ПРЕДПОСЫЛКИ, НОРМАТИВНЫЕ ССЫЛКИ И ДОКУМЕНТЫ
Законодательный декрет № 24 от 10 марта 2023 года, принятый во исполнение Директивы ЕС 2019/1937 (далее — «Декрет»), существенно расширил сферу применения дисциплины, касающейся сообщений о противоправных деяниях в государственном и частном секторах; в частности, он описывает и регулирует обязательства и меры защиты, которые компании обязаны внедрить и гарантировать для управления такими сообщениями.
Учитывая, что указанные действия неизбежно предполагают сбор и обработку персональных данных, в полном объеме и в значимой степени применяется соответствующее регулирование — Регламент ЕС 2016/679.
В частности, применимы следующие национальные и международные нормы:
• Законодательный декрет № 24 от 10 марта 2023 года
• Директива (ЕС) 2019/1937
• Регламент ЕС 2016/679 (GDPR)
• Законодательный декрет от 30 июня 2003 г., № 196
• Законодательный декрет от 10 августа 2018 г., № 101
ЦЕЛИ и СФЕРА ПРИМЕНЕНИЯ
Настоящая процедура, относящаяся к системе сообщений (далее — «Процедура»), предназначена для описания и регулирования системы сообщений, внедренной Владельцем, предоставляя точные и надлежащие указания по подаче сообщения и определяя затем процесс его обработки и завершения.
В частности, настоящий документ:
• определяет сферу применения системы сообщений;
• определяет субъекты, которые могут подавать сообщения;
• очерчивает круг действий, событий или поступков, которые могут быть предметом сообщения;
• определяет каналы, через которые можно подавать сообщения, описывая доступные внутренние и внешние каналы;
• определяет процесс управления сообщениями на различных стадиях, устанавливая роли, ответственность и операционные способы;
• гарантирует конфиденциальность персональных данных заявителя и лица, о котором сообщается (при сохранении правил об расследованиях или производствах, инициируемых судебными органами в связи с фактами сообщения, а также дисциплинарных процедур в случае сообщений, сделанных недобросовестно).
ОПРЕДЕЛЕНИЯ
• Whistleblowing: сообщение о поведении, действиях или бездействии, нарушающих положения Модели организации, управления и контроля в соответствии с D.Lgs. 231/2001 либо национальные нормы или нормы Европейского союза, которые наносят ущерб общественным интересам или целостности публичной администрации либо частной организации; такое сообщение подается лицом, которое узнало о нарушении в рамках своего публичного или частного трудового контекста;
• Платформа: информационный инструмент для управления сообщениями, в частности SaaS-платформа, предоставляемая Isweb;
• Сообщение: любая информация о предполагаемых замечаниях, нерегулярностях, нарушениях, порицаемом поведении и фактах либо любая практика, не соответствующая национальным и общеевропейским нормам, корпоративным процедурам и договорам:
• Анонимное сообщение: когда личные данные заявителя не указаны и не могут быть определены иным способом.
• Открытое сообщение: когда заявитель открыто поднимает проблему без ограничений, связанных с конфиденциальностью.
• Конфиденциальное сообщение: когда личность заявителя не раскрывается, однако при этом может быть установлена в определенных конкретных случаях, указанных ниже.
• Недобросовестное сообщение: сообщение, сделанное исключительно с целью причинить вред или иным образом нанести ущерб лицу, о котором сообщается, например сообщения, сделанные умышленно или по грубой неосторожности и оказавшиеся необоснованными.
• Заявители: субъекты, взаимодействующие с Компанией с целью подачи сообщения.s
• Лица, о которых сообщается: субъекты, указанные в сообщении как лица, совершившие предполагаемые замечания, нерегулярности, нарушения, порицаемое поведение и факты либо любую практику, не соответствующую национальным и общеевропейским нормам, корпоративным процедурам и договорам.
• Третьи лица: договорные контрагенты — как физические, так и юридические лица (например, поставщики, консультанты и т. п.), с которыми компания вступает в любую форму договорно регулируемого сотрудничества и которые предназначены для взаимодействия с предприятием в рамках рискованных видов деятельности.
ОТВЕТСТВЕННОСТЬ И РАСПРОСТРАНЕНИЕ
Настоящая Процедура, являющаяся неотъемлемой частью организационной системы компании, утверждена Советом директоров (CdA).
Менеджер по сообщениям обязан, при необходимости с привлечением других корпоративных функций, признанных необходимыми, обновлять и интегрировать Процедуру.
ЧТО МОЖНО СООБЩАТЬ? (Объективная сфера)
Могут подаваться сообщения о нарушениях, состоящих в поведении, действиях или бездействии, которые наносят ущерб целостности Владельца и о которых заявитель узнал в рамках своего трудового контекста.
Сообщение может касаться нарушений:
– совершенных или, по обоснованным и конкретным подозрениям, могущих быть совершенными;
– еще не совершенных, но которые, по обоснованным и конкретным подозрениям заявителя, могут быть совершены;
– действий, направленных на сокрытие вышеуказанных нарушений.
В частности, релевантны совершение или попытка совершения:
• противоправных деяний, значимых по D.Lgs. 8 июня 231/2001, и нарушений Модели 231, если она принята;
• деяний, подпадающих под сферу применения европейских или национальных норм, указанных в Приложении к Декрету, либо внутренних норм по реализации актов ЕС, перечисленных в приложении к Директиве (ЕС) 2019/1937, по следующим секторам: государственные закупки; финансовые услуги, продукты и рынки и предотвращение отмывания денег и финансирования терроризма; безопасность и соответствие продукции; безопасность транспорта; охрана окружающей среды; радиационная защита и ядерная безопасность; безопасность пищевых продуктов и кормов и здоровье и благополучие животных; общественное здравоохранение; защита потребителей; защита частной жизни и персональных данных и безопасность сетей и информационных систем;
• действий или бездействия, наносящих ущерб финансовым интересам Европейского союза (например, мошенничество, коррупция и любая иная незаконная деятельность, связанная с расходами ЕС);
• действий или бездействия, касающихся внутреннего рынка.
Исключаются:
– оспаривания, претензии или запросы, связанные с личным интересом заявителя и касающиеся исключительно его индивидуальных трудовых отношений, включая отношения с вышестоящими по иерархии лицами;
– сообщения по вопросам обороны и национальной безопасности;
– сообщения о нарушениях, уже регулируемых директивами и регламентами ЕС и национальными нормами их имплементации, указанными в части II Приложения к Декрету, которые уже предусматривают специальные процедуры сообщения в отдельных секторах (финансовые услуги; предотвращение отмывания денег и финансирования терроризма; безопасность транспорта; охрана окружающей среды).
Для облегчения идентификации фактов, которые могут быть предметом Сообщения, ниже приводится (в качестве примера, без исчерпывающего характера) перечень значимых действий/поведения:
• обещание или передача денежной суммы либо предоставление иной выгоды (подарки, гостеприимство, обеды, ужины и т. п., не допускаемые корпоративными процедурами) должностному лицу или лицу, осуществляющему публичные функции, в качестве вознаграждения за исполнение им своих функций или за совершение действия, противоречащего его служебным обязанностям (например, содействие оформлению практики);
• подлог документов путем изменения или фальсификации корпоративных либо официальных документов с целью получения незаконной выгоды или введения в заблуждение компетентных органов;
• обещание или передача денежной суммы либо предоставление иных выгод (подарки значительной стоимости, гостеприимство, обеды, ужины и т. п., не допускаемые корпоративными процедурами) для подкупа поставщиков или клиентов;
• соглашения с поставщиками или консультантами, направленные на признание выполненными несуществующих услуг.
КТО МОЖЕТ СООБЩАТЬ? (Субъективная сфера)
Лицо, которое в рамках отношений с компанией имеет разумные подозрения, что имело место или может иметь место одно из указанных нарушений, вправе подать сообщение.
С момента отправки сообщения такое лицо становится «заявителем» и к нему применяются меры защиты, предусмотренные соответствующими нормами.
КАК ПОДАТЬ СООБЩЕНИЕ
Как требует нормативная база и с целью облегчения подачи сообщений, Владелец активировал внутренние каналы.
Также указываются внешние каналы, к которым заявитель может обратиться при соблюдении условий, перечисленных ниже.
• АКТИВНЫЕ КАНАЛЫ
• ВНУТРЕННИЕ
Для сообщений, управляемых внутри организации компании, заявитель может использовать описанные ниже каналы и решить, действовать ли анонимно.
Напоминается, что в случае анонимного сообщения необходимо использовать исключительно специальную платформу, доступную с корпоративного сайта (выбрав опцию «анонимное сообщение»).
В целом сообщения могут направляться через:
• письменную форму
• устную форму..
В обоих случаях используется принятая платформа, доступная на институциональных сайтах каждой компании.
Процедура корректного внесения необходимых сведений является пошаговой и сопровождаемой.
Напоминается, что онлайн-портал предоставляется специализированным поставщиком услуг, который может гарантировать:
• соблюдение принципов защиты персональных данных и максимальную конфиденциальность,
• доступ только специально уполномоченных лиц,
• доступность 24 часа в сутки, 7 дней в неделю.
Доступ к Платформе осуществляется по следующему адресу:
https://riellointernational.wbisweb.it.
При отправке сообщения Платформа отображает заявителю протокольный код, позволяющий впоследствии вновь открыть поданное сообщение, проверить его статус, получить информацию о результате и связаться с Менеджером по сообщениям.
a.2) Сообщение может быть подано через встроенную в платформу систему голосовых сообщений, которая в числе мер защиты конфиденциальности предусматривает искажение голоса.
Сообщение документируется посредством записи.
a.3) Заявитель имеет возможность запросить прямую встречу с менеджером. В этом случае сообщение также документируется менеджером путем записи на устройстве, пригодном для хранения и прослушивания, либо путем составления протокола. Сформированный документ будет в цифровом виде внесен в платформу.
В любом случае важно, чтобы сообщения были конкретными и основанными на точных и согласующихся между собой элементах, касались проверяемых фактов, известных непосредственно заявителю, и содержали следующие основные сведения:
– четкое описание нарушения, являющегося предметом сообщения, с указанием обстоятельств времени и места совершения описанных действий/фактов;
– любые полезные элементы (например, корпоративная функция/роль), позволяющие легко идентифицировать предполагаемого(ых) автора(ов) нарушения или иных вовлеченных лиц.
Кроме того, заявитель может предоставить иные сведения, такие как:
– свои персональные данные;
– возможную документацию, подтверждающую обоснованность нарушения;
– любую другую информацию, способствующую сбору доказательств по сообщению.
• ВНЕШНИЕ КАНАЛЫ
Заявитель может подать так называемое внешнее сообщение в случаях, когда: nei casi in cui:
– внутренний канал сообщения не был создан либо, хотя и предусмотрен, не является активным;
– принятый внутренний канал не соответствует требованиям статьи 4 Декрета;
– сообщение, поданное по внутреннему каналу, не получило развития;
– заявитель имеет обоснованные причины — на основании конкретных, точных и согласующихся обстоятельств — полагать, что при использовании внутренних каналов сообщение не будет эффективно рассмотрено либо что сообщение может повлечь риск репрессий;
– заявитель имеет обоснованные причины — на основании конкретных, точных и согласующихся обстоятельств — полагать, что нарушение может представлять непосредственную или очевидную угрозу общественным интересам.
Такое сообщение может быть подано через один из каналов, предоставленных ANAC, которые гарантируют, в том числе посредством шифрования, конфиденциальность личности заявителя, лица, о котором сообщается, а также содержания сообщения и соответствующей документации.
Ссылка на процедуры ANAC:
КТО БУДЕТ УПРАВЛЯТЬ СООБЩЕНИЕМ
Субъектом, ответственным за прием и анализ сообщений, является GRIG S.p.A. в лице Руководителя по персоналу как Менеджера по сообщениям и Административного руководителя как хранителя идентичностей.
Указанные лица прошли надлежащую и специальную профессиональную подготовку, в том числе по защите и безопасности персональных данных.
Задачи Менеджера по сообщениям включают:
• добросовестное подтверждение получения и надлежащее рассмотрение Сообщения;
• принятие мер для проверки полноты и обоснованности информации;
• поддержание коммуникации с заявителем, при необходимости запрашивая дополнения или уточнения и информируя его о ходе и завершении рассмотрения;
• взаимодействие и/или сотрудничество с другими корпоративными функциями и лицами, а также с уполномоченными внешними консультантами для оптимального проведения расследований и проверок.
ПОРЯДОК РАССМОТРЕНИЯ СООБЩЕНИЯ
Процесс управления сообщениями включает следующие этапы:
• прием и регистрация;
• предварительная оценка и классификация;
• проверки и расследования;
• предоставление ответа по сообщению;
• отчетность и хранение.
Прием и регистрация сообщения
После получения Сообщения по внутренним каналам менеджер направит заявителю подтверждение получения в течение 7 (семи) дней с даты поступления сообщения.
При получении сообщения, если оно не передано через платформу, менеджер внесет его в платформу и уничтожит бумажный документ.
Классификация сообщения
По итогам анализа и предварительной оценки Менеджер классифицирует Сообщение как:
• нерелевантное: не относящееся к нарушениям, допускаемым настоящей процедурой, либо поданное лицами, не входящими в круг заявителей.
• не подлежащее рассмотрению: по завершении этапа проверки и/или после возможного запроса дополнительных сведений не удалось собрать достаточную информацию для проведения дальнейших расследований;
• релевантное и подлежащее рассмотрению: достаточно конкретное и соответствующее периметру настоящей процедуры.
В последнем случае менеджер запускает этап проверок и расследований.
Внутренние проверки и расследования
Если сообщение классифицировано как «релевантное и подлежащее рассмотрению», менеджер проводит внутренние проверки и расследования.
В рамках расследования он может привлекать поддержку квалифицированных корпоративных подразделений/функций и/или внешних консультантов.
Ответ по Сообщению (результаты)
В течение 3 (трех) месяцев с даты подтверждения получения либо, при его отсутствии, в течение 3 (трех) месяцев после истечения 7-дневного срока с момента подачи сообщения, менеджер предоставляет заявителю ответ через платформу или иной надлежащий канал.
Ответ содержит результаты расследования и мотивированные решения, которые могут включать:
• АРХИВИРОВАНИЕ
Это решение принимается, если сообщение:
• нерелевантно; относится к фактам настолько общего характера, что проверка невозможна;
• подано недобросовестно либо расследование подтвердило его необоснованность.
• НАПРАВЛЕНИЕ НА РАССМОТРЕНИЕ В КОМПЕТЕНТНЫЕ КОРПОРАТИВНЫЕ ОРГАНЫ ДЛЯ ДИСЦИПЛИНАРНО-САНКЦИОННЫХ ЦЕЛЕЙ
Если расследование выявляет дисциплинарную ответственность по трудовому праву в отношении лица, о котором сообщается, компетентный внутренний орган применит предусмотренные законом и соразмерные санкции.
• НАПРАВЛЕНИЕ В КОМПЕТЕНТНЫЕ ВНЕШНИЕ ГОСУДАРСТВЕННЫЕ ОРГАНЫ
Если сообщение касается фактов, имеющих уголовно-правовую значимость, компетентный орган компании обращается в государственные органы.
СХЕМА РЕЗЮМЕ
Управление сообщением включает следующие действия:
ДЕЯТЕЛЬНОСТЬ | УЧАСТВУЮЩИЕ СТОРОНЫ |
ПРИЕМ, РЕГИСТРАЦИЯ, ПЕРВИЧНЫЙ ОТВЕТ | Платформа, Менеджер |
КЛАССИФИКАЦИЯ | Менеджер |
ПРОВЕРКИ И РАССЛЕДОВАНИЯ | Менеджер, затронутые корпоративные функции, внешние консультанты |
ОТВЕТ (результат) | Менеджер |
ОТЧЕТНОСТЬ | Платформа, Менеджер |
АРХИВИРОВАНИЕ | Платформа |
ОТЧЕТНОСТЬ И ХРАНЕНИЕ
Результаты оценки всех полученных сообщений собираются в специальной отчетности, включающей результаты проведенных расследований и оценки сообщений, признанных обоснованными.
Сообщения и связанная с ними документация хранятся в течение времени, необходимого для обработки каждого сообщения, и в любом случае не более 5 (пяти) лет с даты уведомления об окончательном результате процедуры сообщения либо с даты завершения судебного или дисциплинарного разбирательства, возбужденного в отношении лица, о котором сообщается, или заявителя, при соблюдении обязательств конфиденциальности и принципа ограничения хранения.
Электронные документы хранятся внутри платформы либо в отдельном каталоге whistleblowing, доступном исключительно менеджерам по сообщениям.
Бумажные документы, сформированные при необходимости для оптимального управления сообщением, хранятся в офисе Менеджера в шкафах под ключ, доступ к которым имеют только формально уполномоченные лица.
МЕРЫ ЗАЩИТЫ ДЛЯ УЧАСТВУЮЩИХ ЛИЦ
• Для заявителя
Компания, соблюдая применимую нормативную базу и стремясь способствовать культуре законности и поощрять сообщения о нарушениях, обеспечивает конфиденциальность персональных данных заявителя и сведений, содержащихся в сообщении и полученных всеми участниками процедуры.
Обязанность менеджера — обеспечивать конфиденциальность заявителя с момента принятия сообщения в работу, даже если впоследствии оно окажется ошибочным или необоснованным.
Нарушение этой обязанности является нарушением настоящей процедуры и влечет ответственность менеджера.
В частности, компания гарантирует, что личность заявителя не может быть раскрыта без его явного согласия, и все лица, участвующие в управлении сообщением, обязаны сохранять конфиденциальность, за исключением случаев, когда:
– сообщение сделано с целью причинить вред или иным образом нанести ущерб лицу, о котором сообщается (сообщение «недобросовестное»), и возникает ответственность за заведомо ложный донос или клевету по закону;
– конфиденциальность не может быть противопоставлена по закону (например, в рамках уголовных расследований и т. п.).
В рамках дисциплинарного производства личность заявителя не раскрывается, если дисциплинарное обвинение основано на иных и дополнительных проверках, отличных от сообщения, даже если они являются его следствием.
Если для рассмотрения обвинения и защиты обвиняемого необходимо знать личность заявителя, сообщение может использоваться в дисциплинарном производстве только при наличии согласия заявителя на раскрытие его личности.s
В таком случае заявителю направляется письменное уведомление с указанием причин раскрытия конфиденциальных данных; его письменно просят выразить согласие на раскрытие личности, предупреждая, что при отказе сообщение не может быть использовано в дисциплинарном производстве. Заявителю также направляется письменное уведомление о причинах раскрытия, когда раскрытие личности заявителя и информации, позволяющей установить ее прямо или косвенно, является необходимым для защиты лица, о котором сообщается.
В отношении заявителя не допускаются и не терпятся какие-либо репрессии или дискриминационные меры — прямые или косвенные — в условиях труда, прямо или косвенно связанные с сообщением.
Также сообщается, что заявитель не подлежит наказанию, если он раскрывает или распространяет информацию о нарушениях, охраняемую обязательством тайны (отличной от тайны о классифицированной информации, врачебной и адвокатской тайны и совещаний судебных органов), либо касающуюся охраны авторского права или персональных данных, либо затрагивающую репутацию вовлеченного или обвиняемого лица, когда на момент раскрытия существовали обоснованные причины полагать, что раскрытие было необходимо для выявления нарушения. В таких случаях исключается любая дальнейшая гражданская или административная ответственность. В любом случае уголовная, гражданская или административная ответственность не исключается за действия, не связанные с сообщением, обращением в судебные или контрольные органы либо публичным раскрытием, или не являющиеся строго необходимыми для выявления нарушения.
• Для лица, о котором сообщается
В соответствии с действующими нормами компания применяет те же меры защиты персональных данных заявителя и в отношении предполагаемого нарушителя, не затрагивая иные виды ответственности и законные обязанности по раскрытию личности лица, о котором сообщается (например, по запросу судебных органов).
Личность лица, о котором сообщается, и всех упомянутых или вовлеченных лиц защищается до завершения процедур, инициированных по сообщению, с теми же гарантиями, что предусмотрены для заявителя.
КОНФИДЕНЦИАЛЬНОСТЬ И ЗАЩИТА ДАННЫХ
Компания гарантирует конфиденциальность личности Заявителя, лица, о котором сообщается, содержания Сообщения и переданной документации. Сообщения не могут использоваться сверх необходимого для надлежащего рассмотрения. Личность Заявителя и любая информация, позволяющая установить ее прямо или косвенно, не может быть раскрыта без явного согласия Заявителя лицам, отличным от компетентных в получении и рассмотрении сообщений, определенных настоящей Процедурой.
Кроме того, личность Заявителя:
• в рамках уголовного процесса защищена тайной в пределах и порядке, предусмотренных статьей 329 УПК;
в рамках разбирательства перед Счетной палатой не может быть раскрыта до завершения стадии расследования;
• в рамках дисциплинарного производства не может быть раскрыта, если дисциплинарное обвинение основано на иных и дополнительных проверках, отличных от Сообщения, даже если они являются его следствием.
В таком случае заявителю направляется письменное уведомление с указанием причин раскрытия конфиденциальных данных; его письменно просят выразить согласие на раскрытие личности, предупреждая, что при отказе сообщение не может быть использовано в дисциплинарном производстве. Заявителю также направляется письменное уведомление о причинах раскрытия, когда раскрытие личности заявителя и информации, позволяющей установить ее прямо или косвенно, является необходимым для защиты лица, о котором сообщается.
Для целей privacy следует обращаться к документам, принятым каждой отдельной компанией.
ДИСЦИПЛИНАРНЫЕ САНКЦИИ
Владелец подтверждает, что нарушение и/или злоупотребление настоящей процедурой является дисциплинарным проступком и, при соблюдении применимого трудового законодательства, включая соответствующий CCNL, может повлечь наложение соразмерных дисциплинарных санкций.
В целом Владелец может применять дисциплинарные санкции ко всем, кто препятствует или пытается препятствовать сообщениям, действует с намерением препятствовать или задерживать их рассмотрение, нарушает обязательства конфиденциальности, осуществляет репрессии либо дискриминационные действия в отношении заявителя и/или лица, о котором сообщается.
В частности, санкции могут применяться:
• к заявителю — в случае недобросовестных, мошеннических, клеветнических или диффамационных сообщений (за которые предусмотрена также уголовная и гражданская ответственность), явно оппортунистических сообщений и/или сообщений, сделанных исключительно с целью причинить вред лицу, о котором сообщается, или иным субъектам, а также при любой иной форме неправильного использования настоящей процедуры;
• к менеджеру по сообщениям — при нарушении обязательства конфиденциальности, задержке или бездействии в проведении проверок и расследований, задержке или бездействии в завершении рассмотрения сообщения;
• к лицу, о котором сообщается — если нарушение, ставшее известным через сообщение, подтверждено, в случаях, когда это лицо совершает репрессии или дискриминационные действия в отношении заявителя.