Ghid complet · companii private

Cum implementezi whistleblowing
în compania ta.

Prin canalul de whistleblowing, compania primește informații despre posibile încălcări, protejează persoanele implicate și poate interveni înainte ca problemele să se agraveze. Obligația legală acoperă întregul proces, de la primire până la soluționare.

50+angajați: pragul general pentru companiile private
7 zilecalendaristice pentru confirmarea primirii
3 lunipentru informarea privind acțiunile subsecvente
5 aniraportările se păstrează, apoi se distrug

Context

Ce trebuie să înțeleagă compania de la început

Prin whistleblowing, o persoană care află într-un context profesional despre o posibilă încălcare a legii poate raporta într-un cadru sigur. Identitatea sa nu trebuie să circule inutil, iar compania trebuie să prevină represaliile.

Publicarea unui formular este numai primul pas. Compania are nevoie de un responsabil imparțial, reguli clare, acces controlat, comunicare cu avertizorul, o analiză documentată și măsuri de remediere. Ghidul urmărește acest parcurs în ordinea în care apare în practică.

01 · Aplicabilitate

Trebuie compania ta să aibă un canal intern?

Verificarea pornește de la persoana juridică și numărul de angajați. Cifra de afaceri, numărul de sedii și notorietatea brandului nu stabilesc obligația.

Obligatoriu Cel puțin 50 de angajați

Persoana juridică privată trebuie să instituie sau să identifice un canal intern și să stabilească procedura de raportare și acțiunile subsecvente.

Verifică domeniul Mai puțin de 50 de angajați

De regulă, canalul intern nu este obligatoriu. Fac excepție entitățile care intră sub actele speciale enumerate în anexa nr. 3; pentru acestea obligația poate exista indiferent de mărime.

Opțiune de organizare Între 50 și 249 de angajați

Mai multe entități pot împărți resursele pentru primire și acțiuni subsecvente. Fiecare companie răspunde în continuare de confidențialitate, informare și soluționare.

Atenție
Un grup de firme nu este automat o singură entitate.

Verifică pragul și obligația pentru fiecare persoană juridică. Un canal comun poate fi util, dar trebuie să fie clar cine primește cazul, cine răspunde și ce companie îl soluționează.

02 · Domeniul real

Ce este și ce nu este o raportare de whistleblowing

Contează dacă informația provine dintr-un context profesional și indică o posibilă încălcare a legii. Denumirea aleasă de persoana care raportează nu decide traseul mesajului.

Poate raporta

Mai mult decât personalul activ

  • angajați și foști angajați;
  • candidați și persoane aflate în negocieri precontractuale;
  • persoane independente, acționari și administratori;
  • voluntari, stagiari, contractori, subcontractori și furnizori.
Poate viza

Fapte, riscuri sau încercări de ascundere

  • o încălcare care s-a produs deja;
  • o încălcare susceptibilă să se producă;
  • suspiciuni rezonabile și încercări de a ascunde faptele;
  • domenii precum date personale, securitate IT, mediu, produse, consumatori, concurență sau fiscalitate corporativă.
Nu automat

Nu orice nemulțumire devine whistleblowing

  • cererile administrative obișnuite;
  • disputele strict personale fără posibilă încălcare a legii;
  • reclamațiile comerciale fără legătură cu un context profesional;
  • feedbackul general despre management.
Tipuri de încălcări

Ce fapte pot ajunge pe canal

Legea acoperă acțiuni și inacțiuni care încalcă dispoziții legale. Formularul WhistleUp le grupează pe domenii, ca persoana care raportează să poată descrie mai ușor situația.

01

Contracte, bani și integritate

  • achiziții publice;
  • servicii, produse și piețe financiare;
  • spălarea banilor și finanțarea terorismului;
  • impozitarea societăților, evaziune fiscală și acte de corupție.
02

Piață, concurență și fonduri europene

  • interesele financiare ale Uniunii Europene;
  • regulile pieței interne;
  • concurență și ajutoare de stat;
  • mecanisme pentru obținerea unui avantaj fiscal contrar legii.
03

Produse, transport și lanț alimentar

  • siguranța și conformitatea produselor;
  • siguranța transportului;
  • siguranța alimentelor și a hranei pentru animale;
  • sănătatea și bunăstarea animalelor.
04

Mediu, sănătate și activități cu risc

  • protecția mediului;
  • protecția radiologică și siguranța nucleară;
  • sănătatea publică;
  • ascunderea unui incident sau a unui risc din aceste domenii.
05

Clienți, date personale și securitate IT

  • protecția consumatorilor;
  • viața privată și datele cu caracter personal;
  • securitatea rețelelor și a sistemelor informatice;
  • accesul neautorizat sau ascunderea unui incident de securitate.
06

Încălcări la locul de muncă

  • discriminare și hărțuire la locul de muncă;
  • hărțuire sexuală;
  • violență la locul de muncă;
  • victimizare sau represalii.
Lista nu este închisă.

Legea folosește formularea „domenii cum ar fi”. O posibilă abatere disciplinară, contravenție, infracțiune sau altă faptă care contravine obiectului ori scopului legii trebuie analizată chiar dacă nu se potrivește perfect unei etichete. Categoriile despre locul de muncă există în formular pentru triere, dar un simplu conflict între colegi nu devine automat raportare de whistleblowing.

Sfat: dacă mesajul ajunge pe canalul greșit, nu îl ignora. Fă trierea, protejează identitatea și redirecționează-l controlat către procesul potrivit.

03 · Implementare

Ce trebuie să construiești înainte de prima raportare

Obligația acoperă canalul, accesul, termenele, responsabilitățile și documentele. Toate trebuie să funcționeze împreună.

01

Canal sigur și accesibil permanent

Oferă raportare scrisă electronică și stabilește cum răspunzi cererilor pentru comunicare orală sau întâlnire. Cel puțin un mijloc trebuie să rămână accesibil în orice moment.

02

Procedură internă publicată

Explică cine poate raporta, ce poate raporta, cum se procesează cazul, termenele, confidențialitatea și opțiunile de raportare externă. Informația trebuie să fie ușor de găsit online și la sediu.

03

Persoană, compartiment sau terț desemnat

Rolul trebuie să poată primi, înregistra, examina, efectua acțiuni subsecvente și soluționa cu imparțialitate și independență.

04

Acces numai când este necesar

Definește cine vede identitatea, cine vede conținutul, cine poate aloca investigația și cine aprobă măsurile. Evită accesul generic pentru management sau IT.

05

Registru electronic și istoric de audit

Păstrează data primirii, datele disponibile, obiectul, acțiunile, comunicările și modalitatea de soluționare. Raportările se păstrează 5 ani, apoi se distrug.

06

Șabloane operaționale

Pregătește confirmarea de primire, cererea de completări, informarea de stadiu, decizia de clasare și comunicarea soluției înainte să ai primul caz.

07

Regulă pentru conflicte de interese

Dacă persoana desemnată, managerul direct sau conducerea este vizată, cazul trebuie să aibă o rută alternativă clară și imediată.

08

Instruire scurtă și concretă

Angajații trebuie să știe unde raportează; managerii trebuie să știe ce fac atunci când primesc accidental o raportare și ce înseamnă represalii.

04 · Regulamentul intern

Adaugă o secțiune clară despre canalul de raportare

Secțiunea adăugată în regulamentul intern trebuie să le spună oamenilor că există canalul, cine îl poate folosi, ce se poate raporta și ce protecții se aplică. Modelul de mai jos pornește din varianta minimă disponibilă în Biblioteca juridică WhistleUp și folosește câmpuri pe care compania trebuie să le completeze.

Model minim adaptat

Secțiune - Canalul intern de raportare WhistleUp

Organizație: [DENUMIREA COMPANIEI]
Canal intern: [LINKUL WHISTLEUP AL COMPANIEI]

Art. 1 [DENUMIREA COMPANIEI] pune la dispoziție canalul intern WhistleUp, în conformitate cu Legea nr. 361/2022. Prin canal pot fi raportate încălcări efective sau potențiale ale legii și încercări de ascundere a acestora, despre care persoana a aflat într-un context profesional.

Art. 2 Canalul poate fi utilizat de salariați și foști salariați, colaboratori, persoane independente, acționari sau asociați, membri ai organelor de conducere, voluntari, stagiari, contractanți, subcontractanți, furnizori și candidați. Raportarea se transmite la [LINKUL WHISTLEUP] și poate fi nominală sau anonimă. Raportarea anonimă se examinează dacă include indicii suficiente privind o posibilă încălcare a legii.

Art. 3 Raportarea descrie, pe cât posibil, contextul profesional, faptele, persoanele implicate, perioada, locul și probele disponibile. Avertizorul păstrează codul sau datele de acces furnizate de WhistleUp pentru a urmări stadiul și a comunica în mod confidențial cu persoana desemnată.

Art. 4 Raportările sunt primite și soluționate cu imparțialitate și independență de persoana, compartimentul sau terțul desemnat de [DENUMIREA COMPANIEI]. Primirea se confirmă în cel mult 7 zile calendaristice. Avertizorul este informat despre stadiul acțiunilor subsecvente în cel mult 3 luni și cu privire la soluționare.

Art. 5 Identitatea avertizorului, a persoanei vizate și a terților menționați este confidențială. Accesul la raportare este permis numai persoanelor autorizate. Datele personale nenecesare nu se colectează sau se șterg, iar raportările se păstrează timp de 5 ani, cu respectarea regulilor de protecție a datelor.

Art. 6 Este interzisă orice formă de represalii, amenințare sau tentativă de represalii determinată de raportare, inclusiv concedierea, sancționarea, retrogradarea, reducerea salariului, intimidarea, hărțuirea, discriminarea sau orice alt tratament inechitabil. Drepturile și măsurile legale de protecție nu pot fi limitate prin contract sau regulament.

Art. 7 Avertizorul poate alege între canalul intern și canalele externe competente, în condițiile legii. Utilizarea prealabilă a canalului intern nu este obligatorie. Procedura companiei indică locul în care sunt disponibile informațiile oficiale actualizate despre raportarea externă.

Art. 8 Prezenta secțiune se completează cu procedura internă de raportare, actul de desemnare a persoanei responsabile, nota de informare privind protecția datelor și normele speciale aplicabile. În caz de neconcordanță, dispozițiile legale imperative prevalează.

05 · Informarea angajaților

Canalul trebuie comunicat, nu doar configurat

Persoana desemnată și mijloacele de raportare trebuie aduse la cunoștința fiecărui angajat. Publică informația pe site și afișeaz-o la sediu, într-un loc vizibil și accesibil. Intranetul, emailul și sesiunile de instruire sunt completări utile, dar nu ar trebui să fie singurele locuri în care apare canalul.

01

Spune exact ce este canalul

Explică ce tipuri de încălcări pot fi raportate, cine poate raporta și diferența dintre o raportare de whistleblowing, o cerere administrativă și o problemă personală.

02

Dă accesul direct

Include linkul complet și codul QR, precizează că raportarea poate fi nominală sau anonimă și spune că datele de acces trebuie păstrate pentru urmărirea cazului.

03

Explică ce urmează

Prezintă rolul persoanei desemnate, confidențialitatea, interdicția represaliilor, confirmarea în 7 zile și informarea privind acțiunile subsecvente în cel mult 3 luni.

04

Repetă informarea când contează

Include canalul în onboarding, comunică orice schimbare de link sau responsabil și fă periodic o reamintire scurtă. Managerii trebuie instruiți separat pentru raportările primite accidental.

Cu WhistleUp

Pregătești materialele din două locuri

  1. Configurarea companiei: preiei adresa publică a canalului și codul QR aferent.
  2. Biblioteca juridică: copiezi modelul minim de regulament, precompletat cu denumirea și linkul organizației.
  3. Canalele companiei: publici linkul și codul QR pe site, la sediu, în intranet, în mesajul de onboarding și în comunicările interne.
  4. Verificare: testezi linkul și codul QR fără un cont de angajat și păstrezi dovada datei și a modului în care ai făcut informarea.

06 · Fluxul unui caz

Ce se întâmplă după apăsarea butonului „Trimite”

Un flux clar ajută compania să lucreze consecvent și protejează persoana care raportează. Nu aștepta ultima zi pentru confirmare sau informare.

0Imediat

Primește și protejează

Înregistrează raportarea, limitează accesul și verifică dacă notificările sau atașamentele pot dezvălui identitatea. Dacă ajunge din greșeală la altcineva, acea persoană trebuie să o transmită imediat responsabilului desemnat și să păstreze confidențialitatea.

1≤ 7 zile

Confirmă primirea

Trimite confirmarea în maximum 7 zile calendaristice. Confirmarea nu înseamnă că fapta a fost dovedită; spune doar că raportarea a fost primită și va fi examinată.

2Triere

Verifică domeniul, informațiile și conflictul

Stabilește dacă mesajul descrie o posibilă încălcare a legii, dacă există suficiente indicii și dacă persoana desemnată este independentă față de subiect. Nu cere „probe definitive” pentru a accepta cazul.

315 zile

Cere completări când sunt necesare

Dacă lipsesc elemente esențiale, cere completarea și acordă termenul legal de 15 zile. O raportare anonimă fără indicii suficiente poate fi clasată numai după ce completarea a fost solicitată și nu a fost furnizată.

4Analiză

Planifică și execută acțiunile subsecvente

Definește întrebările, sursele, persoanele intervievate, măsurile de conservare a probelor și riscurile de represalii. Oferă acces doar celor necesari și documentează motivul fiecărei extinderi de acces.

5≤ 3 luni

Informează despre stadiu

Comunică acțiunile subsecvente și motivele lor în maximum 3 luni de la confirmare sau de la expirarea termenului de 7 zile. Continuă informările când apar evoluții, dacă nu periclitează verificările.

6Închidere

Decide, remediază și comunică

Documentează concluzia, măsurile luate, responsabilul și termenul de remediere. Comunică modalitatea de soluționare. Pentru clasare, indică temeiul; raportările repetate cu același obiect se conexează.

75 ani

Păstrează controlat, apoi distruge

Menține dosarul în registrul electronic cu confidențialitate și trasabilitate. La expirarea perioadei de 5 ani, distruge raportarea indiferent de suport.

07 · Roluri și acces

Cine face ce, fără ca „toată conducerea” să citească tot

Procesele interne neclare compromit adesea confidențialitatea, chiar dacă sistemul este protejat cu parole.

Responsabil

Persoana desemnată

Primește, înregistrează, face trierea, coordonează acțiunile subsecvente, comunică și închide cazul. Înainte să deschidă dosarul, verifică dacă are un conflict de interese.

Guvernanță

Conducerea

Asigură resursele și independența necesare, apoi primește concluziile de care are nevoie. Identitatea avertizorului și accesul integral la dosar nu îi sunt necesare automat.

Specialiști

Juridic, HR, DPO, securitate

Intervin pe întrebări delimitate. HR nu este proprietarul implicit al tuturor cazurilor, iar IT nu trebuie să poată citi conținutul doar pentru că administrează sistemele.

Investigație

Echipa de caz

Primește minimul necesar pentru sarcina atribuită, pe perioadă limitată. Accesul și deciziile se documentează.

Regula simplă de acces

Faptul că „ar fi util să știe” nu justifică accesul. Pentru fiecare persoană întreabă: ce acțiune concretă trebuie să facă, ce informație minimă îi trebuie și până când?

08 · Confidențialitate și anonimat

Protejează identitatea și dosarul

Identitatea avertizorului, a persoanei vizate și a terților menționați trebuie tratată ca informație cu acces strict controlat.

Raportarea anonimă se examinează

Lipsa numelui, contactului sau semnăturii nu justifică respingerea automată dacă raportarea conține indicii despre o încălcare a legii.

Nu promite „anonimat absolut”

Poți proteja identitatea tehnic și procedural, dar contextul relatat poate permite deducerea persoanei. Explică onest diferența dintre anonim și confidențial.

Minimizează datele

Nu colecta copii de acte, date medicale sau informații despre terți dacă nu sunt necesare soluționării. Datele colectate accidental și inutile trebuie șterse.

Protejează și persoana vizată

Nu prezenta acuzația drept fapt dovedit. Păstrează confidențialitatea, dreptul la apărare și separarea dintre verificare și sancționare.

09 · Registrul raportărilor

Ce scrii în registru și cine are voie să îl vadă

Înregistrarea începe când primești raportarea, nu după ce ai soluționat-o. Persoana sau compartimentul desemnat ține registrul în format electronic și păstrează confidențialitatea informațiilor din el.

Conținutul minim prevăzut de lege

Fiecare înregistrare trebuie să cuprindă

  1. Data primiriimomentul de la care urmărești termenele aplicabile
  2. Numele și prenumele avertizoruluinumai dacă persoana și-a comunicat identitatea
  3. Datele de contactadresa sau mijlocul de comunicare furnizat de avertizor
  4. Obiectul raportăriio descriere suficientă pentru identificarea cazului
  5. Modalitatea de soluționarese completează la închidere: clasare, măsuri dispuse sau alt rezultat documentat
Pentru o raportare anonimă: nu completa identitatea sau contactul cu presupuneri. Înregistrează raportarea ca anonimă și lucrează cu informațiile pe care le ai.
FormatRegistrul se ține electronic

Un fișier improvizat, accesibil mai multor persoane, poate încălca cerința de confidențialitate.

StatisticiObligatorii de la 50 de angajați

Compania trebuie să poată urmări raportările care privesc încălcări ale legii.

Păstrare5 ani, apoi distrugere

Termenul privește raportarea și documentarea ei, indiferent de suport.

Raportări oraleÎnregistrare sau transcriere exactă

Înregistrarea audio cere consimțământ. Altfel, întocmești o transcriere sau un proces-verbal care poate fi verificat și semnat.

În WhistleUp

Registrul se formează din activitatea reală a cazurilor

Vezi numărul raportării, data, compania, caracterul anonim sau nominal, categoriile, stadiul, termenele, mesajele, documentele și soluția. Poți căuta și filtra după companie sau perioadă, consulta statisticile și exporta registrul în PDF cu referință de audit și adresă de verificare. Compania stabilește drepturile de acces și aplică regula de păstrare și distrugere.

10 · Dosarul minim

Ce trebuie să poți demonstra după închiderea cazului

Un dosar bine ținut arată că ai lucrat diligent și imparțial, fără să adune date personale inutile.

PrimireRaportarea originală, atașamentele și data exactă a primirii
ComunicareConfirmarea, cererile de completare, informările de stadiu și soluția
GuvernanțăPersoana desemnată, verificarea conflictului și deciziile de acces
AnalizăPlanul de verificare, probele relevante și acțiunile efectuate
DecizieConcluzia motivată, măsurile și responsabilitățile de remediere
RetențieData-limită de păstrare și dovada distrugerii la expirarea celor 5 ani

11 · Bune practici

Ce funcționează și ce trebuie evitat

  • publică un canal ușor de găsit și o explicație pe înțelesul tuturor;
  • confirmă primirea repede, chiar dacă analiza nu a început;
  • verifică conflictul de interese înainte de a aloca cazul;
  • păstrează legătura cu avertizorul și cere clarificări punctuale;
  • documentează de ce ai deschis accesul fiecărui specialist;
  • monitorizează represaliile și după închiderea cazului;
  • testează anual canalul, notificările, backupul și rutele alternative.
×

Nu face

  • nu folosi o căsuță de email comună HR/management;
  • nu cere avertizorului să dovedească definitiv fapta;
  • nu comunica identitatea „ca să fie mai simplă investigația”;
  • nu alerta persoana vizată înainte să protejezi probele și oamenii;
  • nu trata automat o raportare neconfirmată ca raportare nereală;
  • nu confunda închiderea investigației cu ștergerea dosarului;
  • nu lăsa concediul persoanei desemnate să blocheze termenele.

12 · Situații frecvente

Cinci situații întâlnite în practică

01Raportarea îl vizează chiar pe managerul persoanei desemnate

Nu continua pe traseul obișnuit. Activează ruta alternativă prevăzută în procedură, limitează accesul managerului și documentează motivul realocării. Dacă ruta alternativă nu există, procedura are o lacună care trebuie remediată imediat.

02Raportarea este anonimă, dar conține date verificabile

Înregistreaz-o și examineaz-o. Anonimatul nu este motiv de clasare atunci când există indicii suficiente. Folosește comunicarea securizată pentru clarificări, fără să condiționezi analiza de dezvăluirea identității.

03Mesajul pare o plângere HR, dar menționează falsificarea unor documente

Separă componentele. Partea administrativă poate merge pe fluxul HR, însă posibila încălcare a legii trebuie analizată în procedura de whistleblowing. Nu redirecționa integral mesajul către o căsuță generală.

04Aceeași persoană trimite repetat aceeași faptă

Conexează raportările cu același obiect și comunică unitar. O nouă raportare identică, fără informații suplimentare după informarea anterioară, poate fi clasată conform procedurii și cu temeiul comunicat.

05Fapta este reală, dar în mod clar minoră

Poți încheia procedura dacă nu sunt necesare alte acțiuni subsecvente, dar documentează analiza, remedierea necesară și motivul. Confidențialitatea și obligația de informare rămân.

13 · Capcane de implementare

Detalii care pot bloca procesul

01

Emailul dedicat este considerat „implementarea completă”

Fără roluri, termene, registru, comunicare, traseu de conflict și control al accesului, este doar o adresă.

02

Furnizorul extern este confundat cu transferul răspunderii

Poți externaliza primirea sau administrarea, nu și obligația companiei de a soluționa, informa și proteja.

03

Notificările includ subiectul raportării

Emailurile, mesajele de chat sau notificările push pot expune identitatea și conținutul. Anunță existența unei acțiuni, fără detaliile cazului.

04

Canalul este publicat doar în intranet

Foștii angajați, candidații și persoanele din lanțul de furnizare pot avea nevoie de acces fără cont intern.

05

Se numără zile lucrătoare în loc de zile calendaristice

Confirmarea de primire are termen de maximum 7 zile calendaristice. Automatizează scadența de la momentul real al primirii.

06

Dosarul rămâne accesibil după închiderea investigației

Închiderea trebuie să reducă accesul operațional. Păstrarea legală nu înseamnă acces permanent pentru aceeași echipă.

14 · Expunere

Amenzile relevante pentru companie

Legea stabilește amenda în funcție de faptă. Plafonul de 40.000 lei nu se aplică automat oricărei neconformități.

Împiedicarea raportării2.000-20.000 lei
Lipsa canalului intern obligatoriu3.000-30.000 lei
Canal care nu protejează confidențialitatea și accesul4.000-40.000 lei
Încălcarea confidențialității identității4.000-40.000 lei

15 · Verificare finală

Poți răspunde „da” la toate?

WhistleUp

Cum acoperă WhistleUp procesul, de la canal la registru

WhistleUp pune într-un singur flux canalul public, lucrul pe caz, comunicarea și evidența. Compania nu mai trebuie să combine formulare, foi de calcul, emailuri și documente păstrate în locuri diferite.

Canalul intern

Portal public dedicat companiei

Persoana raportează nominal sau anonim și primește date de acces pentru a reveni la caz, fără cont de angajat.

Informarea oamenilor

Link, cod QR și materiale pregătite

Compania distribuie accesul direct la canal și folosește modelele din Biblioteca juridică pentru regulament și comunicarea internă.

Primire și triere

Formular structurat, cu documente

Raportarea poate include contextul profesional, categoriile, descrierea faptelor, persoanele vizate și fișierele relevante.

Confidențialitate

Drepturi de acces la cont și la raportare

Accesul se acordă persoanelor autorizate. Comunicarea cu avertizorul rămâne separată de notele interne ale echipei.

Termene și comunicare

Semnale pentru 7 zile și 3 luni

Registrul arată termenele apropiate sau depășite, iar istoricul păstrează mesajele trimise avertizorului.

Lucrul pe caz

Note, documente, acțiuni și soluție

Echipa păstrează informația cazului împreună și documentează rezultatul fără să mute conținutul în căsuțe de email comune.

Registru și control

Tabel, carduri, filtre și statistici

Raportările pot fi căutate, ordonate și filtrate după companie sau perioadă. Vizualizarea analitică arată activitatea și respectarea termenelor.

Dovadă și export

PDF-uri cu urmă de audit

Compania poate exporta registrul și dosarele, cu referință de export și adresă de verificare pentru documentele generate.

Ce rămâne la companie

WhistleUp oferă procesul. Compania ia deciziile.

  • verifică aplicabilitatea și calificarea juridică a faptelor;
  • desemnează responsabilul și stabilește ruta pentru conflicte de interese;
  • desfășoară investigația, decide măsurile și urmărește remedierea;
  • organizează raportarea orală sau întâlnirea solicitată;
  • configurează accesul, publică informarea și aplică păstrarea și distrugerea.
Acces complet timp de 60 de zileÎncearcă fluxul împreună cu echipa ta. Nu ai nevoie de card bancar.
Mergi la înregistrare