Whistleblower Webinar – Key aspects

Authors: Adriana I. Gaspar, Roxana Ionescu, Roxana Abrasu, George Trandafir, Madalina Bucur

Romanian version is available below.

Decoding and systematizing the obligations of employers: Essential Legal and Tech requirements to ensure compliance with the Whistleblowing Legislation

1. Overview – Whistleblowers’ Directive and the draft Romanian bill transposing it

  • The draft Romanian bill transposing Directive (EU) 2019/1937 on the protection of persons reporting breaches of the Union law is expected to enter into force starting 17 December 2021.
  • The bill has introduced variations to the Directive’s provisions concerning some of the obligations, minimum requirements and/or corporate governance standards for compliance therewith.
  • Starting with the date previously mentioned, employers with 250 employees and more must immediately comply; per the bill, they are mainly required to:
    • Set up an internal reporting channel for reports on breaches of the law (including norms on professional deontology);
    • Set up a corporate policy for submission, registration, assessment, documentation and settlement of reports on breaches;
    • Appoint a person specifically holding competencies in carrying out the previously mentioned activities, including for taking follow-up measures; such designated person must act with impartiality and independently;
    • Set up an intangible infrastructure of trust in the whistleblowing system’s adequate functioning, in order to encourage reports made in genuine good faith, secure effective remedies, and which would consequently constitute a deterrent factor to any whistleblower escalating a report on breaches to the authorities or to the public/press (e.g. through policies, procedures, training sessions, corporate governance rules customized for the employer).
  • Employers with up to 49 employees are not required to set-up internal reporting channels nor comply with the other related obligations; consequently, whistleblowers are entitled to make reports on breaches concerning these employers directly to the authorities or to disclose breaches publicly/to the press.
  • Employers with 50 to 249 employees are only required to comply starting with 1 January 2023, in which concerns the internal reporting channels; before such time, the same principle applies.

2. Data Protection

  • The applicable requirements from a data protection perspective must be observed and addressed from the moment the internal process is initiated for compliance with the new legislative framework and also throughout the personal data processing;
  • Among others, it is necessary to determine:
    • the particularities of the processing activities, for example, to establish which categories of personal data will have to be collected, who will be the data subjects, for how long will the personal data have to be stored, to which categories of recipients the personal data will have to be disclosed;
    • the legal grounds of the processing and the relevant guarantees in case of processing special categories of personal data;
    • the practical ways to ensure the transparency of the processing activities and, in case of indirect collection of personal data, the possibility to rely on some of the exceptions from the obligation to inform the data subjects on the processing of their personal data.
  • It is necessary to implement technical and organizational measures to ensure an adequate level of protection of the personal data (e.g., defining roles and responsibilities within the reporting system that will be used and ways to verify / control access to personal data, periodic training of persons with roles and responsibilities in managing the reports and the related data processing);
  • It is necessary to take measures to document the processing activities and how the compliance in this filed is ensured, for example, by conducting a data protection impact assessment, by preparing internal procedures / internal working instructions and by keeping up to date the records of the processing activities.

3. Employment

  • The proposed law provides the express protection against retaliation for the employees who choose to report irregularities, including in particular in the form of: suspension or amendment of the employment agreements, dismissal, demotion, disciplinary sanctioning, harassment, discrimination, refuse to transform a fixed-term employment into an indefinite term one, etc.
  • Reporting persons shall qualify for protection under the proposed law (and Directive) provided that: (a) they reported breaches based on information received in professional context; (b) they had reasonable grounds to believe that the information on breaches reported was true at the time of reporting; (c) they were subject to retaliation.
  • The employees who will report breaches and will be subject to a disciplinary investigation following such reporting, have the right to be assisted during the disciplinary investigation by the press and a trade union representative; the person that intentionally ordered the retaliation will be held liable against damages together with the employer.
  • The competent court of law could suspend the measures taken against the reporting person as retaliation until a final ruling is issued following the annulment claims issued by the person subject to retaliation.
  • The employees who made a breach reporting remain liable for their own misconducts committed outside the reporting context.
  • Employers need to have clear policies/rules/norms related to the reporting channels and protection granted for the reporting employees.
  • Employees could be disciplinary sanctioned for false breach reporting.

4. Good practices in whistleblowing

  • Good practices in whistleblowing represent:
    • a belt for the transmission of shareholders’, board of directors’, managers’ individual commitment to morality, integrity and conformity towards employees and business partners;
    • means for channeling ethical standards into the corporate culture,

generating a work environment in which the employees and business partners feel comfortable to raise the concerns they believe require analysis and remediation in confidence that they do not expose themselves to retaliation and that the report shall be followed by an investigation and, should it be found to be grounded, by appropriate action.

  • A corporate culture encouraging reporting regarding possible misconducts is pro-actively protecting for the company, for the shareholders and for the employees, while reducing:
    • the risk of non-compliance;
    • the risk that breaches, when they do occur, be reported externally instead of being deferred to the company for remediation and
    • the possibility for a whistleblower to claim protection under the law when choosing the public disclosure route.
  • Examples of good practices include:
    • identification of obstacles affecting internal communication and deterring whistleblowing, preferable by way an external audit, with the results being referred to the auditors/board of directors;
    • organization of multiple internal reporting channels to be used cumulatively or alternatively, depending on preferences and abilities;
    • clear definition of defamation acts committed against the company, which trigger disciplinary responsibility, to avoid confusion with internal, external or public reporting of misconduct which is protected in accordance with the law;
    • impartial analysis of each report, even when the manner of reporting is found inadequate;
    • actions speak louder than words.

***

Decodificarea și sistematizarea obligațiilor angajatorilor: Cerințe juridice și tehnice esențiale pentru conformitate cu Legislația privind protecția avertizorilor de integritate

1. Despre Directivă și Proiectul de Lege

  • Proiectul de lege pentru transpunerea Directivei (UE) nr. 2019/1937 privind protecția persoanelor care raportează încălcări ale dreptului Uniunii este așteptat să intre în vigoare la data de 17 decembrie 2021.
  • Proiectul reglementează în mod diferit față de directivă unele dintre obligațiile, cerințele minime și/sau standardele de guvernanță corporativă aplicabile pentru conformare.
  • Începând cu data menționată, angajatorii cu cel puțin 250 de salariați trebuie să se conformeze, având următoarele obligații esențiale:
    • instituirea unui canal intern de raportare a încălcărilor legii (inclusiv ale normelor privind deontologia profesională);
    • instituirea unei politici privind primirea, înregistrarea, examinarea, documentarea și soluționarea raportărilor;
    • desemnarea unei persoane care să aibă în competență realizarea activităților menționate anterior, inclusiv să adoptarea unor măsuri de remediere; aceasta trebuie să acționeze imparțial și independent;
    • crearea unei infrastructuri intangibile, de încredere în capacitatea sistemului de a funcționa corespunzător, al cărei scop este să încurajeze raportările realizate cu bună-credință, să conducă la adoptarea de măsuri de remediere efective, și să constituie o barieră pentru escaladarea raportărilor către autorități și/sau către public/presă (e.g., prin politici, proceduri, training-uri, reguli de guvernanță corporativă particularizate prin raport cu angajatorul).
  • Angajatorii cu până la 49 de salariați nu au obligația de a institui canalul intern de raportare, nici celelalte obligații menționate anterior, însă acestora le sunt pe deplin aplicabile prevederile legale, iar avertizorii de integritate pot să raporteze direct către autorități și/sau să dezvăluie către public încălcări ale legii referitoare la acești angajatori.
  • Angajatorii având între 50 și 249 de salariați trebuie să se conformeze începând cu data de 1 ianuarie 2023, însă rigorile legii le sunt aplicabile în mod similar cu ceilalți angajatori.

2. Protecția datelor

  • Cerințele aplicabile din perspectiva protecției datelor cu caracter personal trebuie observate și respectate încă de la momentul inițierii procesului intern pentru conformarea cu noul cadru legislativ și, de asemenea, pe tot parcursul prelucrării datelor cu caracter personal;
  • Printre altele, este necesar să se determine:
    • particularitățile activităților de prelucrare, de exemplu, să se stabilească ce categorii de date cu caracter personal vor trebui colectate, cine vor fi persoanele vizate, pe ce durată va fi necesară stocarea datelor cu caracter personal, către ce categorii de destinatari vor trebui să fie dezvăluite datele cu caracter personal;
    • temeiurile de prelucrare și garanțiile relevante în cazul prelucrării unor categorii speciale de date cu caracter personal;
    • modalitățile practice prin care se va asigura transparența activităților de prelucrare și, în cazul colectării indirecte de date cu caracter personal, posibilitatea de a invoca unele excepții de la obligația informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal;
  • Este necesar să se implementeze măsuri tehnice și organizatorice care să asigure un nivel adecvat de protecție a datelor cu caracter personal (de ex., definirea unor roluri și responsabilități în cadrul sistemului de raportare ce va fi utilizat și a unor modalități de verificare / control al accesului la datele cu caracter personal, instruirea periodică a persoanelor cu roluri și responsabilități în gestionarea rapoartelor și prelucrarea aferentă de date);
  • Este necesar să fie luate măsuri pentru documentarea activităților de prelucrare și cum se asigură conformarea cu cerințele în acest domeniu, de exemplu, prin realizarea unei evaluări a impactului asupra protecției datelor, prin pregătirea unor proceduri interne / instrucțiuni interne de lucru și prin ținerea actualizată a evidenței activităților de prelucrare a datelor cu caracter personal.

3. Dreptul Muncii

  • În propunerea legislativă se prevede expres protecția împotriva represaliilor asupra salariaților care aleg să raporteze încălcări, în special față de măsuri ca: suspendarea sau modificarea contractului de muncă, concedierea, retrogradarea, sancționarea disciplinară, constrângerea, hărțuirea, discriminarea, refuzul de a transforma un contract de munca pe durata determinată în nedeterminată, etc.
  • Pentru a putea beneficia de protecția conferită de Directivă și de proiectul de lege, avertizorul trebuie să îndeplinească cumulativ următoarele condiții:
    • să facă o raportare bazată pe informații referitoare la încălcări ale legii în context profesional;
    • să fi avut motive întemeiate să creadă că informațiile avute erau adevărate la momentul raportării;
    • să fi suferit represalii ca urmare a raportării efectuate.
  • Salariații care au raportat încălcări și care vor fi subiectul cercetărilor disciplinare ca urmare a raportărilor făcute, au dreptul de a solicita prezența presei și a unui reprezentant al sindicatului pe durata cercetărilor. Persoana fizică care a dispus, cu rea-credință, măsura luată ca represalii răspunde solidar cu angajatorul pentru repararea prejudiciului.
  • Instanța poate dispune, până la soluționare fondului, suspendarea măsurilor luate împotriva salariaților ca represalii.
  • Este nevoie ca angajatorii să aibă politici/reguli/norme interne clare privind canalele de raportare și protecția conferită salariaților care aleg să raporteze încălcări.
  • Salariații pot fi sancționați disciplinar pentru raportare falsă.

4. Regulile de bună practică în materia avertizărilor de integritate

  • Regulile de bună practică în materia avertizărilor de integritate sunt:
    • cureaua de transmisie a angajamentului pentru moralitate, integritate și conformitate de la nivelul individual al acționarilor, consiliului de administrație, managerilor, către angajați și parteneri contractuali,
    • canale de transfer al standardelor de etică în cultura companiei,

generând un mediu de colaborare în care angajații și partenerii contractuali se simt confortabil a ridica problemele pe care le consideră a avea nevoie de analiză și remediere știind că nu vor suferi represalii și că raportarea va fi urmată de o investigație și de o acțiune corespunzătoare în măsura în care este fundamentată.

  • O cultură corporativă care încurajează raportările cu privire la acțiuni posibil incorecte este pro-activ proteguitoare pentru societate, pentru acționari și pentru angajați, reducând, în timp:
    • riscul săvârșirii unor abateri de la lege;
    • riscul ca abaterile, atunci când există, să fie dezvăluite prin canale externe în loc să fie aduse la cunoștința companiei pentru remediere precum și
    • posibilitatea ca un avertizor să beneficieze de protecția legii atunci când alege calea dezvăluirii publice.
  • Exemple de bune practici:
    • identificarea obstacolelor care afectează comunicarea internă și descurajează avertizările de integritate, de preferință prin audit extern, iar rezultatele se aduc la cunoștința auditorilor/consiliului de administrație;
    • organizarea de multiple canale de raportare internă astfel încât să poată fi utilizate cumulativ sau alternativ în funcție de preferințe și abilități;
    • definirea clară a actelor de defăimare a societății, care atrag răspundere disciplinară, astfel încât acestea să nu fie confundate cu avertizarea internă, externă sau publică pentru care există protecție în condițiile legii;
    • analiza imparțială a fiecărei raportări, chiar și atunci când modalitatea de raportare este neadecvată;
    • când faptele vorbesc, cuvintele sunt nimic.

Sitemap | Terms and Conditions | Privacy Policy | Cookies Policy | Update your cookies consent

Copyright © 2009-2024 Nestor Nestor Diculescu Kingston Petersen SCA. All Rights Reserved.