Contract
Правила за вътрешно подаване на сигнали по Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения и последващи действия по тях
В сила от 17 декември 2023 г.
2. Цел и обхват на Правилата 3
3. Области на нарушения, за които може да се подава сигнал съгласно Закона за защита на лицата, подаващи сигнали и публично оповестяващи нарушения 4
4. Сигнализиращи лица и други лица с право на защита 4
4.1.Сигнализиращи лица, подлежащи на защита 5
4.2.Други лица, подлежащи на защита 5
4.3.Анонимно подаване на сигнали за нарушения 5
5. Канали за подаване на сигнали 5
5.1. Канал за вътрешно подаване на сигнали 5
5.1.1. Формуляр за подаване на сигнал 6
5.2. Канал за външно подаване на сигнали 7
6. Защита срещу ответни действия и защита самоличността на сигнализиращите лица 7
6.1. Защита срещу ответни действия 8
6.2. Мерки за защита на самоличността на сигнализиращите лица 8
7. Получаване, регистриране и разглеждане на подаден сигнал за нарушение 9
7.1 Получаване и регистриране на подаден сигнал за нарушение 9
7.2 Разглеждане на сигнал за нарушение 9
8. Поверителност и защита на личните данни 11
8.1. Задължение за поверителност 11
8.2. Обработване на лични данни 11
8.3. Права на субекта на данните 11
8.4. Период на съхранение на данните 12
9. Външно подаване на сигнал до Комисията за защита на личните данни 12
10. Заключителни разпоредби 12
В EY се ръководим от заложените в Глобалния кодекс за поведение на EY ценности. Ангажиментът ни за почтеност и професионализъм се съдържа в нашия Глобален кодекс на поведение (xxxxx://xxx.xx.xxx/ en_gl/global-code-of-conduct), който предоставя ясен набор от стандарти за цялостното ни бизнес поведение.
Отклоненията от него или нарушенията на Глобалния кодекс за поведение са неприемливи и служителите на EY, нашите клиенти или доставчици трябва да могат да повдигат въпроси и търсят отговори, без да се страхуват от ответни мерки или дискриминация.
Настоящите Правила на EY Bulgaria за вътрешно подаване на сигнали за нарушения подкрепя и надгражда Глобалния кодекс за поведение на EY, като определя принципите за изготвяне, получаване и разглеждане на сигнали, подадени от лица, сигнализиращи за нарушения, в съответствие със Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения („Законът“). Правилата
очертават подходящите канали за ескалация, препращат към законодателни термини, когато това е уместно, и определят приложимите отговорности и задължения.
Настоящите Правила се прилагат за всички дружества, които са членове на мрежата на EY в България, както следва: „Xxxxx и Xxx Xxxx“ ООД („Xxxxx и Xxx Xxxx”), „Xxxxx и Янг България“ ЕООД („Xxxxx и Янг България”), Адвокатско съдружие „Xxxxx и Янг“ (“Адвокатското съдружие”) и “И Уай Риджънъл Шеърд Сървисис“ ЕООД (“EY RSS”) (наричани по-нататък заедно „EY Bulgaria” или “EY”), включително за всички служители на EY, бизнес направления и функции, както и за общата администрация на EY (CBS), които са част от EY Bulgaria.
Правилата съдържат насоки относно:
• Подаване на сигнал за извършено нарушение;
• Получаване на подаден сигнал за нарушение;
• Защитата, с която разполагат лицата, подаващи сигнали за нарушения (наричани по-нататък също
„сигнализиращи лица”);
• Процесът на EY за разглеждане на подадени сигнали за нарушения.
За въпроси, които не са изрично уредени в настоящите Правила, се прилагат разпоредбите на Закона, както и приложимите подзаконови нормативни актове.
2. Цел и обхват на Правилата
Правилата имат за цел да предоставят яснота относно това как едно лице може да подаде сигнал съгласно Закона и как EY Bulgaria ще подкрепи лицата, подаващи сигнали за нарушения, така че те:
• Да бъдат насърчавани да изразяват своите опасения;
• Да знаят как и къде да съобщават за своите опасения;
• Да познават правата си;
• Да знаят какво ще се случи, ако съобщят за своите опасения;
• Да се чувстват в безопасност при съобщаването на своите опасения;
• Няма да бъдат подложени на преследване, увреда или тормоз в отговор на съобщаването на техните опасения.
Правилата се прилагат за сигнали за нарушения, получени от вътрешни и външни източници. По-специално,
Правилата се прилагат за сигнализиращи лица, които подават сигнал за нарушения, попадащи в обхвата на и съгласно ЗЗЛПСПОИН. Правилата се прилагат и за трети лица, които са свързани с и/ или помагат на
сигнализиращите лица да подадат сигнал и които биха могли да пострадат от ответни действия, като например колеги или роднини на сигнализиращите лица. В следващите раздели на Правилата е представена подробна информация за категориите сигнализиращи лица и други лица, на които се предоставя предвидената в ЗЗЛПСПОИН защита.
3. Области на нарушения, за които може се подава сигнал за нарушения съгласно Закона
Съгласно настоящите Правила могат да се подават сигнали за нарушения или публично да се оповестява информация за нарушения на българското законодателство и актове на Европейския съюз, които застрашават или увреждат обществения интерес, възникнали в контекста на дейността на EY Bulgaria, свързани с някоя от следните области, както е предвидено в Закона:
а) обществените поръчки;
б) финансовите услуги, продукти и пазари, както и предотвратяването на изпирането на пари и финансирането на тероризма;
в) опазването на околната среда;
г) защитата на неприкосновеността на личния живот и личните данни;
д) сигурността на мрежите и информационните системи;
е) нарушения, които засягат финансовите интереси на Европейския съюз;
ж) нарушения на правилата на вътрешния пазар, конкуренцията и държавните помощи;
з) трансгранични данъчни схеми, чиято цел е да се получи данъчно предимство, което противоречи на предмета или на целта на приложимото право в областта на корпоративното данъчно облагане;
и) извършено престъпление от общ характер;
й) правилата за заплащане на дължими публични държавни и общински вземания;
к) трудовото законодателство;
л) други области, попадащи в обхвата на Закона.
Настоящите Правила не се прилагат за сигнали за нарушения:
а. които са станали известни на лица, упражняващи правна професия и за които съществува задължение по Закона за опазване на професионалната тайна;
б. поверителността на здравната информация по смисъла на чл. 27 от Закона за здравето;
в. тайната на съдебното съвещание;
г. правилата на наказателното производство.
4. Сигнализиращи лица и други лица с право на защита
Сигналите се подават при условие, че има вярно и обосновано предположение, че е извършено престъпление или нарушение. Сигнализиращите лица подават сигнал и имат право на защита, както е посочено по- подробно в настоящите Правила, при условие че са изпълнени едновременно следните условия:
А) имат основателни причини да смятат, че информацията за нарушението в сигнала е била вярна към момента на подаването му и че тази информация попада в обхвата на Закона ; и
Б) са подали сигнал за нарушение при условията и в съответствие с разпоредбите на настоящите Правила и Закона.
Лице, което публично оповестява информация за нарушение, има право на защита по Закона, когато e имало основателна причина да счита, че информацията за нарушението е била вярна към момента на
оповестяването й и че тази информация попада в обхвата на Закона и е изпълнено някое от следните условия:
А) Лицето е подало сигнал при условията и по реда на Закона, но по сигнала не са били предприети съответни действия в сроковете, предвидени в Закона;
Б) Лицето има основания да смята, че:
1. Нарушението може да представлява непосредствена или явна опасност за обществения интерес или е налице извънредна ситуация или риск от необратими вреди;
2. В случай на външно подаване на сигнал съществува риск от ответни действия или има вероятност
нарушението да не бъде ефективно разгледано поради опасност от укриване или унищожаване на доказателства, съмнение за наличие на тайно споразумение между компетентния орган и извършителя на нарушението, или за съучастие на органа в нарушението, както и поради други специфични конкретни обстоятелства по случая.
Защита по Закона се предоставя на сигнализиращото лице и лицата, публично оповестяващи информация за нарушения, попадащи в обхвата на Закона, от момента на подаването на сигнала или публичното оповестяване на информация за нарушение.
4.1. Сигнализиращи лица, подлежащи на защита
Сигнализиращо лице по смисъла на Закона е физическо лице, което подава сигнал или публично оповестява информация за нарушение, станало му известно в качеството му на:
1. Лице, което е в трудови и/ или граждански правоотношения с EY Bulgaria („Лица от EY“), включително лица, които са в процес на назначаване на работа в EY Bulgaria, както и бивши Лица от EY.
2. Доброволец, платен или неплатен стажант в EY Bulgaria;
3. Съдружник, акционер, едноличен собственик на капитала, член на управителен или контролен орган на EY Bulgaria;
4. Доставчици или подизпълнители на EY Bulgaria.
4.2. Други лица, подлежащи на защита
Защита по смисъла на Закона се предоставя и на (за целите на настоящите Правила, лицата по-долу също се считат за „сигнализиращи лица“ по смисъла на Закона) следните лица:
• Лица, които помагат на сигнализиращото лице в процеса на подаване на сигнал и чиято помощ следва да е поверителна;
• Лица, които са свързани със сигнализиращото лице посредством работата или роднини на сигнализиращото лице и които могат да бъдат подложени на ответни действия поради това, че подават сигнал;
• Юридически лица, в които сигнализиращото лице притежава дялово участие, за които работи или с които е свързано по друг начин в работен контекст.
4.3. Анонимно подаване на сигнали за нарушения
Лицата, които са сигнализирали анонимно или публично, са разкрили информация за нарушения и впоследствие са били идентифицирани и са претърпели ответни действия, отговарят на условията за защита съгласно Закона, когато са изпълнени условията за предоставяне на защита, посочени в раздел 4 по-горе.
В противен случай анонимните сигнали за нарушения не подлежат на разглеждане и лицето, подало сигнала, не се ползва от защитата съгласно Закона. Такива сигнали ще бъдат разглеждани в съответствие с правилата на EY за работа по етични въпроси или в съответствие с други приложими изисквания.
5. Канали за подаване на сигнали
Лицето, подаващо сигнал за нарушение, може да подаде сигнал чрез вътрешните и външните канали за сигнализиране, както е посочено в настоящия раздел на Правилата. С оглед възможността за бързо
предотвратяване на нарушение или отстраняване на последиците от такова нарушение сигналът следва да се подава приоритетно чрез канал за вътрешно подаване на сигнали, освен ако за сигнализиращото лице не
съществува риск от ответни, дискриминиращи го действия или че няма да бъдат предприети ефективни мерки за проверка на сигнала за отстраняване на нарушението.
5.1. Канал за вътрешно подаване на сигнали
Нарушенията в горепосочените области следва да се сигнализират на Отговорните лица за приемане, регистриране и разглеждане на сигнали („Отговорно/и лице/а“ на EY), определени от EY Bulgaria за
приемане, регистриране и разглеждане на сигнали за нарушения, без страх от ответни действия или забавяне, по някой от следните вътрешни канали за сигнализиране, създадени и определени от EY Bulgaria за подаване на сигнали съгласно Закона (по избор на един или комбинация от тях):
А) В писмена форма чрез:
(i) Изпращане на електронна поща на следните електронни адреси (тази опция не следва да се използва, ако сигналът се подава срещу Отговорно лице на EY):
За „Xxxxx и Xxx Xxxx“ ООД: xxxxxxxxxxxxxXXXxxxx@xx.xx.xxx;
За „Ърнст и Янг България“ ЕООД: xxxxxxxxxxxxxXXXxxxxxxx@xx.xx.xxx;
За EY RSS ЕООД: xxxxxxxxxxxxxXXXXX@xx.xx.xxx; и
За Адвокатско съдружие „Xxxxx и Xxx“: xxxxxxxxxxxxxXXXxx@xx.xx.xxx
(ii) Изпращане на пощенска пратка/ плик (по пощата или по куриер) на следния адрес: София, бул. „Цариградско шосе“ 47А, офис център „Полиграфия“, етаж 4. В този случай върху плика с подадения сигнал следва да бъде отбелязано „Подаване на сигнал по ЗЗЛПСПОИН. Строго
поверително! Да се отваря само от отговорните лица на EY“ (лицето, подало сигнала, следва да посочи върху плика наименованието на юридическото лице, във връзка с което е подаден сигналът: Xxxxx и Xxx Xxxx XXX, Xxxxx и Янг България ЕООД, Адвокатско съдружие Ърнст и Xxx и EY RSS). В случай че сигналът е подаден срещу Отговорно лице на EY Bulgaria върху плика следва да се посочи името на Отговорното лице (лица) на EY, което трябва да получи сигнала, за да не може Отговорното лице, срещу което се подава сигнала, да има достъп до него. При получаване на писмен сигнал чрез пратка, Отговорните лица на EY съставят протокол с подробно описание на съдържанието на пратката.
Протоколът е неразделна част от преписката по сигнала; или
(iii) Чрез лично връчване на сигнала в писмена форма на Отговорното(ите) лице(а) на EY в EY;
(iv) Сигнализиращото лице може също така да използва за подаване на сигнал местните канали/линии на Горещата линия за етични въпроси на EY (EY/Ethics Hotline) (EthicsPoint - EY). Всяко от дружествата на EY Bulgaria има създаден местен канал/линия в EY/Ethics Hotline (който е наименуван на съответното дружество) за сигнализиране на нарушения от обхвата на Закона. В допълнение, в случай че сигнализиращото лице отправя своя сигнал срещу някое от Отговорните лица на EY, сигнализиращото лице следва да подаде сигнала, като използва съответния местен канал/линия за подаване на сигнал
на Горещата линия за етични въпроси на EY. В този случай Отговорното лице на EY, срещу което се подава сигнала, автоматично няма да има достъп до сигнала и същият няма да бъде видим за него, като сигналът ще бъде разпределен само до Отговорните лица на EY, които не са обект на сигнала. Горещата линия за етични въпроси на EY се управлява от независима външна организация – NAVEX (www.navex. com). Повече информация за начина на функциониране на Горещата линия за етични въпроси на EY е налична в раздел „Често задавани въпроси“ на faq.pdf (ethicspoint.com).
В случай че сигнализиращото лице подаде сигнал за нарушения, използвайки местните канали/линии на Горещата линия за етични въпроси на EY, сигналът се разглежда само от Отговорните лица на EY (с изключение на лицето, срещу което е подаден сигналът) и други лица от мрежата на EY нямат достъп до сигнала.
Сигнализиращите лица могат да използват централната Гореща линия за етични въпроси на EY, за да сигнализират за всякакви въпроси, които биха могли да попаднат извън обхвата на настоящите Правила и Закона.
Б) Устно, по искане на сигнализиращото лице чрез лична, предварително уговорена, среща с Отговорно (и) лице (а) на EY, определени от EY Bulgaria.
5.1.1. Формуляр за подаване на сигнал
Когато сигналът се подава в писмена форма (електронна поща, поща/ пощенска пратка по пощата или куриер) по вътрешен канал, сигнализиращите лица следва да изготвят своите сигнали за нарушения съгласно формуляр за подаване на сигнал (наричан по-нататък „формуляр за регистриране на сигнал“), който е достъпен на адрес www.ey.com/bg_bg/internal-whistleblowing-under-the-whistleblower-protection-act. Преди да попълни и подаде сигнал за нарушение чрез вътрешните канали за сигнализиране, описани
по-горе, сигнализиращото лице следва да прочете внимателно инструкциите във формуляра за подаване на сигнал. Сигнализиращото лице следва да попълни части I–V (включително) от формуляра за регистриране на сигнал.
Сигнализиращото лице не е длъжно да използва формуляра за подаване на сигнала , когато подава сигнал чрез местните канали/линии на Горещата линия за етични въпроси на EY.
Когато полученият писмен сигнал за нарушения не е направен съгласно формуляра за подаване на сигнал, Отговорните лица на EY документират и регистрират сигнала в регистъра на сигналите за нарушения, като попълват образеца за подаване на сигнал. Това се отнася и за сигнали за нарушения, получени чрез местните канали/линии на Горещата линия за етични въпроси на EY, които са подадени без да се основават на формуляра за подаване на сигнали .
Устните сигнали се документират и регистрират чрез попълване на формуляра за подаване на сигнал от страна на Отговорното(ите) лице(а) на EY, което предлага на сигнализиращото лице да го подпише, ако то желае това.
Сигналът може да бъде придружен от всякакви източници на информация в подкрепа на направените изявления и/ или препратки към документи, включително посочване на данни за лица, които биха могли да потвърдят данните по сигнала или да предоставят допълнителна информация.
5.1.2. Недопустими сигнали
Не се образува производство съгласно Закона по:
(i) Анонимни сигнали. Освен ако не са изпълнени условията на Закона, анонимните сигнали не подлежат на разглеждане и лицето, подало сигнала, не се ползва от защитата съгласно Закона. Такива сигнали ще бъдат разглеждани в съответствие с правилата на EY за разглеждане на етични въпроси или други приложими изисквания.
(ii) Сигнали, свързани с нарушения, извършени преди повече от две години.
5.2. Канал за външно подаване на сигнали
Централен орган за външно подаване на сигнали и а защита на сигнализиращите лица по смисъла на Закона, е Комисията за защита на личните данни („Централен орган за външно подаване на сигнали“ или
„Комисията“).
Сигнализиращите лица имат право да подават своите сигнали за нарушения, попадащи в обхвата на Закона чрез външния канал за сигнализиране, поддържан от Централния орган за външно подаване на сигнали.
Всички лица, които външно сигнализират по канала за външно подаване на сигнали, подлежат на защитата, предвидена в Закона.
Сигнализиращите лица имат право да оповестяват публично информация за нарушения, попадащи в обхвата на Закона.
6. Защита срещу ответни действия и защита самоличността на сигнализиращите лица
Лицата, които имат право на защитата, предвидена в Закона, са посочени в подточки 4.1 и 4.2 на раздел 4 от настоящите Правила и са наричани заедно в този раздел „лица, подаващи сигнали“ или „сигнализиращи лица“.
Защитата по Закона се предоставя от момента на подаването на сигнала или публичното оповестяване на информация за нарушение.
Засегнатото лице (лицето, срещу което е подаден сигнал) се ползва в пълна степен от правото си на защита и на справедлив процес, както и от презумпцията за невиновност, включително да бъде изслушано, и от правото си на достъп до отнасящите се до него документи.
6.1. Защита срещу ответни действия
EY не толерира ответни действия и не допуска дискриминация или ответни действия от какъвто и да е характер за добросъвестни сигнали за незаконно или неетично поведение.
EY насърчава хората да съобщават за опасения относно незаконно поведение и се ангажира да защитава лицата, които повдигат такива опасения, от ответни действия, включително заплахи за ответни действия и опити за такива действия.
Забранява се всяка форма на ответни действия (към датата на подаване на сигнала) спрямо сигнализиращите лица и лицата, които публично са оповестили информация за нарушения, имаща характер на репресия и поставяща ги в неизгодно положение, както и заплахите или опитите за такива действия.
Съгласно приложимото законодателство ответните действия могат да включват: временно отстраняване от длъжност, уволнение или прекратяване на правоотношението, по което сигнализиращото лице полага наемен труд, понижаване в длъжност или отказ от повишение, намаляване на заплатата, промяна на работното време или естеството на работата или на работното място, отрицателна оценка на работата, сплашване, дискриминация, умишлено уронване на репутацията на лицето и др.
EY е въвело разумни мерки за наблюдение и гарантиране, че няма да има ответни действия срещу лица, подали сигнал и други лица, които са обект на защита съгласно Закона. Предприемането на ответни действия представлява сериозно нарушение на Глобалния кодекс за поведение на EY и може да бъде обект на дисциплинарни мерки, включително прекратяване на правоотношението, по което се полага труд.
6.2. Мерки за защита на самоличността на сигнализиращите лица
EY предприема подходящи мерки за защита на информацията, свързана с подадените сигнали за нарушения и за защита на самоличността на сигнализиращите лица и други лица, посочени в сигнала. Самоличността на сигнализиращото лице е строго поверителна информация, достъп до която имат само определените Отговорни лица на EY. Разкриването на самоличността или на информацията, свързана с подаденото нарушение, се разрешава само с изричното писмено съгласие на съответното лице.
Такива мерки включват, но не се ограничават до:
a) неразкриване, пряко или косвено, на самоличността и лични данни на лицето, подало сигнала, и на всяко друго лице, посочено в сигнала;
б) неразкриване на изложените в сигнала обстоятелства и твърдения, както и неразгласяване на фактите и данните, станали известни във връзка с разглеждането на сигнала;
в) опазване от нерегламентиран достъп на всички писмени документи, представени или изготвени при разглеждането на сигнала, както и неразгласяване на съдържащата се в тях информация;
г) изготвените документи, достъп до които в хода на работата по сигнала се предоставя на лица с оглед тяхната компетентност (вътре и извън EY Bulgaria), не трябва да съдържат данни или информация относно сигнализиращото лице или каквато и да е друга информация, от която може пряко или непряко да се узнае неговата самоличност.
Посочените мерки се прилагат и по отношение на защитата на самоличността на засегнатите лица (срещу които е подаден сигнала).
Независимо от предвиденото по-горе, самоличността на сигнализиращото лице и всяка друга информация, от която може пряко или непряко да се узнае неговата самоличност, може да бъде разкрита само когато това е необходимо и е пропорционално задължение, наложено от българското законодателство или
от правото на Европейския съюз в контекста на разследвания от национални органи или на съдебни производства, включително с оглед на гарантиране правото на защита на засегнатото лице. Преди разкриването на самоличността или на информацията, свързана с подадените сигнали за нарушения, Отговорните лица на EY Bulgaria уведомяват сигнализиращото лице за необходимостта от разкриването им. Уведомлението е писмено и се мотивира. Сигнализиращото лице не се уведомява, когато с това би могло да се застраши разследването или съдебното производство.
7. Получаване, регистриране и разглеждане на подаден сигнал за нарушение
7.1 Получаване и регистриране на подаден сигнал за нарушение
След като сигналът бъде подаден чрез определения вътрешен канал за сигнализиране, той се получава, регистрира и разглежда от Отговорните лица на EY.
Отговорните лица на EY се определят със заповед на съответния управител на Ърнст и Янг Одит, Ърнст и Янг България, EY RSS и Адвокатско съдружие „Ърнст и Янг“. Отговорните лица на EY могат да изпълняват и други дейности, възложени от EY Bulgaria, в случай че съвместното им упражняване не води до конфликт на интереси или е несъвместимо по друг начин, като в този случай съответното Отговорно лице на EY повдига опасения за конфликт на интереси и се оттегля от конкретния случай.
Всеки получен сигнал за нарушение се регистрира от Отговорните лица на EY в специален дружествен регистър на сигналите за нарушения („Регистър“). Регистърът се поддържа вътрешно от определените Отговорните лица на EY, като се съхранява отделно и се пази само в електронна криптирана форма.
Регистърът не е публичен и само определените Отговорните лица на EY имат достъп до него.
Регистърът има съдържание съгласно Закона. Регистърът се води и поддържа на траен носител по смисъла на § 1, т. 18 от Допълнителните разпоредби на Закона от Отговорните лица на EY. Информацията от регистъра се съхранява по начин, който гарантира нейната поверителност и сигурност, както и позволяващ възпроизвеждането без загуба на данни.
Сигнал, постъпил по вътрешния канал, се завежда в Регистъра с Уникален идентификационен номер (УИН), който се генерира от интернет страницата на Комисията. Отговорното лице на EY потвърждава получаването на сигнала в
7-дневен срок след регистрирането му в Регистъра и предоставя на сигнализиращото лице информация за неговия УИН и дата на регистриране на сигнала. Всяка следваща информация или комуникация във връзка със сигнала се прилага към този УИН.
Вписването на обстоятелства в Регистъра, които не са известни към датата на подаване на сигнала и на други допълнителни обстоятелства и/или отбелязвания, се извършва поетапно съобразно постъпилата информация в хода на разглеждане на сигнала. При поетапното допълване на данни в регистъра се прави отбелязване за актуалния статус на сигнала, както следва: „в процес на отстраняване на нередовност“, „не подлежи на разглеждане“, „в процес на разглеждане“ и „приключен“.1
Отговорното лице на EY поддържа актуални данни в регистъра на български език независимо от езика, на който се води комуникацията със сигнализиращото лице.
7.2 Разглеждане на сигнал за нарушение
На всички сигнали за нарушения, получени от Отговорните лица на EY, ще бъде обърнато необходимото внимание. Те ще бъдат третирани като поверителни и ще бъдат своевременно разглеждани в съответствие с изискванията на Закона и настоящите Правила.
Всеки подаден сигнал е различен по своето ествество и поради това ще трябва да се разглежда по уникален за него начин. При спазване на изискванията на Закона и в зависимост от естеството на проблема, при необходимост могат да бъдат привлечени съответните експерти на EY, които да подпомогнат разглеждането.
Всички експерти на EY, участващи в разглеждането на въпроса, предмет на сигнала, са длъжни да запазят поверителността и неприкосновеността на личния живот и да спазват сроковете и процедурите, предвидени в настоящите Правила.
Лицето, което е обект на разследване (засегнато лице; лице, срещу което е подаден сигнал), има права, които трябва да бъдат зачитани.
Тъй като сложността на случаите може да варира значително, сроковете за разглеждане на всеки подаден
1 Критериите за определяне на актуалния статус на сигнала са определени с Методически указания № 1, приети с решение по протокол № 28 от 27.07.2023 г. на Комисията
сигнал могат да бъдат различни. Участващите в разглеждането на случая експерти от EY полагат максимални усилия за приключване на разглеждането и проверката по подадения сигнал във възможно най-кратък срок, като се има предвид спецификата на конкретния случай. Сигнализиращото лице ще бъде редовно информирано, докато тече разглеждането на сигнала, като се поддържа баланс между правото му да бъде информирано с изискванията за поверителност и защита на личните данни.
Във всички случаи Отговорните лица на EY ще информират сигнализиращото лице относно действията, които са предприети по получения сигнал, в разумен срок, който обаче не може да надвишава 3 (три) месеца от потвърждаването на получаването на сигнала, а когато такова потвърждение не е направено – не повече от три месеца от изтичането на срока за потвърждаване (7 дни от получаването на сигнала).
Всеки сигнал се проверява по отношение на неговата допустимост, а именно редовност и достоверност. В 7-дневен срок от получаването на сигнала Отговорните лица на EY извършват проверка за редовност.
При установяване на нередовност, на сигнализиращото лице се изпраща, в 7-дневен срок от получаване на
сигнала, съобщение за отстраняване на допуснатите нередовности. Съобщаването се извършва по начин, съобразен с предоставените от подателя данни за контакт. Ако нередовностите не бъдат отстранени в срок, не се извършва проверка и преписката по сигнала се приключва. Сигналът, заедно с приложенията към него, се връща на сигнализиращото лице.
По анонимни сигнали или сигнали, отнасящи се до нарушения, извършени преди повече от две години, не се образува производство по реда на Закона и преписката се приключва.
Сигнали, основанието и съдържанието на които не дава основания да се приемат за правдоподобни, не се разглеждат. Сигнали, които съдържат очевидно неверни или заблуждаващи твърдения за факти, се връщат с указание към подателя за поправка на твърденията и за отговорността, която той/ тя носи за набеждаване по Наказателния кодекс. В тези случаи преписката се приключва.
В случай, че сигналът е допустим и подлежи на разглеждане, Отговорното лице на EY:
1. Изслушва лицето, срещу което е подаден сигналът, или приема писмените му обяснения и събира и оценява посочените от него доказателства;
2. Предоставя на засегнатото лице (срещу, което е подаден сигнала) всички събрани доказателства, като му предоставя възможност да направи възражение по тях в 7-дневен срок, при спазване на изискванията за защита на сигнализиращото лице;
3. Предоставя възможност на засегнатото лице да представи и посочи нови доказателства, които да бъдат събрани в хода на проверката;
4. Поддържа връзка със сигнализиращото лице, като при необходимост изисква допълнителни сведения от него и от трети лица.
При потвърждаване на изнесените в сигнала факти, Oтговорното лице на EY:
1. Организира предприемането на последващи действия във връзка със сигнала, като за целта може да изисква съдействието на други лица или звена в структурата на EY Bulgaria, които ще бъдат обвързани със строги задължения за поверителност, изисквани съгласно настоящите Правила и Закона;
2. Предлага на управителя предприемане на конкретни мерки с цел преустановяване или предотвратяване на нарушението в случаите, когато такова е констатирано или има реална опасност за предстоящото
му извършване. Въз основа на получения сигнал и на предложението на Отговорното лице на EY, управителят предприема действия в рамките на своята компетентност за преустановяване на нарушението или за предотвратяването му, ако то не е започнало;
3. Насочва сигнализиращото лице към компетентните органи, когато се засягат неговите права;
4. Препраща сигнала на КЗЛД при необходимост от предприемане на действия от нейна страна, като за препращането сигнализиращото лице се уведомява предварително. В случай че сигналът е подаден срещу работодателя на сигнализиращото лице, Отговорното лице на EY насочва лицето към едновременно сигнализиране на органа за външно подаване на сигнали.
Проверката по сигнала се прекратява:
1. Когато нарушението, за което е подаден сигналът, е маловажен случай и не налага предприемането на допълнителни последващи действия, както и когато сигнализираното нарушение е незначително и не изисква по-нататъшни последващи действия;
2. По повтарящ се сигнал, който не съдържа нова информация от съществено значение за нарушение, по отношение на което вече има приключила проверка, освен ако нови правни или фактически обстоятелства не дават основание за предприемането на последващи действия;
3. Когато се установят данни за извършено престъпление. В тези случаи сигналът и материалите към него се изпращат незабавно на прокуратурата.
Ако управителят на съответното EY дружество е засегнато лице или е налице друг конфликт на интереси относно подадения сигнал, функциите, възложени му с настоящите Правила, ще бъдат изпълнявани от друго лице, определено за конкретния сигнал, имащо ръководни функции в съответното дружество на EY Bulgaria.
В срок не по-дълъг от три месеца след потвърждаване на получаването на сигнала и/ или изтичането на срока за потвърждаване на получаването му, ако не е имало такова потвърждение, Отговорните лица на EY изготвят кратък доклад, в който накратко се описва информацията от сигнала, предприетите по него действия, окончателните резултати от проверката, които, в рамките на посочения срок, заедно с мотивите, се съобщават писмено на сигнализиращото лице и на засегнатото лице, при спазване на задължението за тяхната защита.
При изпълнението на горепосоченото се спазват всички изисквания на Закона относно защита и неразкриване на самоличността на сигнализиращото лице.
8. Поверителност и защита на личните данни
8.1. Задължение за поверителност
Самоличността на сигнализиращото лице, засегнатото лице и третите лица, посочени в сигнала като свидетели или колеги, няма да бъде разкривана на никого, освен на Отговорните лица на EY, без изричното съгласие на това лице. Това се отнася и за всяка друга информация, от която може пряко или непряко да бъде изведена самоличността на горепосочените лица.
Чрез дерогация от горното, самоличността на сигнализиращото лице, самоличността на засегнатото лице или друга информация, съдържаща се в сигнала, може да бъде разкрита само когато това е необходимо и пропорционално задължение, наложено от Европейския съюз или националното законодателство в контекста на разследвания на националните органи или съдебни производства, включително с оглед гарантиране на правото на закрила на засегнатото лице.
Разкриването на информация, извършено съгласно предвидената по-горе дерогация, ще бъде съпроводена с подходящи гаранции за защита на лицата. По-специално, сигнализиращите лица следва да бъдат информирани, преди да бъде разкрита самоличността им, освен ако информирането им би застрашило разследвания или съдебни производства.
8.2. Обработване на лични данни
Лични данни, които очевидно не са релевантни за разглеждането на конкретен сигнал, не се събират или, ако случайно са събрани, се заличават без неоправдано забавяне.
8.3. Права на субекта на данните
EY Bulgaria може да ограничи някои права на субектите на данни, които те имат съгласно членове 15–22 от Общия регламент за защита на данните („ОРЗД“) с оглед спазване на изискването за поверителност, както е посочено по-горе, или за защита на сигнализиращите лица от ответни действия.
При разглеждането на такива искания за защита на личните данни съгласно ОРЗД, EY Bulgaria предприема
• Оценка на изпълнението на изискванията за прилагане на членове 15–22 от ОРЗД за упражняване на правата от субектите на данни;
• Оценка на условията за неудовлетворяване на правата на субектите на данни съгласно ОРЗД;
• Оценка на необходимостта и пропорционалността на ограниченията на правата на субектите на данни;
• Документиране на причините за удовлетворяване, частично удовлетворяване или отхвърляне на исканията.
Когато искането на лицето за защита на личните данни е отхвърлено, EY Bulgaria предоставя мотивите за това.
Упражняването на правата на субектите на данни се ограничава доколкото е необходимо да се предотвратят опитите на лица да възпрепятстват подаването на сигнал съгласно настоящите Правила или да се възпрепятстват, осуетят или забавят последващите действия при конкретни разследвания, както и за да се блокират опитите за установяване на самоличността на сигнализиращите лица.
EY Bulgaria прилага подходящи технически и организационни мерки, за да осигури защита на личните данни, свързани с процеса на подаване на сигнали за нарушения, която е адекватна на риска и правата на субектите на данни, включително следното:
• Отговорните лица на EY спазват строги условия за конфиденциалност на всички етапи от процеса на подаване, регистриране и разглеждане на сигнали за нарушения.
• Дружественият регистър на сигналите за нарушения се съхранява отделно и се пази само в електронна криптирана форма със система за управление на достъпа.
• Въведени са подходящи корпоративни политики и технически мерки за осигуряване, наблюдение и оценка на поверителността, цялостността, наличността и устойчивостта на използваните системи за обработка на данните.
8.4. Период на съхранение на данните
Сигналите и всякаква информация и данни, генерирани в хода на процеса на подаване, регистриране и разглеждане на сигнали за нарушения, се съхраняват за срок от пет (5) години от приключването на този процес, освен ако не е необходимо съхранение за по-дълъг срок за целите на текущи съдебни (наказателни, граждански, трудови или административни) производства, свързани с предмета на конкретния сигнал.
9. Външно подаване на сигнал до Комисията за защита на личните данни
Външен сигнал за нарушения, попадащи в обхвата на Закона, може да бъде подаден директно до Комисията чрез канала за външно подаване на сигнали, създаден и поддържан от Комисията.
10. Заключителни разпоредби