Cum implementezi whistleblowing
în compania ta.
Prin canalul de whistleblowing, compania primește informații despre posibile încălcări, protejează persoanele implicate și poate interveni înainte ca problemele să se agraveze. Obligația legală acoperă întregul proces, de la primire până la soluționare.
Context
Ce trebuie să înțeleagă compania de la început
Prin whistleblowing, o persoană care află într-un context profesional despre o posibilă încălcare a legii poate raporta într-un cadru sigur. Identitatea sa nu trebuie să circule inutil, iar compania trebuie să prevină represaliile.
Publicarea unui formular este numai primul pas. Compania are nevoie de un responsabil imparțial, reguli clare, acces controlat, comunicare cu avertizorul, o analiză documentată și măsuri de remediere. Ghidul urmărește acest parcurs în ordinea în care apare în practică.
Înregistrează-te gratuit
Primești acces complet la WhistleUp timp de 60 de zile.
- Acces complet timp de 60 de zile
- Fără card bancar
- Fără obligații
01 · Aplicabilitate
Trebuie compania ta să aibă un canal intern?
Verificarea pornește de la persoana juridică și numărul de angajați. Cifra de afaceri, numărul de sedii și notorietatea brandului nu stabilesc obligația.
Persoana juridică privată trebuie să instituie sau să identifice un canal intern și să stabilească procedura de raportare și acțiunile subsecvente.
De regulă, canalul intern nu este obligatoriu. Fac excepție entitățile care intră sub actele speciale enumerate în anexa nr. 3; pentru acestea obligația poate exista indiferent de mărime.
Mai multe entități pot împărți resursele pentru primire și acțiuni subsecvente. Fiecare companie răspunde în continuare de confidențialitate, informare și soluționare.
Verifică pragul și obligația pentru fiecare persoană juridică. Un canal comun poate fi util, dar trebuie să fie clar cine primește cazul, cine răspunde și ce companie îl soluționează.
02 · Domeniul real
Ce este și ce nu este o raportare de whistleblowing
Contează dacă informația provine dintr-un context profesional și indică o posibilă încălcare a legii. Denumirea aleasă de persoana care raportează nu decide traseul mesajului.
Mai mult decât personalul activ
- angajați și foști angajați;
- candidați și persoane aflate în negocieri precontractuale;
- persoane independente, acționari și administratori;
- voluntari, stagiari, contractori, subcontractori și furnizori.
Fapte, riscuri sau încercări de ascundere
- o încălcare care s-a produs deja;
- o încălcare susceptibilă să se producă;
- suspiciuni rezonabile și încercări de a ascunde faptele;
- domenii precum date personale, securitate IT, mediu, produse, consumatori, concurență sau fiscalitate corporativă.
Nu orice nemulțumire devine whistleblowing
- cererile administrative obișnuite;
- disputele strict personale fără posibilă încălcare a legii;
- reclamațiile comerciale fără legătură cu un context profesional;
- feedbackul general despre management.
Ce fapte pot ajunge pe canal
Legea acoperă acțiuni și inacțiuni care încalcă dispoziții legale. Formularul WhistleUp le grupează pe domenii, ca persoana care raportează să poată descrie mai ușor situația.
Contracte, bani și integritate
- achiziții publice;
- servicii, produse și piețe financiare;
- spălarea banilor și finanțarea terorismului;
- impozitarea societăților, evaziune fiscală și acte de corupție.
Piață, concurență și fonduri europene
- interesele financiare ale Uniunii Europene;
- regulile pieței interne;
- concurență și ajutoare de stat;
- mecanisme pentru obținerea unui avantaj fiscal contrar legii.
Produse, transport și lanț alimentar
- siguranța și conformitatea produselor;
- siguranța transportului;
- siguranța alimentelor și a hranei pentru animale;
- sănătatea și bunăstarea animalelor.
Mediu, sănătate și activități cu risc
- protecția mediului;
- protecția radiologică și siguranța nucleară;
- sănătatea publică;
- ascunderea unui incident sau a unui risc din aceste domenii.
Clienți, date personale și securitate IT
- protecția consumatorilor;
- viața privată și datele cu caracter personal;
- securitatea rețelelor și a sistemelor informatice;
- accesul neautorizat sau ascunderea unui incident de securitate.
Încălcări la locul de muncă
- discriminare și hărțuire la locul de muncă;
- hărțuire sexuală;
- violență la locul de muncă;
- victimizare sau represalii.
Legea folosește formularea „domenii cum ar fi”. O posibilă abatere disciplinară, contravenție, infracțiune sau altă faptă care contravine obiectului ori scopului legii trebuie analizată chiar dacă nu se potrivește perfect unei etichete. Categoriile despre locul de muncă există în formular pentru triere, dar un simplu conflict între colegi nu devine automat raportare de whistleblowing.
03 · Implementare
Ce trebuie să construiești înainte de prima raportare
Obligația acoperă canalul, accesul, termenele, responsabilitățile și documentele. Toate trebuie să funcționeze împreună.
Canal sigur și accesibil permanent
Oferă raportare scrisă electronică și stabilește cum răspunzi cererilor pentru comunicare orală sau întâlnire. Cel puțin un mijloc trebuie să rămână accesibil în orice moment.
Procedură internă publicată
Explică cine poate raporta, ce poate raporta, cum se procesează cazul, termenele, confidențialitatea și opțiunile de raportare externă. Informația trebuie să fie ușor de găsit online și la sediu.
Persoană, compartiment sau terț desemnat
Rolul trebuie să poată primi, înregistra, examina, efectua acțiuni subsecvente și soluționa cu imparțialitate și independență.
Acces numai când este necesar
Definește cine vede identitatea, cine vede conținutul, cine poate aloca investigația și cine aprobă măsurile. Evită accesul generic pentru management sau IT.
Registru electronic și istoric de audit
Păstrează data primirii, datele disponibile, obiectul, acțiunile, comunicările și modalitatea de soluționare. Raportările se păstrează 5 ani, apoi se distrug.
Șabloane operaționale
Pregătește confirmarea de primire, cererea de completări, informarea de stadiu, decizia de clasare și comunicarea soluției înainte să ai primul caz.
Regulă pentru conflicte de interese
Dacă persoana desemnată, managerul direct sau conducerea este vizată, cazul trebuie să aibă o rută alternativă clară și imediată.
Instruire scurtă și concretă
Angajații trebuie să știe unde raportează; managerii trebuie să știe ce fac atunci când primesc accidental o raportare și ce înseamnă represalii.
04 · Regulamentul intern
Adaugă o secțiune clară despre canalul de raportare
Secțiunea adăugată în regulamentul intern trebuie să le spună oamenilor că există canalul, cine îl poate folosi, ce se poate raporta și ce protecții se aplică. Modelul de mai jos pornește din varianta minimă disponibilă în Biblioteca juridică WhistleUp și folosește câmpuri pe care compania trebuie să le completeze.
Secțiune - Canalul intern de raportare WhistleUp
Organizație: [DENUMIREA COMPANIEI]
Canal intern: [LINKUL WHISTLEUP AL COMPANIEI]
Art. 1 [DENUMIREA COMPANIEI] pune la dispoziție canalul intern WhistleUp, în conformitate cu Legea nr. 361/2022. Prin canal pot fi raportate încălcări efective sau potențiale ale legii și încercări de ascundere a acestora, despre care persoana a aflat într-un context profesional.
Art. 2 Canalul poate fi utilizat de salariați și foști salariați, colaboratori, persoane independente, acționari sau asociați, membri ai organelor de conducere, voluntari, stagiari, contractanți, subcontractanți, furnizori și candidați. Raportarea se transmite la [LINKUL WHISTLEUP] și poate fi nominală sau anonimă. Raportarea anonimă se examinează dacă include indicii suficiente privind o posibilă încălcare a legii.
Art. 3 Raportarea descrie, pe cât posibil, contextul profesional, faptele, persoanele implicate, perioada, locul și probele disponibile. Avertizorul păstrează codul sau datele de acces furnizate de WhistleUp pentru a urmări stadiul și a comunica în mod confidențial cu persoana desemnată.
Art. 4 Raportările sunt primite și soluționate cu imparțialitate și independență de persoana, compartimentul sau terțul desemnat de [DENUMIREA COMPANIEI]. Primirea se confirmă în cel mult 7 zile calendaristice. Avertizorul este informat despre stadiul acțiunilor subsecvente în cel mult 3 luni și cu privire la soluționare.
Art. 5 Identitatea avertizorului, a persoanei vizate și a terților menționați este confidențială. Accesul la raportare este permis numai persoanelor autorizate. Datele personale nenecesare nu se colectează sau se șterg, iar raportările se păstrează timp de 5 ani, cu respectarea regulilor de protecție a datelor.
Art. 6 Este interzisă orice formă de represalii, amenințare sau tentativă de represalii determinată de raportare, inclusiv concedierea, sancționarea, retrogradarea, reducerea salariului, intimidarea, hărțuirea, discriminarea sau orice alt tratament inechitabil. Drepturile și măsurile legale de protecție nu pot fi limitate prin contract sau regulament.
Art. 7 Avertizorul poate alege între canalul intern și canalele externe competente, în condițiile legii. Utilizarea prealabilă a canalului intern nu este obligatorie. Procedura companiei indică locul în care sunt disponibile informațiile oficiale actualizate despre raportarea externă.
Art. 8 Prezenta secțiune se completează cu procedura internă de raportare, actul de desemnare a persoanei responsabile, nota de informare privind protecția datelor și normele speciale aplicabile. În caz de neconcordanță, dispozițiile legale imperative prevalează.
05 · Informarea angajaților
Canalul trebuie comunicat, nu doar configurat
Persoana desemnată și mijloacele de raportare trebuie aduse la cunoștința fiecărui angajat. Publică informația pe site și afișeaz-o la sediu, într-un loc vizibil și accesibil. Intranetul, emailul și sesiunile de instruire sunt completări utile, dar nu ar trebui să fie singurele locuri în care apare canalul.
Spune exact ce este canalul
Explică ce tipuri de încălcări pot fi raportate, cine poate raporta și diferența dintre o raportare de whistleblowing, o cerere administrativă și o problemă personală.
Dă accesul direct
Include linkul complet și codul QR, precizează că raportarea poate fi nominală sau anonimă și spune că datele de acces trebuie păstrate pentru urmărirea cazului.
Explică ce urmează
Prezintă rolul persoanei desemnate, confidențialitatea, interdicția represaliilor, confirmarea în 7 zile și informarea privind acțiunile subsecvente în cel mult 3 luni.
Repetă informarea când contează
Include canalul în onboarding, comunică orice schimbare de link sau responsabil și fă periodic o reamintire scurtă. Managerii trebuie instruiți separat pentru raportările primite accidental.
Pregătești materialele din două locuri
- Configurarea companiei: preiei adresa publică a canalului și codul QR aferent.
- Biblioteca juridică: copiezi modelul minim de regulament, precompletat cu denumirea și linkul organizației.
- Canalele companiei: publici linkul și codul QR pe site, la sediu, în intranet, în mesajul de onboarding și în comunicările interne.
- Verificare: testezi linkul și codul QR fără un cont de angajat și păstrezi dovada datei și a modului în care ai făcut informarea.
06 · Fluxul unui caz
Ce se întâmplă după apăsarea butonului „Trimite”
Un flux clar ajută compania să lucreze consecvent și protejează persoana care raportează. Nu aștepta ultima zi pentru confirmare sau informare.
Primește și protejează
Înregistrează raportarea, limitează accesul și verifică dacă notificările sau atașamentele pot dezvălui identitatea. Dacă ajunge din greșeală la altcineva, acea persoană trebuie să o transmită imediat responsabilului desemnat și să păstreze confidențialitatea.
Confirmă primirea
Trimite confirmarea în maximum 7 zile calendaristice. Confirmarea nu înseamnă că fapta a fost dovedită; spune doar că raportarea a fost primită și va fi examinată.
Verifică domeniul, informațiile și conflictul
Stabilește dacă mesajul descrie o posibilă încălcare a legii, dacă există suficiente indicii și dacă persoana desemnată este independentă față de subiect. Nu cere „probe definitive” pentru a accepta cazul.
Cere completări când sunt necesare
Dacă lipsesc elemente esențiale, cere completarea și acordă termenul legal de 15 zile. O raportare anonimă fără indicii suficiente poate fi clasată numai după ce completarea a fost solicitată și nu a fost furnizată.
Planifică și execută acțiunile subsecvente
Definește întrebările, sursele, persoanele intervievate, măsurile de conservare a probelor și riscurile de represalii. Oferă acces doar celor necesari și documentează motivul fiecărei extinderi de acces.
Informează despre stadiu
Comunică acțiunile subsecvente și motivele lor în maximum 3 luni de la confirmare sau de la expirarea termenului de 7 zile. Continuă informările când apar evoluții, dacă nu periclitează verificările.
Decide, remediază și comunică
Documentează concluzia, măsurile luate, responsabilul și termenul de remediere. Comunică modalitatea de soluționare. Pentru clasare, indică temeiul; raportările repetate cu același obiect se conexează.
Păstrează controlat, apoi distruge
Menține dosarul în registrul electronic cu confidențialitate și trasabilitate. La expirarea perioadei de 5 ani, distruge raportarea indiferent de suport.
07 · Roluri și acces
Cine face ce, fără ca „toată conducerea” să citească tot
Procesele interne neclare compromit adesea confidențialitatea, chiar dacă sistemul este protejat cu parole.
Persoana desemnată
Primește, înregistrează, face trierea, coordonează acțiunile subsecvente, comunică și închide cazul. Înainte să deschidă dosarul, verifică dacă are un conflict de interese.
Conducerea
Asigură resursele și independența necesare, apoi primește concluziile de care are nevoie. Identitatea avertizorului și accesul integral la dosar nu îi sunt necesare automat.
Juridic, HR, DPO, securitate
Intervin pe întrebări delimitate. HR nu este proprietarul implicit al tuturor cazurilor, iar IT nu trebuie să poată citi conținutul doar pentru că administrează sistemele.
Echipa de caz
Primește minimul necesar pentru sarcina atribuită, pe perioadă limitată. Accesul și deciziile se documentează.
Faptul că „ar fi util să știe” nu justifică accesul. Pentru fiecare persoană întreabă: ce acțiune concretă trebuie să facă, ce informație minimă îi trebuie și până când?
08 · Confidențialitate și anonimat
Protejează identitatea și dosarul
Identitatea avertizorului, a persoanei vizate și a terților menționați trebuie tratată ca informație cu acces strict controlat.
Lipsa numelui, contactului sau semnăturii nu justifică respingerea automată dacă raportarea conține indicii despre o încălcare a legii.
Poți proteja identitatea tehnic și procedural, dar contextul relatat poate permite deducerea persoanei. Explică onest diferența dintre anonim și confidențial.
Nu colecta copii de acte, date medicale sau informații despre terți dacă nu sunt necesare soluționării. Datele colectate accidental și inutile trebuie șterse.
Nu prezenta acuzația drept fapt dovedit. Păstrează confidențialitatea, dreptul la apărare și separarea dintre verificare și sancționare.
09 · Registrul raportărilor
Ce scrii în registru și cine are voie să îl vadă
Înregistrarea începe când primești raportarea, nu după ce ai soluționat-o. Persoana sau compartimentul desemnat ține registrul în format electronic și păstrează confidențialitatea informațiilor din el.
Fiecare înregistrare trebuie să cuprindă
- Data primiriimomentul de la care urmărești termenele aplicabile
- Numele și prenumele avertizoruluinumai dacă persoana și-a comunicat identitatea
- Datele de contactadresa sau mijlocul de comunicare furnizat de avertizor
- Obiectul raportăriio descriere suficientă pentru identificarea cazului
- Modalitatea de soluționarese completează la închidere: clasare, măsuri dispuse sau alt rezultat documentat
Un fișier improvizat, accesibil mai multor persoane, poate încălca cerința de confidențialitate.
Compania trebuie să poată urmări raportările care privesc încălcări ale legii.
Termenul privește raportarea și documentarea ei, indiferent de suport.
Înregistrarea audio cere consimțământ. Altfel, întocmești o transcriere sau un proces-verbal care poate fi verificat și semnat.
Registrul se formează din activitatea reală a cazurilor
Vezi numărul raportării, data, compania, caracterul anonim sau nominal, categoriile, stadiul, termenele, mesajele, documentele și soluția. Poți căuta și filtra după companie sau perioadă, consulta statisticile și exporta registrul în PDF cu referință de audit și adresă de verificare. Compania stabilește drepturile de acces și aplică regula de păstrare și distrugere.
10 · Dosarul minim
Ce trebuie să poți demonstra după închiderea cazului
Un dosar bine ținut arată că ai lucrat diligent și imparțial, fără să adune date personale inutile.
11 · Bune practici
Ce funcționează și ce trebuie evitat
Fă
- publică un canal ușor de găsit și o explicație pe înțelesul tuturor;
- confirmă primirea repede, chiar dacă analiza nu a început;
- verifică conflictul de interese înainte de a aloca cazul;
- păstrează legătura cu avertizorul și cere clarificări punctuale;
- documentează de ce ai deschis accesul fiecărui specialist;
- monitorizează represaliile și după închiderea cazului;
- testează anual canalul, notificările, backupul și rutele alternative.
Nu face
- nu folosi o căsuță de email comună HR/management;
- nu cere avertizorului să dovedească definitiv fapta;
- nu comunica identitatea „ca să fie mai simplă investigația”;
- nu alerta persoana vizată înainte să protejezi probele și oamenii;
- nu trata automat o raportare neconfirmată ca raportare nereală;
- nu confunda închiderea investigației cu ștergerea dosarului;
- nu lăsa concediul persoanei desemnate să blocheze termenele.
12 · Situații frecvente
Cinci situații întâlnite în practică
01Raportarea îl vizează chiar pe managerul persoanei desemnate
Nu continua pe traseul obișnuit. Activează ruta alternativă prevăzută în procedură, limitează accesul managerului și documentează motivul realocării. Dacă ruta alternativă nu există, procedura are o lacună care trebuie remediată imediat.
02Raportarea este anonimă, dar conține date verificabile
Înregistreaz-o și examineaz-o. Anonimatul nu este motiv de clasare atunci când există indicii suficiente. Folosește comunicarea securizată pentru clarificări, fără să condiționezi analiza de dezvăluirea identității.
03Mesajul pare o plângere HR, dar menționează falsificarea unor documente
Separă componentele. Partea administrativă poate merge pe fluxul HR, însă posibila încălcare a legii trebuie analizată în procedura de whistleblowing. Nu redirecționa integral mesajul către o căsuță generală.
04Aceeași persoană trimite repetat aceeași faptă
Conexează raportările cu același obiect și comunică unitar. O nouă raportare identică, fără informații suplimentare după informarea anterioară, poate fi clasată conform procedurii și cu temeiul comunicat.
05Fapta este reală, dar în mod clar minoră
Poți încheia procedura dacă nu sunt necesare alte acțiuni subsecvente, dar documentează analiza, remedierea necesară și motivul. Confidențialitatea și obligația de informare rămân.
13 · Capcane de implementare
Detalii care pot bloca procesul
Emailul dedicat este considerat „implementarea completă”
Fără roluri, termene, registru, comunicare, traseu de conflict și control al accesului, este doar o adresă.
Furnizorul extern este confundat cu transferul răspunderii
Poți externaliza primirea sau administrarea, nu și obligația companiei de a soluționa, informa și proteja.
Notificările includ subiectul raportării
Emailurile, mesajele de chat sau notificările push pot expune identitatea și conținutul. Anunță existența unei acțiuni, fără detaliile cazului.
Canalul este publicat doar în intranet
Foștii angajați, candidații și persoanele din lanțul de furnizare pot avea nevoie de acces fără cont intern.
Se numără zile lucrătoare în loc de zile calendaristice
Confirmarea de primire are termen de maximum 7 zile calendaristice. Automatizează scadența de la momentul real al primirii.
Dosarul rămâne accesibil după închiderea investigației
Închiderea trebuie să reducă accesul operațional. Păstrarea legală nu înseamnă acces permanent pentru aceeași echipă.
14 · Expunere
Amenzile relevante pentru companie
Legea stabilește amenda în funcție de faptă. Plafonul de 40.000 lei nu se aplică automat oricărei neconformități.
15 · Verificare finală
Poți răspunde „da” la toate?
WhistleUp
Cum acoperă WhistleUp procesul, de la canal la registru
WhistleUp pune într-un singur flux canalul public, lucrul pe caz, comunicarea și evidența. Compania nu mai trebuie să combine formulare, foi de calcul, emailuri și documente păstrate în locuri diferite.
Portal public dedicat companiei
Persoana raportează nominal sau anonim și primește date de acces pentru a reveni la caz, fără cont de angajat.
Link, cod QR și materiale pregătite
Compania distribuie accesul direct la canal și folosește modelele din Biblioteca juridică pentru regulament și comunicarea internă.
Formular structurat, cu documente
Raportarea poate include contextul profesional, categoriile, descrierea faptelor, persoanele vizate și fișierele relevante.
Drepturi de acces la cont și la raportare
Accesul se acordă persoanelor autorizate. Comunicarea cu avertizorul rămâne separată de notele interne ale echipei.
Semnale pentru 7 zile și 3 luni
Registrul arată termenele apropiate sau depășite, iar istoricul păstrează mesajele trimise avertizorului.
Note, documente, acțiuni și soluție
Echipa păstrează informația cazului împreună și documentează rezultatul fără să mute conținutul în căsuțe de email comune.
Tabel, carduri, filtre și statistici
Raportările pot fi căutate, ordonate și filtrate după companie sau perioadă. Vizualizarea analitică arată activitatea și respectarea termenelor.
PDF-uri cu urmă de audit
Compania poate exporta registrul și dosarele, cu referință de export și adresă de verificare pentru documentele generate.
WhistleUp oferă procesul. Compania ia deciziile.
- verifică aplicabilitatea și calificarea juridică a faptelor;
- desemnează responsabilul și stabilește ruta pentru conflicte de interese;
- desfășoară investigația, decide măsurile și urmărește remedierea;
- organizează raportarea orală sau întâlnirea solicitată;
- configurează accesul, publică informarea și aplică păstrarea și distrugerea.
Acest ghid oferă informații generale pentru organizații private și nu înlocuiește analiza juridică aplicată situației companiei. Consultă forma consolidată a Legii nr. 361/2022.