НачалоПубликацииWhistleblowing — вътрешни канали за сигнали

Вътрешни канали за сигнали (Whistleblowing) — ръководство за работодатели (2026)

Публикувано: 10 април 2026 | Последна актуализация: 10 април 2026

Законът за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН), възложи на широк кръг български работодатели задължението да изградят и поддържат вътрешни канали за подаване на сигнали. В настоящото ръководство обобщаваме обхвата на закона, сроковете, мерките за защита на сигнализиращите лица, санкциите и практическите стъпки за внедряване — актуално към 2026 г.

Правна рамка

Защитата на лицата, подаващи сигнали за нарушения, се урежда от Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН), обнародван в Държавен вестник, бр. 11 от 02.02.2023 г., в сила от 04.05.2023 г. Законът транспонира в българското законодателство Директива (ЕС) 2019/1937 на Европейския парламент и на Съвета от 23 октомври 2019 г. относно защитата на лицата, които подават сигнали за нарушения на правото на Съюза.

Компетентен национален орган по прилагането на закона и централен външен канал за сигнали е Комисията за защита на личните данни (КЗЛД). КЗЛД приема сигнали по външен ред, води статистика, издава методически указания и осъществява надзор върху задължените субекти.

Законът въвежда не само задължение за определени работодатели да осигурят вътрешен канал за сигнали, но и цялостен режим за закрила на сигнализиращите лица срещу ответни действия, с обратна тежест на доказване в тяхна полза.

Задължени работодатели (чл. 12)

Обхватът на задължените лица по ЗЗЛПСПОИН е широк и обхваща както публичния, така и частния сектор. Решаващи критерии са броят на работниците и служителите и/или принадлежността към регулиран сектор.

Категория Обхват
Публичен сектор Независимо от броя на служителите (с ограничени изключения за малки общини)
Частен сектор 50 и повече работници/служители
Финансови услуги, AML, транспорт, околна среда Независимо от броя (специфични сектори по Приложението към закона)

Срокове за внедряване

  • Работодатели с 250 и повече служители и публичният сектор — задължението възникна от 04.05.2023 г.
  • Работодатели с 50 до 249 служители — задължението възникна от 17.12.2023 г.

Работодатели с под 50 служители по принцип не са задължени да установят вътрешен канал, освен когато попадат в регулиран сектор (например платежни институции, инвестиционни посредници, лицензирани превозвачи и др.), в който случай задължението възниква независимо от броя на служителите.

Задължения за вътрешния канал (чл. 12–14)

Вътрешният канал за подаване на сигнали трябва да отговаря на редица процедурни и организационни изисквания, за да осигури защитата както на сигнализиращото лице, така и на засегнатите страни.

Определен служител по чл. 14

  • Работодателят определя един или повече служители, отговорни за разглеждане на сигналите.
  • Служителят трябва да бъде независим и без конфликт на интереси със засегнатите от сигнала лица или дейности.
  • Лицето задължително преминава обучение за изпълнение на функциите си.
  • Служителят е обвързан с конфиденциалност по отношение на идентичността на сигнализиращото лице и на съдържанието на сигнала.
  • Функцията може да се възложи и на външно лице (например адвокат или специализирана компания), при условие че се спазват изискванията на закона.

Форми за подаване на сигнал

Каналът трябва да позволява подаване на сигнали в следните форми:

  • Писмено — на хартиен носител или по електронен път (електронна поща, уеб платформа);
  • Устно — по телефон, гласова поща или други гласови съобщителни системи;
  • Чрез физическа среща — по искане на сигнализиращото лице, в разумен срок.

Работодателят осигурява техническата и организационна конфиденциалност на идентичността на сигнализиращото лице, както и на всички трети лица, посочени в сигнала. Поддържа се вътрешен регистър на сигналите с ограничен достъп, в който се отразяват постъпилите сигнали, предприетите действия и статусът на разглеждането.

Ключови срокове

  • 7 дни — срок за изпращане на потвърждение до сигнализиращото лице, че сигналът е получен;
  • 3 месеца (максимум) — срок за предоставяне на обратна връзка за предприетите или планираните последващи действия по сигнала.

Тези срокове са императивни и неспазването им може да доведе до санкция от страна на КЗЛД.

Задължителни вътрешни правила

Всеки задължен работодател приема писмени вътрешни правила за реда на подаване и разглеждане на сигнали, които се свеждат до знанието на всички работници и служители. Вътрешните правила задължително описват най-малко следното:

  • Описание на канала и процедурите за подаване на сигнал (писмено, устно, на физическа среща);
  • Определеният служител (или звено), отговорен за разглеждане на сигналите, и начините за връзка с него;
  • Сроковете за потвърждение (7 дни) и за обратна връзка (до 3 месеца);
  • Мерките за гарантиране на конфиденциалност на идентичността на сигнализиращото лице и на трети лица;
  • Реда за проверка на сигнала, изслушване на засегнатите лица и документиране на последващите действия;
  • Забраната за ответни действия и механизмите за защита на сигнализиращото лице;
  • Възможностите за подаване на сигнал до външния канал при КЗЛД или до компетентен орган.

Приемането и поддържането на тези правила е обект на проверка от страна на КЗЛД при извършване на надзорни действия. Препоръчваме работодателите да свържат вътрешните правила с останалите си вътрешни политики по GDPR и трудова дисциплина, за да се избегнат колизии при обработването на данни на сигнализиращи и засегнати лица.

Материален обхват — какви нарушения се сигнализират

Съгласно чл. 3 ЗЗЛПСПОИН, законът обхваща сигнали за нарушения на българското законодателство или на актове на Европейския съюз в редица регулирани области. Обхватът е значително по-широк от този на обикновения трудов конфликт и включва по-специално:

  • Обществени поръчки;
  • Финансови услуги, продукти и пазари, предотвратяване на изпирането на пари и финансирането на тероризма (AML/CFT);
  • Безопасност и съответствие на продуктите;
  • Безопасност на транспорта;
  • Защита на околната среда;
  • Ядрена безопасност и радиационна защита;
  • Безопасност на храните и фуражите, здравеопазване на животните;
  • Обществено здраве;
  • Защита на потребителите;
  • Защита на неприкосновеността на личния живот и на личните данни (GDPR) и сигурността на мрежите и информационните системи;
  • Финансови интереси на Европейския съюз (измами със средства от ЕС);
  • Правила на вътрешния пазар — конкуренция и държавни помощи;
  • Корпоративни данъци и нарушения, свързани с корпоративното облагане;
  • Трудово законодателство, безопасност и здраве при работа;
  • Подкупи, корупция и нарушения с правонарушителен характер.

Сигналите могат да се отнасят както до вече извършени нарушения, така и до такива, за които има основателни съмнения, че предстои да бъдат извършени, както и до опити за укриване на нарушения.

Защитени лица (чл. 5)

Кръгът на лицата, които се ползват със защита по закона, е съществено разширен в сравнение с обикновената трудова закрила. Защитата обхваща:

  • Работници и служители по трудово правоотношение;
  • Държавни служители и лица, заемащи публични длъжности;
  • Самонаети лица и лица, упражняващи свободни професии;
  • Акционери, съдружници, членове на управителни, надзорни и контролни органи на юридически лица;
  • Доброволци и стажанти, независимо от възнаграждението;
  • Изпълнители, подизпълнители и доставчици по договори;
  • Кандидати за работа, когато нарушенията са узнати по време на подбор или други преддоговорни отношения;
  • Бивши служители, когато нарушенията са узнати по време на вече прекратено правоотношение;
  • Лица, които подпомагат сигнализиращото лице при подаването на сигнала (т.нар. facilitators);
  • Свързани с сигнализиращото лице трети лица — колеги, роднини, които биха могли да претърпят ответни действия;
  • Юридически лица, в които сигнализиращото лице има участие, работи или е представител.

За да се ползва от защитата, сигнализиращото лице трябва да е имало основателна причина да счита, че подадената информация е вярна към момента на подаване и попада в материалния обхват на закона. Недобросъвестното или злонамерено подаване на сигнал не се ползва със закрила.

Мерки за защита (чл. 33) — забрана на ответни действия

Същественото ядро на закона е забраната за ответни действия (retaliation) срещу сигнализиращото лице. По смисъла на чл. 33 ЗЗЛПСПОИН, работодателят и всяко свързано лице не могат да прилагат спрямо сигнализиращия никоя от следните мерки:

  • Спиране от работа, уволнение или освобождаване от длъжност;
  • Понижаване в длъжност или отказ за повишение;
  • Прехвърляне на друга длъжност или на друго работно място, промяна на функции или работно време;
  • Намаляване на трудовото възнаграждение или промяна в условията на труд;
  • Негативна оценка на трудовото представяне или негативни препоръки;
  • Дисциплинарни мерки, включително дисциплинарно уволнение;
  • Принуда, сплашване, заплахи, тормоз и дискриминация;
  • Отказ за обучение, преквалификация или професионално развитие;
  • Поставяне в „черен списък“ (blacklisting) в сектора или бранша;
  • Предсрочно прекратяване или отказ за подновяване на срочен договор;
  • Действия, водещи до репутационни вреди, включително в социалните медии;
  • Отказ за издаване, прекратяване или отнемане на лиценз или разрешение.

Обратна тежест на доказване

В производства по искове за вреди, предявени от сигнализиращо лице, законът въвежда презумпция, че претърпяната вреда е в резултат на подаден сигнал. Доказателствената тежест се прехвърля върху ответника (работодателя), който трябва да докаже, че неблагоприятната мярка е предприета по причини, различни от сигнализирането и обективно обосновани.

Специална закрила при уволнение

Уволнение, извършено поради подаден сигнал, е нищожно по силата на закона. Сигнализиращото лице може да обжалва уволнението по специален ред, включително по реда на Кодекса на труда за незаконно уволнение, с възможност за възстановяване на работа и присъждане на обезщетение. В тези производства отново се прилага обратната тежест на доказване.

Външен канал — Комисия за защита на личните данни

Наред с вътрешния канал на работодателя, ЗЗЛПСПОИН предвижда и външен канал за подаване на сигнали. Централен външен орган е Комисията за защита на личните данни (КЗЛД), която изпълнява следните функции:

  • Приема сигнали за нарушения в обхвата на закона от всяко защитено лице;
  • Препраща сигналите до компетентните национални органи (например НАП, Агенция за държавна финансова инспекция, ДАНС, браншови регулатори) съобразно предмета на нарушението;
  • Дава обратна връзка на сигнализиращото лице в срок до 3 месеца, а при сложни случаи — до 6 месеца;
  • Поддържа национална статистика по сигналите;
  • Издава методически указания и насоки за задължените работодатели.

Сигнализиращото лице може да избира дали да подаде сигнал първо вътрешно, директно към външния канал, или и по двата реда. Законът не изисква изчерпване на вътрешния канал преди използването на външния.

Санкции

При неизпълнение на задълженията по ЗЗЛПСПОИН КЗЛД налага административни наказания. Размерите по-долу са индикативни и представени в EUR еквивалент (след въвеждането на еврото в България от 1 януари 2026 г.):

Нарушение Санкция
Неустановяване на вътрешен канал — юридически лица и еднолични търговци EUR ~2 556 – 10 225
Неустановяване на вътрешен канал — физически лица EUR ~511 – 2 556
Ответни действия срещу сигнализиращо лице По-високи глоби (индивидуално определяне)
Нарушаване на конфиденциалност на идентичността Специфични глоби в зависимост от тежестта
Повторни нарушения В двоен размер

Наред с административните санкции, работодателят може да носи и гражданска отговорност за вреди, причинени на сигнализиращото лице вследствие на забранени ответни действия. При искове за обезщетение тежестта за доказване е в ущърб на работодателя.

Статистическо отчитане

Задължените работодатели представят годишен отчет към КЗЛД, в който обобщават броя на постъпилите сигнали, предприетите действия и статуса на разглеждането, без да разкриват идентичността на сигнализиращите лица или съдържанието на сигналите в подробности, които биха застрашили конфиденциалността.

Практически стъпки за внедряване

Препоръчваме следната последователност за привеждане на дружеството в съответствие с ЗЗЛПСПОИН:

  1. Преценка на задължението — определете дали дружеството попада в обхвата на закона въз основа на броя на служителите и/или сектора на дейност.
  2. Избор на технология за канал — изберете подходящ формат (специализирана уеб платформа, защитена електронна поща, телефонна линия, физическа пощенска кутия) или комбинация от тях.
  3. Определяне на отговорен служител — назначете независимо лице или звено, без конфликт на интереси, и документирайте неговите правомощия и задължения.
  4. Изготвяне на вътрешни правила — приемете писмени правила с решение на управителния орган и ги публикувайте вътрешно.
  5. Обучение на отговорния служител — осигурете специализирано обучение по процедура, конфиденциалност и защита на данни.
  6. Информиране на работниците и служителите — съобщете за канала, процедурите и защитните мерки чрез вътрешна комуникация, интранет или табло.
  7. Публикуване на процедурата — при наличие на публичен уебсайт, публикувайте кратко описание на канала и реда за подаване на сигнал.
  8. Регистър за сигнали — внедрете защитен регистър с ограничен достъп, отговарящ на изискванията по GDPR за обработване на данни.
  9. Годишен отчет към КЗЛД — организирайте процеса за изготвяне и подаване на годишна статистика.

При дружества с комплексна структура (групи, чуждестранни собственици, холдинги) препоръчваме да се предвиди координация с евентуални групови whistleblowing политики, както и съобразяване с изискванията на българския закон, които имат предимство спрямо вътрешногруповите правила.

Често задавани въпроси

Трябва ли да имаме вътрешен канал, ако сме 30 служители?
По общото правило не. Задължението по ЗЗЛПСПОИН възниква при 50 и повече работници и служители в частния сектор. Изключение: ако дружеството оперира в регулиран сектор по Приложението към закона — например финансови услуги, AML, транспорт, околна среда — задължението възниква независимо от броя на служителите.
Кой може да бъде определен за отговорен служител?
Всеки служител на работодателя, който няма конфликт на интереси със засегнатите от сигнала лица или дейности и който е преминал обучение. На практика най-често тази функция се възлага на HR директор, compliance/юридически отдел или външен адвокат/консултант. Важно е лицето да бъде независимо и задължено към конфиденциалност.
Какъв е срокът за обратна връзка?
Работодателят е длъжен да изпрати потвърждение за получаване на сигнала в срок до 7 дни. Обратна връзка за предприетите или планираните последващи действия се предоставя в срок, не по-дълъг от 3 месеца от подаването на сигнала. Тези срокове са императивни.
Защитена ли е идентичността на сигнализиращото лице?
Да. Законът задължава работодателя да гарантира конфиденциалност на идентичността на сигнализиращото лице, както и на всички трети лица, посочени в сигнала. Разкриване е допустимо само при изрично съгласие на лицето или когато това е необходимо и пропорционално задължение по закон в рамките на съдебно или административно производство.
Какво се случва, ако уволним служител, подал сигнал?
Уволнение, извършено поради подаден сигнал, е нищожно по силата на ЗЗЛПСПОИН. Сигнализиращото лице може да обжалва уволнението с искане за възстановяване на работа и обезщетение за оставането без работа, като в производството се прилага обратна тежест на доказване — работодателят трябва да докаже, че уволнението е по други обективни причини.
Какви са санкциите за липса на вътрешен канал?
КЗЛД може да наложи административна глоба до приблизително EUR 10 225 за юридически лица и еднолични търговци и до EUR 2 556 за физически лица. При повторно нарушение глобите са в двоен размер. Наред с това работодателят носи гражданска отговорност за вреди, причинени на сигнализиращо лице.
Кой може да подава сигнал?
Защитеният кръг лица е широк: работници и служители, държавни служители, самонаети лица, кандидати за работа, бивши служители, доброволци, стажанти, акционери и членове на управителни органи, изпълнители, подизпълнители и доставчици, както и лица, подпомагащи сигнализиращото лице, и свързани с него трети лица (колеги, роднини).

Нуждаете се от внедряване на whistleblowing система?

Екипът на Innovires може да Ви помогне с пълен анализ на задължението, изготвяне на вътрешни правила, обучение на отговорния служител, внедряване на защитен регистър и представяне пред КЗЛД. Свържете се с нас за първоначална консултация.