В сила от 04.08.2023г.
Издадена от Комисията за защита на личните данни
Обн. ДВ. бр.67 от 4 Август 2023г.
Глава първа.
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) С тази наредба се определят редът за водене на регистъра на сигналите по чл.18 (регистъра) от Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН) (закона) на задължените субекти по чл.12, ал.1 от закона и условията за препращане на вътрешни сигнали към Комисията за защита на личните данни (КЗЛД) (Комисията).
(2) Регистърът се води от задължения субект по чл.12, ал.1 от закона за сигнали за нарушения на българското законодателство или на актове на Европейския съюз, които застрашават или увреждат обществения интерес и правото на Европейския съюз (сигнали), подадени чрез създадения от него канал за вътрешно подаване на сигнали.
Чл. 2. (1) Комисията разработва „Модел на Регистър на сигналите по чл.18, ал.2 от закона” с минималното съдържание по чл.18, ал.2 от закона и утвърждава образец на формуляр за приемане на сигнали с минималното съдържание по чл.15, ал.2 от закона, които публикува на интернет страницата си за безплатно ползване от всички задължени субекти по чл.12, ал.1 от закона.
(2) Редът за воденето на регистъра се определя с акт на задължения субект по чл.12, ал.1 от закона в изпълнение на тази наредба и на методическите указания на КЗЛД по чл.19, ал.2, т.3 от закона.
Чл. 3. Регистърът се води и поддържа на траен носител по смисъла на § 1, т.18 от допълнителните разпоредби на закона от определен от задължения субект по чл.12, ал.1 от закона служител, отговарящ за разглеждането на сигнали, подадени чрез канала за вътрешно подаване на сигнали (служителя(т). Информацията от регистъра се съхранява по начин, позволяващ възпроизвеждането ѝ без загуба на данни.
Чл. 4. (1) Всеки сигнал по чл.3 от закона, постъпил по вътрешен канал, без значение дали е писмен или устен, се регистрира чрез попълване на формуляр и с уникален идентификационен номер (УИН), предоставен от КЗЛД. УИН се генерира от интернет страницата на Комисията, която отговаря за създаването на техническа възможност за това.
(2) За получаване на УИН в предоставената на интернет страницата на КЗЛД общодостъпна функционалност по ал.1 се въвеждат следните данни:
1. наименование и ЕИК/БУЛСТАТ на работодателя, при когото е подаден сигналът;
2. идентификационни данни на служителя, отговарящ за разглеждането на сигнала;
3. предмет на сигнала (съответните области, предвидени в чл.3, ал.1 и 2 от закона); и
4. начин на получаване на сигнала (писмено или устно).
(3) Чрез генерирания УИН Комисията осъществява координация и контрол на дейностите по разглеждане на всеки сигнал по реда и при условията на закона.
(4) Задължените субекти по чл.12, ал.1 от закона предоставят на Комисията до 31 януари статическа информация по чл.18, ал.5 от закона за предходната година относно броя на постъпилите при тях сигнали, техния УИН, предмет, броя на извършените проверки и резултатите от тях.
(5) Редът за предоставяне на информацията по ал.4 се определя с указания на Комисията.
Чл. 5. Препращането на вътрешен сигнал към КЗЛД не освобождава задължения субект по чл.12, ал.1 от закона, служителя по чл.3 и всяко друго лице, което е имало достъп до сигнала, от задължението им за защита на самоличността на сигнализиращото лице и на всяко друго лице, посочено в сигнала.
Глава втора.
СЪДЪРЖАНИЕ И РЕД ЗА ВОДЕНЕ НА РЕГИСТЪРА
Чл. 6. (1) След постъпване на сигнала в регистъра се вписват най-малко обстоятелствата, посочени във формуляра, както следва:
1. лицето, което е приело сигнала;
2. датата на подаване на сигнала;
3. засегнатото лице, ако такава информация се съдържа в сигнала;
4. обобщени данни за твърдяното нарушение, като място и период на извършване на нарушението, описание на деянието и други обстоятелства, при които е било извършено;
5. връзката на подадения сигнал с други сигнали след установяването ѝ в процеса на обработване на сигнала;
6. информация, която е предоставена като обратна връзка на лицето, подало сигнала, и датата на предоставянето ѝ;
7. предприетите последващи действия;
8. резултатите от проверката по сигнала;
9. периодът на съхраняване на сигнала;
10. собственият входящ номер от информационната система за документооборот на задължения субект или друг аналогичен регистрационен номер;
11. уникалният идентификационен номер.
(2) Вписването в регистъра на данните по ал.1, т.10 и 11 и на други обстоятелства по ал.1, известни от съдържанието на подадения сигнал, се извършва незабавно.
(3) В случай че в сигнала липсва информация по някой от реквизитите на формуляра, служителят по чл.3 писмено уведомява сигнализиращото лице за необходимостта в 7-дневен срок да предостави допълнителни сведения с цел попълване на липсващата информация, като дава указания, че непредоставянето им ще предизвика прекратяване на производството по разглеждане на сигнала. В този случай допълването в регистъра се извършва незабавно след постъпване на допълнително предоставената информация.
(4) Вписването на обстоятелствата по ал.1, които не са известни към датата на подаване на сигнала, и на други допълнителни обстоятелства и/или отбелязвания по преценка на задължения субект по чл.12, ал.1 от закона се извършва поетапно съобразно постъпилата информация в хода на разглеждане на сигнала.
(5) При поетапното допълване на данни в регистъра се прави отбелязване за актуалния статус на сигнала.
(6) Служителят по чл.3 поддържа актуални данни в регистъра на български език независимо от езика, на който се води комуникацията със сигнализиращото лице.
(7) Правилата и критериите за разглеждане на сигнали, включително за определяне на актуален статус на сигнал, се уреждат с указания на Комисията.
Чл. 7. Служителят по чл.3 уведомява сигнализиращото лице за УИН на неговия сигнал и за собствения входящ номер от информационната система за документооборот на задължения субект или друг аналогичен регистрационен номер в срок от 7дни от получаването на сигнала.
Глава трета.
СЪХРАНЯВАНЕ НА СИГНАЛИТЕ И ДОСТЪП ДО РЕГИСТЪРА
Чл. 8. Сигналите и приложените към тях материали, включително последващата документация, свързана с разглеждането им, се съхраняват от задължения субект по чл.12, ал.1 от закона за срок от 5 години след приключване на разглеждането на сигнала от него, освен при наличието на образувано наказателно, гражданско, трудовоправно и/или административно производство във връзка с подадения сигнал.
Чл. 9. (1) Информацията, вписана в регистъра, се съхранява по начин, който гарантира нейната поверителност и сигурност.
(2) При закриване или заличаване на задължен субект по чл.12, ал.1 от закона без правоприемник информацията по чл.8 от тази наредба и регистъра по чл.18 от закона се предават за съхранение в КЗЛД при правила, определени с указания на Комисията.
Чл. 10. (1) Регистърът не е публичен.
(2) Достъп до регистъра имат само:
1. служителят по чл.3;
2. КЗЛД и служителите по чл.22 от закона.
(3) Служителят по чл.3 може да предоставя на задължения субект по чл.12, ал.1 от закона информация от регистъра, без това да води до разкриване на самоличността на сигнализиращото и засегнатото лице в случаите по чл.16, т.11, буква „б” от закона.
Глава четвърта.
ПРЕПРАЩАНЕ НА ВЪТРЕШНИ СИГНАЛИ КЪМ КЗЛД
Чл. 11. (1) Служителят по чл.3 препраща към КЗЛД сигнал, попадащ в обхвата на чл.3 от закона, за който се установи, че:
1. е получен при работодател от частния сектор, който не се явява задължен субект по чл.12, ал.1, т.2 и 3 от закона и не е длъжен да изгради и поддържа канал за вътрешно подаване на сигнали;
2. съобщава за нарушения, извършени от лица, заемащи висши публични длъжности по чл.6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, с цел последващо препращане към Комисията за противодействие на корупцията и за отнемане на незаконно придобитото имущество;
3. се отнася до дейността на друг задължен субект по чл.12, ал.1 от закона, без той конкретно да е упоменат в сигнала;
4. е налице необходимост от предприемане на действия от страна на Комисията по закона.
(2) В случай че сигнал, попадащ в обхвата на чл.3 от закона, постъпи директно в някой от органите по чл.20 от закона, след регистрирането му по смисъла на чл.4, ал.1 от тази наредба съответният ръководител незабавно го препраща до Комисията.
Чл. 12. (1) При установяване на обстоятелствата по чл.11, ал.1 в 7-дневен срок служителят по чл.3 препраща сигнала на КЗЛД заедно с цялата първоначална и/или впоследствие събрана документация към него, без да заличава данни.
(2) За препращането по ал.1 служителят по чл.3 уведомява сигнализиращото лице.
Допълнителни разпоредби
§ 1. По смисъла на тази наредба:
1. “Служител, отговарящ за разглеждането на сигнали” означава едно или повече физически лица (служител/и) или структурно обособено звено на задължен субект по чл.12, ал.1 от закона, определени да разглеждат сигнали, получени по вътрешен канал.
2. “Сигнал” или “Подаване на сигнал” означава устно или писмено предаване на информация за нарушения по чл.3 от закона.
Заключителни разпоредби
§ 2. Комисията за защита на личните данни води регистъра по чл.29, ал.1 от закона в съответствие с тази наредба.
§ 3. Наредбата е приета с решение по Протокол №28 от 27.07.2023г. на Комисията за защита на личните данни на основание чл.19, ал.2, т.3 от ЗЗЛПСПОИН и влиза в сила от деня на обнародването ѝ в „Държавен вестник”.