revizijsko komisijo in Zagovornika načela enakosti ter samoupravne lokalne skupnosti.

3. Sklep: časa res ni več veliko

Vsem zavezancem v zasebnem in v javnem sektorju, predvsem pa njihovim službam, ki skrbijo za skladnost poslovanja (angl. compliance), bodo z uveljavitvijo ZZPri torej naložene nove naloge. Časa pa ni več veliko. Upoštevajoč dejstvo, da v Sloveniji že zamujamo pri prenosu Direktive 2019/1937, pravzaprav ne moremo pričakovati, da se bodo roki iz sedanjega besedila predloga ZZPri v nadaljevanju zakonodajnega postopka podaljšali. In ne pozabimo, po predlogu ZZPri je za opustitev vzpostavitve notranje poti prijave, ki je v skladu z zakonom, vključno z (ne)imenovanjem zaupnika in/ali pripadajočega notranjega akta, zagrožena denarna globa. [8]

Obveznost naslovnikov je torej jasna, roki pa kratki. Zato zavezancem priporočam, da se naloge celovito lotijo čim prej.