Whistleblowing EU

Whistleblowing софтуер с отворен код (България)

Търсите ли сигурна, етична платформа за подаване на сигнали, съответстваща на Директивата на ЕС?

Опитайте GlobaLeaks -безплатния софтуер с отворен код, създаден да:

Научете повече в официалната документация.

Документация Демо

Директивата на ЕС за защита на сигнализиращите лица

Директивата на ЕС относно защитата на лицата, които подават сигнали за нарушения задължава организациите да създадат сигурни, поверителни и съответстващи на законодателството канали за подаване на сигнали.

В България Директивата е въведена със Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения от 2023 г. Задължава работодателите с поне 50 служители да създадат вътрешен канал за подаване на сигнали. Надзорен орган е Комисията за защита на личните данни (КЗЛД).

Правни задължения и съответствие

Позоваване Задължение Как GlobaLeaks го изпълнява
чл. 13, ал. 1, т. 1 Осигуряване на пълнотата, целостта и поверителността на информацията, като се предотвратява достъпът на неоторизирани лица. GlobaLeaks е специализиран вътрешен канал за подаване на сигнали със самостоятелен хостинг, изграден върху свободен софтуер с отворен код, който може да бъде проверен. Криптирането на сигналите и прикачените файлове, заедно с гранулиран достъп на принципа „необходимост да се знае“, гарантира пълнотата, целостта и поверителността на информацията и предотвратява достъпа на неоторизирани лица. Пълната анонимност е възможна благодарение на интеграцията на технологията Tor.
чл. 13, ал. 1, т. 2 Съхранение на регистрираните сигнали на траен носител за нуждите на разследването и като доказателство. GlobaLeaks съхранява всеки сигнал заедно с прикачените файлове на траен носител в защитена база данни на инфраструктурата на организацията, като запазва информацията непроменена и достъпна за нуждите на разследването и като доказателство.
чл. 15, ал. 1 Възможност за подаване на сигнал в писмена или устна форма, включително чрез лична среща по искане на сигнализиращото лице. GlobaLeaks позволява писмени сигнали с прикачени файлове и устни сигнали чрез гласово съобщение, а функцията за директна среща дава възможност за лична среща по искане на сигнализиращото лице.
чл. 16, т. 1 Потвърждаване на получаването на сигнала в срок до 7 дни от постъпването му. GlobaLeaks издава незабавно потвърждение за получаването на сигнала, много преди законовия срок от 7 дни.
чл. 16, т. 2 и чл. 31 Защита на самоличността на сигнализиращото лице и ограничаване на достъпа до нея само до оправомощени лица. Самоличността на сигнализиращото лице е защитена, а достъпът е ограничен чрез гранулирани роли на принципа „необходимост да се знае“. Тъй като законът не допуска последващи действия по анонимни сигнали, GlobaLeaks следва да се конфигурира в поверителен режим, при който самоличността е известна, но остава защитена и достъпна само за оправомощените служители.
чл. 16, т. 3 Поддържане на връзка със сигнализиращото лице и при необходимост изискване на допълнителна информация. GlobaLeaks предоставя двупосочен асинхронен канал за комуникация, който запазва защитата на самоличността и позволява поддържане на връзка със сигнализиращото лице и изискване на допълнителна информация.
чл. 16, т. 4 Предоставяне на обратна връзка на сигнализиращото лице в срок до 3 месеца от потвърждаването на получаването. Управлението на случаите включва срокове, таймери, напомняния и табло за преглед, които помагат на служителите да предоставят обратна връзка чрез сигурния канал в рамките на законовия срок от 3 месеца.
чл. 16, т. 6-7 и чл. 18 Документиране на устните сигнали и водене на регистър на постъпилите сигнали. Устните сигнали, подадени чрез гласово съобщение или директна среща, се документират и съхраняват в системата, която води подреден регистър на всички постъпили сигнали за нередности, заедно с дневник за одит, съобразен с поверителността.
чл. 32 Обработване на личните данни в съответствие с GDPR, съгласно принципа на минимизиране. Self-hosting, без компоненти или услуги на трети страни, без записи на IP адреси, минимизиране на метаданните в съответствие с GDPR.