موجز قصير
وقد دخل الآن التوجيه 2019/1937 حيز النفاذ بالكامل. وهنا ما يجب أن يكون لدى منظمتكم - قنوات إبلاغ مأمونة، وحفظ السجلات، وحماية مكافحة الانتقام، وإجراءات للاستجابة التي تخضع للتدقيق التنظيمي.
- ما يجب أن يثبته تدفق العمل.
- الذي يَحْكمُ ويَجِبُ على مشتري الأدلةِ تَدقيق.
- كيف يناسب HubSecure دون استبدال المشورة القانونية.
توجيهات الاتحاد الأوروبي للإبلاغ عن المخالفات: دليل امتثال للشركات الخاضعة للتنظيم: everything regulated businesses need to know about the EU Whistleblowing Directive (2019/1937): who must comply, secure reporting channels,..
HubSecure BAR عندما تحتاج الأفرقة إلى سجلات مأمونة للموكلين، وجمع الوثائق، وملكية سير العمل، والوصول على أساس الدور، والأدلة على مراجعة الحسابات في مكان عمل محكوم واحد.
The EU Whistleblowing Directive (Directive 2019/1937/EU) requires any organisation with 50 or more employees to operate a confidential internal reporting channel. وتواجه الأعمال التجارية الصغيرة الخاضعة للتنظيم - ولا سيما في الخدمات المالية والرعاية الصحية والقانونية - نفس الالتزام بصرف النظر عن الحسابات. وقد انقضت الآن المواعيد النهائية الوطنية للترجمة في جميع الدول الأعضاء في الاتحاد الأوروبي. إن لم تكن متوافقاً بعد فأنت في خطر.
يغطي هذا الدليل المتطلبات الأساسية للتوجيه، وأخطاء التنفيذ الشائعة، وقائمة مراجعة عملية للامتثال مكونة من 12 خطوة.
مسار الشراء ذو الصلة HubSecure
دليل الامتثال لإدارة علاقات العملاء (CRM) الامتثال لإدارة علاقات العملاء (CRM) للشركات النامية وحدة إدارة علاقات العملاء (CRM) مقارنة HubSpot دليل الامتثال لإدارة علاقات العملاء (CRM) دليل المكتبة احجز عرضًا توضيحيًا لسير العمل
موارد الأمان والخصوصية والحوكمة ذات الصلة
تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.
حالة الاستخدام ذات الصلة
ينتمي هذا الدليل إلى مجموعة بدائل مساحة العمل وأدلة دمج الأدوات. تابع مع مركز المنتج للحصول على بدائل مساحة العمل ودمج الأدوات.
النطاق: من يجب أن يمتثل؟
التوجيه له نطاق واسع. تنطبق قنوات الإبلاغ الداخلية الإلزامية على:
منظمات القطاع الخاص
- أكثر من 50 موظفًا - التزامات كاملة بما في ذلك الإجراءات المكتوبة والجداول الزمنية للاستجابة والاحتفاظ بالسجلات
- من 10 إلى 49 موظفًا - يجوز لهم مشاركة القنوات مع الشركات الصغيرة والمتوسطة الأخرى بموجب القانون الوطني، ولكن يتم تطبيق إجراءات الحماية الأساسية
- أقل من 50 موظفًا في القطاعات المنظمة (مكافحة غسيل الأموال، والخدمات المالية، والطيران، والطاقة النووية) - التزامات كاملة بغض النظر عن الحجم
- تخضع جميع الكيانات القانونية العاملة في مجال الخدمات المالية للأفعال المذكورة في الجزء الثاني من المرفق
بالنسبة لمعظم شركات المحاماة، وشركات التكنولوجيا المالية، والمحاسبة، ومنظمات الرعاية الصحية، فإن استبعاد "القطاع المنظم" يعني أن عتبة الموظف غير ذات صلة - فأنت في النطاق من اليوم الأول.
المتطلبات الأساسية السبعة
قناة إبلاغ آمنة وسرية
يجب أن تسمح القناة بتقديم التقارير كتابيا (إلكترونيا أو ورقيا)، وإذا طلب ذلك، شفهيا. يجب أن تحمي القنوات هوية المراسل وأي أطراف ثالثة مذكورة. يجب أن تكون خطوط الهاتف غير قابلة للتسجيل إلا بموافقة المراسل؛ يجب نسخ المكالمات المسجلة وإتاحتها للمراجعة.
معالج معين ومحايد
يجب تخصيص شخص أو إدارة محايدة لاستقبال المراسل ومتابعته والتواصل معه. قد يكون المعالج داخليًا (على سبيل المثال، مسؤول الامتثال، رئيس الشؤون القانونية) أو طرفًا ثالثًا خارجيًا - ولكن يجب أن يكون مستقلاً عن الإدارة التشغيلية.
الاعتراف في غضون 7 أيام
يجب أن يحصل المراسلون على إقرار كتابي خلال 7 أيام تقويمية. هذا موعد نهائي صعب. تفشل معظم المؤسسات هنا ببساطة لأنها تفتقر إلى سير عمل لتشغيل الإقرار تلقائيًا.
المتابعة الحثيثة والملاحظات خلال 3 أشهر
يجب أن تتم متابعة جادة، ويجب تقديم التعليقات حول الإجراء الذي تم اتخاذه (أو لماذا لم يتم اتخاذ أي شيء) في غضون 3 أشهر من الإقرار. يجب أن تكون التعليقات مفصلة بالقدر الذي تسمح به السرية.
مسح المعلومات على القنوات الخارجية
يجب إعلام المراسلين بقنوات الإبلاغ الخارجية - السلطات الوطنية المختصة، ومؤسسات الاتحاد الأوروبي، وفي الحالات المناسبة، الكشف العام. إن توفير هذه المعلومات لا يعني التنازل عن التقارير الداخلية؛ إنه مطلب توجيهي.
الحماية من الانتقام
أي شكل من أشكال الانتقام ضد المراسل - الفصل، أو خفض الرتبة، أو المضايقة، أو مراجعة الأداء السلبي، أو الإجراءات التأديبية - محظور ويجب التراجع عنه. ينتقل عبء الإثبات إلى صاحب العمل: يجب عليك إثبات أن أي إجراء سلبي لم يكن مرتبطًا بالتقرير.
حفظ السجلات لمدة 5 سنوات
يجب الاحتفاظ بجميع التقارير وإجراءات المتابعة والاتصالات لمدة 5 سنوات على الأقل. يجب تخزين السجلات بشكل آمن، والتحكم في الوصول إليها، وإتاحتها للتدقيق. ويجب ألا يتم الاحتفاظ بها لفترة أطول من اللازم، مما يؤدي إلى تحقيق التوازن بين الحد الأدنى من الاحتفاظ بالبيانات وتقليل البيانات بموجب اللائحة العامة لحماية البيانات.
تقاطع اللائحة العامة لحماية البيانات
إن تشغيل قناة للإبلاغ عن المخالفات يعني معالجة البيانات الشخصية - وهي غالبًا بيانات حساسة حول سوء السلوك المشتبه به. وهذا يخلق تعارضًا مباشرًا بين التزامك بإجراء تحقيق شامل والتزامك بتقليل معالجة البيانات الشخصية إلى الحد الأدنى.
الالتزامات الرئيسية للقانون العام لحماية البيانات (الناتج المحلي الإجمالي) لقنوات الإبلاغ عن المخالفات
- الأساس القانوني: تغطي المادة 6(1)(ج) - الالتزام القانوني - الإنشاء الإلزامي للقناة وتشغيلها
- بيانات فئة خاصة: إذا كانت التقارير تتضمن ادعاءات جنائية أو نشاطًا صحيًا أو نقابيًا، تنطبق المادة 9 (2) (ب) أو (ز)
- حقوق أصحاب البيانات: يتمتع المشتبه بهم (الأفراد المُبلغ عنهم) بحقوق محدودة - وليست صفرًا. يجوز لك تأخير الكشف عن المعلومات إذا كان ذلك سيعرض التحقيق للخطر
- الاحتفاظ: الحد الأدنى لمدة 5 سنوات بموجب التوجيه؛ يتطلب القانون العام لحماية البيانات (الناتج المحلي الإجمالي) عدم الاحتفاظ لفترة أطول من اللازم. توثيق مبررات الاحتفاظ الخاصة بك بشكل صريح
- إشعار DPA: أصدرت العديد من وكالات حماية البيانات الوطنية (بما في ذلك AP الهولندية وCNIL الفرنسية) إرشادات محددة تتطلب حماية البيانات الشخصية لأنظمة الإبلاغ عن المخالفات
عقوبات عدم الامتثال
| انتهاك | التعرض لعقوبة | من ينفذ |
|---|---|---|
| فشل في إنشاء قناة | القانون الوطني — عادةً ما يتراوح بين 10 آلاف دولار إلى مليون دولار أمريكي | السلطة الوطنية المختصة |
| الانتقام من أحد الصحفيين | المسؤولية المدنية، إعادة الوضع، الأضرار | المحاكم العمالية + الجهة المختصة |
| خرق السرية | المسؤولية الجنائية في بعض الدول الأعضاء | خدمة النيابة |
| إعاقة التقرير (عرقلة) | غرامات جنائية/ إدارية | السلطة المختصة |
| خرق الناتج المحلي الإجمالي (تشويه القنوات) | ما يصل إلى 20 مليون دولار/ 4 في المائة | هيئة حماية البيانات |
أخطاء التنفيذ الشائعة
1 - استخدام البريد الإلكتروني بوصفه قناة الإبلاغ. ولا يضمن البريد الإلكتروني السرية، ويخلق قضايا احتجاز مختلطة، ولا يمكنه إنفاذ ضوابط الدخول. وعلمت معظم الإدارات الوطنية أن صناديق البريد الإلكتروني العامة غير ممتثلة.
2. Naming only the CEO or HR director as handler. المراسلون لن يستخدموا قناة إذا كانوا يعتقدون أنها تعود إلى الإدارة ويجب أن يكون المعالج محايداً حقاً - مثالياً موظف الامتثال أو مقدم خارجي.
3 - لم تنشر أي سياسة مكتوبة للموظفين. يجب أن يتم إعلام الموظفين بوجود القناة وكيفية استخدامها والحماية المتاحة لهم ولا تفي سياسة مدفونة في دليل الموظفين بهذا. ويجب إبلاغها بنشاط.
4. Missing the 7-day acknowledgement. وكثيراً ما يفوت هذا الموعد النهائي لأنه لا يوجد تدفق عمل آلي يؤدي إلى اعتراف. الموعد النهائي المفقود هو خرق توجيهي محتمل.
5. Failing to document "no action" outcomes. وإذا قُيِّم التقرير على أنه لا أساس له من الصحة ولم يتخذ أي إجراء، فلا بد من توثيق ذلك بالتعقل. A blank record implies the report was ignored.
تقرير مجهول هل تقبله؟?
ولا يتطلب التوجيه من المنظمات قبول تقارير مجهولة المصدر. غير أن القانون الوطني يختلف:
- فرنسا: تقليد سابين الثاني يعني وجوب قبول التقارير المجهولة ومعالجتها
- ألمانيا (HinSchG): Anonymous channels recommended but not mandatory
- هولندا: تقارير مجهولة ينبغي التعامل معها بقدر الإمكان
- Ireland, UK (post-Brexit PIDA): إقرارات مجهولة مقبولة ولكنها خفضت الحماية
وتتمثل أفضل الممارسات في قبول التقارير المجهولة، ومعاملتها بنفس العناية في المتابعة، وتوثيق أن المراسل اختار أن يظل مجهولا. وإذا تعذر التحقيق بصورة مجدية في التقرير دون مزيد من المعلومات، توثق السبب.
12-Step الامتثال checklist
قائمة التنفيذ
وحدة تبليغ الصفارات
HubSecure تشمل قناة مدمجة متوافقة مع الناتج المحلي الإجمالي مع التقارير المشفرة، والإقرار الآلي بـ 7 أيام، وتتبع ثلاثة أشهر، والاحتفاظ بـ 5 سنوات لمراجعة الحسابات - لا حاجة إلى أي أداة من أدوات الأداء.