Osebe, ki delajo za javno ali zasebno organizacijo, so pogosto prve seznanjene z grožnjami ali škodo za javni interes, ki se pojavijo v njihovem delovnem okolju. S tem, ko prijavijo posamezne kršitve, delujejo kot tako imenovani žvižgači in imajo tako ključno vlogo pri razkrivanju in preprečevanju kršitev ter ohranjanju blaginje družbe. Nezakonite dejavnosti, zlorabljena integriteta in zlorabe prava se lahko pojavijo v vsaki organizaciji, zasebni ali javni, veliki ali mali. Lahko so v različnih oblikah, kot so korupcija, goljufije, poslovne napake ali malomarnost. Če se jih ne obravnava, lahko povzročijo resno škodo javnemu interesu. Ljudje, ki delajo v organizaciji ali so z njo v stiku pri svojih dejavnostih, povezanih z delom, pogosto prvi izvedo za takšne dogodke.
Zakon o zaščiti prijaviteljev (ZZPri) - temeljni kamen varnosti
Zakon o zaščiti prijaviteljev (ZZPri), ki je začel veljati konec februarja, celovito ureja področje varstva prijaviteljev kršitev. Zakon prinaša pomembne ukrepe za zaščito oseb, ki prijavijo kršitev v svojem delovnem okolju, določa pa tudi dodatne obveznosti za zavezance v javnem in zasebnem sektorju. Gre za zakon, ki široko ureja in ščiti področje prijaviteljev, ki prijavijo ali razkrijejo informacije o nepravilnem ravnanju, kršitvi predpisov v Republiki Sloveniji in sicer v svojem delovnem okolju, ne glede na to ali gre za zasebni ali javni sektor. Zaščita prijaviteljev oziroma »žvižgačev« v organizaciji skladno z novim zakonom predstavlja obvezo vsem subjektom javnega in zasebnega sektorja, ki imajo več kot 50 zaposlenih. Prijavitelji so osebe, ki delijo svoje znanje o nepravilnostih, ki se po njihovem mnenju dogajajo v organizaciji. Prijavitelji oziroma žvižgači na splošno navajajo, da jih k takšnim dejanjem spodbuja zavezanost javnemu interesu. Njihova zaščita, predvsem pa ohranjanje anonimnosti sta ključna za njihovo varnost, nov Zakon o zaščiti prijaviteljev pa s svojimi ukrepi prinaša pomembne novosti ravno na tem področju.
Ključne novosti in obveznosti po ZZPri
Pomembno in ključno novost predstavlja implementacija in vzpostavitev prijavne poti, ki pa obsega imenovanje zaupnika, opredelitev naslova za prejem prijave ter sprejem notranjega akta. Zavezanci za vzpostavitev notranje prijavne poti so vsi subjekti v zasebnem in javnem sektorju, ki imajo 50 ali več zaposlenih. Zakon določa nekatere izjeme: zavezanci so tudi subjekti v javnem in zasebnem sektorju, ki opravljajo dejavnost na področju okolja in zdravja, ki imajo 10 ali več zaposlenih. Med zavezanci je določen tudi nabor državnih organov, ne glede na število zaposlenih. Delodajalci so morali notranje prijavne poti vzpostaviti do 23. maja 2023, delodajalci v zasebnem sektorju, ki zaposlujejo manj kot 250 zaposlenih, pa morajo to urediti najpozneje do 17. decembra 2023.
Ob nespoštovanju določil Zakona o zaščiti prijaviteljev so zavezancem grozi tudi globa - višina le-teh se razlikuje glede na vrsto prekrška, gibljejo pa se od 300 - 15.000 EUR! Vzpostavitev poti za prijavo nepravilnosti znotraj organizacije obsega imenovanje zaupnika, opredelitev naslova za prejem prijave ter sprejem notranjega akta, v katerem so opisane posebnosti obravnave prijave, tako da ne pride do razkritja identitete prijavitelja. Predvideno je tudi letno statistično poročanje Komisiji za preprečevanje korupcije. Če delodajalec ne vzpostavi notranje poti za prijavo, ne sprejme notranjega akta ali ne poroča Komisiji za preprečevanje korupcije, je to prekršek, ki ga obravnava Komisija za preprečevanje korupcije.
Prijavitelj in njegove pravice ter zaščita
Prijavitelj je fizična oseba, ki prijavi ali javno razkrije informacije o kršitvi, pridobljene v svojem delovnem okolju. Posameznik lahko informacije o kršitvi javno razkrije. Prijavitelj lahko poda notranjo prijavo kršitve neposredno zaupniku v delovnem okolju, kjer je do kršitve prišlo. Zaupnika mora določiti delodajalec. Kontaktni podatki zaupnika, to je običajno telefonska številka, e-poštni naslov ali kak drug način, na katerega je zaupnik dosegljiv, morajo biti objavljeni na način, da so dostopni vsem zaposlenim. Običajna mesta za objavo kontaktnih podatkov zaupnika so spletne strani, intranet, oglasna deska in podobno. Pri tem velja upoštevati, da delodajalci, ki zaposlujejo manj kot 50 delavcev, niso zavezani vzpostaviti notranje poti za prijave. Če notranje poti ni, in torej zaupnik za sprejem in obravnavo prijav ni določen, lahko prijavitelj prijavo poda neposredno po zunanji prijavni poti.
Prijavitelj lahko poda prijavo zaupniku osebno, preko telefona ali pisno na način, kot je delodajalec to določil v notranjem pravilniku o zaščiti prijaviteljev. Zaupnik bo notranjo prijavo pregledal in v predhodnem preizkusu preveril, ali jo lahko obravnava. Svojo odločitev o tem bo prijavitelju sporočil v roku sedmih dni. Če se zaupnik odloči, da bo prijavo obravnaval, bo skupaj z drugimi sodelavci preveril navedbe iz prijave, pripravil predloge za odpravo kršitev in poskrbel, da bodo pristojni znotraj delovne organizacije ukrepe izvedli. Ob zaključku postopka bo zaupnik pripravil poročilo o obravnavi prijave in z njim seznanil vodstvo in prijavitelja. Rok za poročilo je tri mesece po prejemu prijave. Če postopek v tem času še ni končan, bo zaupnik prijavitelju sporočil, kakšno je stanje zadeve.
Zaupnik v postopku ne sme razkriti identitete prijavitelja, če se ta z razkritjem ne strinja. Prav tako ne sme razkriti informacij iz prijave, ki bi lahko prijavitelja posredno razkrile. Prijavitelj mora upoštevati, da v nekaterih primerih prijave brez razkritja identitete ne bo mogoče ustrezno obravnavati (npr. kadar se kršitev nanaša samo na prijavitelja ali kadar je prijavitelj edini, ki ima informacije o kršitvi).
Zunanja prijava: ko notranja pot ni mogoča ali varna
Prijavitelj lahko poda tudi zunanjo prijavo kršitve, in sicer neposredno pristojnim organom glede na področje, na katerem je prišlo do kršitve, ki jo želi prijaviti. Zunanja prijava pride v poštev, če notranja pot za prijavo ni vzpostavljena, če notranje prijave ne bi bilo mogoče učinkovito obravnavati, ali če prijavitelj meni, da v primeru notranje prijave obstaja tveganje povračilnih ukrepov. Kadar se vsebina prijave nanaša na pristojnosti nadzornih organov, ki jih ni na zgornjem seznamu, se prijavo pošlje Komisiji za preprečevanje korupcije.
Pristojni organi bodo prijavo vsebinsko obravnavali skladno s predpisi, ki veljajo na njihovem delovnem področju. Hkrati jih ZZPri zavezuje, da prijavitelja obvestijo o sprejemu prijave v roku sedmih dni ter o koncu obravnave v roku treh mesecev. Če obravnava prijave v tem času še ne bo končana, bodo prijavitelju poslali obvestilo o stanju obravnave. Organi za zunanjo prijavo ne smejo razkriti identitete prijavitelja.
Če organ ni pristojen za obravnavo prijave, jo bo odstopil drugemu pristojnemu organu s seznama zgoraj. Če pristojnega organa ni na seznamu, bo prijavo odstopil Komisiji za preprečevanje korupcije, ta pa bo prijavo v ustrezni obliki poslala tistemu organu, ki jo lahko vsebinsko obravnava. Osebni podatki prijavitelja bodo ves čas postopka varovani skladno z zakonom, brez soglasja prijavitelja pa ne bodo razkriti osebam, ki niso pristojne za obravnavo zunanjih prijav.
Kazniva dejanja in sodno varstvo prijaviteljev
Če prijavite kršitev, za katero bo pristojni organ ocenil, da pomeni kaznivo dejanje, ga je dolžan naznaniti policiji oziroma državnemu tožilstvu. V tem primeru lahko prijavitelj postane priča v kazenskem postopku, njegovo identiteto pa se lahko razkrije storilcu kaznivega dejanja. Če bi bila s tem ogrožena varnost prijavitelja, se ga lahko zaščiti z ukrepi iz Zakona o zaščiti prič. Kljub temu še vedno veljajo pravila o prepovedi povračilnih ukrepov.
Če bi bil prijavitelj podvržen povračilnim ukrepom delodajalca, bi lahko uveljavljal sodno varstvo pred sodiščem z vložitvijo tožbe in zahteve za izdajo začasne odredbe pri pristojnem sodišču. Glede na to, da je večina povračilnih ukrepov delovnopravne narave (kot na primer odpoved pogodbe o zaposlitvi ali premestitev), bo največkrat za sodno varstvo pristojno Delovno in socialno sodišče. V takšnih primerih lahko sodišče zadrži ali odpravi povračilne ukrepe. Določena je tudi nujnost postopka, prijavitelj pa je oproščen plačila sodnih taks. Prav tako zakon vzpostavlja domnevo, da je škoda, ki jo je utrpel delavec, posledica povračilnega ukrepa, zato delavcu tega ni treba dokazovati. Lahko pa delodajalec dokazuje, da ne gre za nedovoljen povračilni ukrep.
Pravna in psihološka podpora za prijavitelje
Prijavitelj je lahko v postopkih zoper svojega delodajalca ali v postopkih, ki jih delodajalec v zvezi s prijavo sproži proti prijavitelju, upravičen do brezplačne pravne pomoči. Pogoj za to je, da izkaže, da je pred povračilnim ukrepom podal prijavo.
Prijavitelj, ki bi zaradi prijave ostal brez zaposlitve, je upravičen do nadomestila za primer brezposelnosti, kot če bi mu prenehala pogodba o zaposlitvi brez njegove krivde (tudi na primer v primeru krivdne odpovedi s strani delodajalca). Pogoj za uveljavljanje pravice je, da prijavitelj v postopku pred Zavodom Republike Slovenije za zaposlovanje predloži potrdilo Komisije za preprečevanje korupcije o upravičenosti do zaščite in da zaradi odpovedi toži delodajalca. Nadomestilo je treba uveljaviti v 30 dneh po prenehanju delovnega razmerja. Do nadomestila so upravičene vse osebe, tudi če še niso dosegle minimalnega obdobja zavarovanja za pridobitev pravice do denarnega nadomestila za brezposelnost. Tem se v takem primeru prizna nadomestilo v višini minimalnega zneska denarnega nadomestila. Da se izognemo zlorabam in da spodbudimo pošteno uporabo pravic, je določena obveznost delavca oziroma delodajalca, ki v sporu ne uspe, da znesek nadomestila vrne.
Ker je lahko prijava kršitev psihološko zahtevna, predvsem ker je lahko prijavitelj zaradi prijave izpostavljen povračilnim ukrepom, je zakon predvidel tudi možnost, da Komisija za preprečevanje korupcije prijavitelja napoti k ustreznemu strokovnjaku, ki mu bo nudil potrebno psihološko podporo v postopku.
Preprečevanje zlorab in krepitev integritete
Zavezanci po ZZPri so podjetja in organi, ki morajo delovati skladno s predpisi, kršitve v delovnem okolju pa odpravljati. Predvsem pa ne smejo izvajati povračilnih ukrepov proti prijaviteljem, ki na kršitve opozorijo. To so jasno opredeljeni cilji, usmerjeni tudi k preprečevanju korupcije ter krepitvi integritete javnega sektorja in poslovnega okolja. K tem ciljem naj bi prispeval tudi ZZPri.
Prepoved razkritja identitete prijavitelja je eden osrednjih ukrepov za spodbudo prijav in zaupanja zaposlenih, da ne bodo deležni povračilnih ukrepov. Notranja prijavna pot mora biti organizirana na način, da se z identiteto prijavitelja ne seznani nihče drug razen zaupnika. To velja tudi med obravnavo prijave in odpravljanjem kršitve ter obveščanjem vodstva o kršitvah. Razkritje identitete prijavitelja je mogoče le ob izrecnem soglasju prijavitelja, npr. če drugače ne bo mogoče obravnavati oziroma odpraviti kršitve. Razkritje identitete prijavitelja je določeno kot hujši prekršek. Med prekrški je določeno tudi ugotavljanje identitete prijaviteljev, npr. s strani vodstva podjetja ali medijev.
Izključitev odgovornosti prijavitelja in varovanje podatkov
Prijavitelj ne odgovarja za razkritje informacij, kot so na primer davčna, poslovna, bančna ali druga z zakonom določena skrivnost. Ta izjema pa ne velja za razkritje tajnih podatkov, poklicne skrivnosti odvetnikov in zdravnikov, tajnosti sodnih posvetovanj in podatkov iz kazenskega postopka. Prijavitelj tudi ne nosi odgovornosti za pridobitev takšnih informacij, če takšna pridobitev ali dostop ni samostojno kaznivo dejanje.
Varnost na spletu kot dopolnitev splošne varnosti
Poleg zakonske zaščite prijaviteljev je pomembno poudariti tudi pomen splošne varnosti, še posebej v digitalnem okolju. Varnost na spletu je danes ena najpomembnejših veščin sodobnega digitalnega življenja. Internet uporabljamo za delo, komunikacijo, nakupovanje, bančništvo in upravljanje osebnih podatkov, zato so tveganja vedno večja. Spletni kriminalci izkoriščajo nepazljivost uporabnikov, slabe varnostne navade in zastarele naprave. Dobra novica je, da lahko z nekaj osnovnimi koraki bistveno zmanjšamo možnost zlorab. Spletna varnost je pomembna, ker so osebni podatki, prijavni podatki, finančne informacije in zasebna komunikacija med najbolj iskanimi cilji napadalcev. Že en sam klik na lažno povezavo lahko vodi do kraje identitete, vdora v račun ali okužbe naprave. Posledice so lahko finančna škoda, izguba dostopa do storitev, izsiljevanje ali dolgotrajna zloraba osebnih podatkov. Posebej izpostavljeni so uporabniki, ki uporabljajo ista gesla na več mestih ali ne preverjajo sumljivih sporočil.
Kljub temu, da podjetja lahko utrpijo kibernetske napade kljub resni zaščiti, lahko bistveno zmanjšajo obseg njegovih posledic, če predhodno ustrezno okrepijo svojo odpornost proti kibernetskim napadom in drugim incidentom, se naučijo odzivanja nanje in omejijo intenzivnost napada. Na podlagi ocene vpliva na poslovanje in ocene tveganja v podjetju s strokovnjaki za kibernetsko varnost določite kritične vire in najverjetnejše grožnje, ki pretijo tem virom. Pri tem upoštevajte procese, tehnično opremo in človeški dejavnik. Za podjetja, ki nimajo lastnih strokovnih služb, specializiranih za področje informacijsko-komunikacijske tehnologije, je ustrezna rešitev v primeru kibernetskega napada strokovna asistenca, ki je del zavarovanja kibernetske zaščite. Največja posredna škoda, ki jo podjetje lahko utrpi zaradi kibernetskega napada, je upad ugleda in zaupanja pri strankah in poslovnih partnerjih. Zavarovanje kibernetske zaščite opcijsko vsebuje tudi kritje kibernetskega izsiljevanja. Zavarovanje kibernetske zaščite pa vključuje tudi dve odgovornostni kritji: odgovornost za kršitev zaupnosti in zasebnosti ter odgovornost za omrežno varnost.
Ključni ukrepi za spletno varnost:
- Protivirusni program: Zagotovite redno (večkrat dnevno) posodabljanje podatkovne baze in omogočajte sproten pregled prihajajoče in odhajajoče elektronske pošte.
- Redno posodabljanje sistema: Nalaganje popravkov in varnostnih dodatkov za vaš operacijski sistem lahko prepreči veliko morebitnih nevšečnosti.
- Previdnost pri priponkah: Vsako elektronsko sporočilo, ki vsebuje priponko, je potencialno nevarno. Poznajte pošiljatelja, vsebino priponk in naj protivirusni program pregleda pošto pred nalaganjem.
- Požarni zid: Nadzoruje ves promet med vami in drugimi računalniki ter vas obvešča o morebitnem prenosu podatkov.
- Redno varnostno kopiranje: V primeru izgube podatkov, je varnostno kopiranje ključno.
- Močna gesla: Uporabljajte unikatna, dolga in težko uganljiva gesla. Razmislite o uporabi upravljalnika gesel in večfaktorske avtentikacije.
- Previdnost pri nalaganju programov: Nameščajte le programe, katerih izvor in delovanje poznate.
- Varnost brezžičnih omrežij: Zagotovite ustrezno zaščito vašega domačega Wi-Fi omrežja.
- Šifriranje podatkov: Pri prenosu zaupnih informacij preko medmrežja uporabite šifrirne programe.
- Prepoznavanje spletnih prevar: Bodite pozorni na nenavadne zahteve, slabo jezikovno kakovost, sumljive povezave in nerealne obljube.
Zavedanje o pravicah in obveznostih, ki jih prinaša Zakon o zaščiti prijaviteljev, skupaj z doslednim upoštevanjem varnostnih ukrepov v digitalnem okolju, predstavlja ključ do varnejše in bolj integritetne družbe.