Zaštita prijavitelja nepravilnosti (zviždači): obveze poslodavaca (2026.)

Nepravilnosti — od korupcije i prijevare do kršenja propisa o sigurnosti — najčešće prvi primijete upravo zaposlenici. Pitanje je hoće li ih se usuditi prijaviti. Zakon o zaštiti prijavitelja nepravilnosti zato obvezuje poslodavce da uspostave siguran kanal prijave i zaštite one koji ga koriste. Evo što to znači u praksi.

Tko je prijavitelj nepravilnosti

Prijavitelj nepravilnosti (kolokvijalno "zviždač", engl. whistleblower) je osoba koja prijavi nepravilnost o kojoj je saznala u svom radnom okruženju. Pojam je širok: ne obuhvaća samo zaposlenike, nego i bivše zaposlenike, kandidate, vanjske suradnike, volontere te osobe povezane s poslodavcem (npr. dobavljače) — kad nepravilnost saznaju u radnom kontekstu.

Zaštita se temelji na EU Direktivi o zaštiti zviždača (2019/1937) i hrvatskom Zakonu o zaštiti prijavitelja nepravilnosti (NN 46/2022), koji uređuju tko mora uspostaviti kanale prijave, kako se postupa i kako se prijavitelji štite.

Tko mora uspostaviti unutarnji kanal

Obveza uspostave unutarnjeg kanala za prijavu nepravilnosti odnosi se na poslodavce iznad propisanog broja zaposlenih — u pravilu 50 i više — kao i na određene subjekte neovisno o veličini (npr. u financijskom sektoru ili područjima posebno izloženima riziku). Tijela javne vlasti i jedinice lokalne samouprave također imaju obveze, uz određene iznimke za najmanje jedinice.

Ako imate 50 ili više zaposlenika, gotovo sigurno morate imati uspostavljen sustav — a njegov izostanak je prekršaj.

Ključne obveze poslodavca

Unutarnji kanal za prijavu

Poslodavac mora uspostaviti kanal kojim zaposlenici mogu sigurno i povjerljivo prijaviti nepravilnost — pisano i/ili usmeno. Kanal mora omogućiti zaštitu identiteta prijavitelja i osoba spomenutih u prijavi.

Povjerljiva osoba

Poslodavac imenuje povjerljivu osobu (i njezina zamjenika) zaduženu za zaprimanje prijava, komunikaciju s prijaviteljem i vođenje postupka. Povjerljiva osoba mora imati uvjete za neovisan i nepristran rad.

Rokovi postupanja

Zakon propisuje rokove: potvrdu primitka prijave u kratkom roku (nekoliko dana) i povratnu informaciju prijavitelju o poduzetim radnjama u razumnom roku (u pravilu do tri mjeseca). Prijava se mora ozbiljno razmotriti i, prema potrebi, istražiti.

Zaštita od osvete

Srž sustava je zabrana osvete. Prijavitelj se ne smije zbog prijave izložiti štetnim posljedicama — otkazu, premještaju, smanjenju plaće, uskraćivanju napredovanja, uznemiravanju ili drugim oblicima uznemiravanja na radu. Teret dokazivanja da neka mjera nije bila osveta u pravilu je na poslodavcu.

Vođenje evidencije

Poslodavac vodi evidenciju prijava uz poštivanje povjerljivosti i pravila zaštite podataka, budući da prijave sadrže osobne podatke.

Vanjske prijave i javno objavljivanje

Uz unutarnji kanal, prijavitelj može prijaviti i vanjskom tijelu (u Hrvatskoj pučkom pravobranitelju kao nadležnom tijelu) te, pod određenim uvjetima, javno objaviti nepravilnost. Dobro postavljen unutarnji kanal u interesu je poslodavca jer potiče da se problemi prvo rješavaju interno, prije nego što dođu do regulatora ili javnosti.

Zaštita podataka u sustavu prijava

Sustav prijava obrađuje osjetljive osobne podatke — i prijavitelja i osoba na koje se prijava odnosi. Zato se mora uskladiti s GDPR-om: ograničen pristup, jasna zakonita osnova, ograničeno čuvanje i mjere sigurnosti. Često je potrebno povezati sustav s evidencijom aktivnosti obrade i procijeniti rizik.

Kako uspostaviti usklađen sustav

1. Utvrdite obvezu — broj zaposlenih i posebne kategorije subjekta.
2. Uspostavite kanal — siguran, povjerljiv, dostupan (pisani i usmeni put).
3. Imenujte povjerljivu osobu i zamjenika te im osigurajte uvjete za rad.
4. Donesite interni akt — postupak zaprimanja, rokovi, zaštita identiteta i zabrana osvete.
5. Uskladite sa zaštitom podataka — pristup, čuvanje, sigurnost.
6. Informirajte i educirajte zaposlenike — o postojanju kanala i njihovim pravima.
7. Testirajte i preispitujte sustav i vodite evidenciju.

Zašto je edukacija ključna

Sustav prijava vrijedi onoliko koliko mu zaposlenici vjeruju. Ako ne znaju da kanal postoji, kako ga koristiti i da su zaštićeni od osvete, neće ga koristiti — i nepravilnosti će izaći na druga, štetnija vrata. Edukacija gradi kulturu u kojoj je prijava poželjna, a povjerljiva osoba mora znati ispravno i nepristrano voditi postupak.

Zašto zaposlenici (ne) prijavljuju

Zakon može propisati kanal, ali ne može propisati povjerenje. Istraživanja i praksa dosljedno pokazuju da zaposlenici najčešće ne prijavljuju nepravilnosti zbog straha od osvete i uvjerenja da se ionako ništa neće promijeniti. Ako zaposlenik vjeruje da će prijava završiti otkazom, izolacijom ili "zabilježbom" protiv njega, šutjet će — a problem će nastaviti rasti dok ne eskalira u skandal, inspekciju ili sudski spor.

Zato dobar sustav prijave nije samo tehnički kanal, nego pitanje kulture. Tri su čimbenika presudna. Prvo, vidljiva zaštita od osvete — ne samo na papiru, nego u praksi koju zaposlenici vide. Drugo, povjerljivost koja se stvarno poštuje, jer jedan slučaj otkrivanja identiteta uništi povjerenje cijele organizacije. Treće, povratna informacija — kad zaposlenik vidi da je prijava shvaćena ozbiljno i da je nešto poduzeto, raste vjerojatnost da će se i drugi javiti. Tišina nakon prijave jednako je destruktivna kao i osveta.

Kako izgleda dobar postupak prijave

Kvalitetan postupak prijave je jednostavan za prijavitelja, a strukturiran za poslodavca. Prijava se može podnijeti pisano ili usmeno, kroz kanal koji štiti identitet. Povjerljiva osoba u kratkom roku potvrđuje primitak, ozbiljno razmatra navode i, prema potrebi, pokreće internu provjeru. Tijekom postupka štiti se identitet prijavitelja i osoba spomenutih u prijavi, a prikupljeni osobni podaci obrađuju se u skladu s GDPR-om — uz ograničen pristup i ograničeno čuvanje.

Prijavitelj u razumnom roku dobiva povratnu informaciju o poduzetim radnjama. Ako se nepravilnost potvrdi, poduzimaju se mjere za ispravljanje i sprječavanje ponavljanja. Cijeli se postupak dokumentira, uz poštivanje povjerljivosti, jer i to je dokaz da poslodavac sustav stvarno provodi, a ne da postoji samo formalno.

Whistleblowing kao dio šire kulture usklađenosti

Zaštita prijavitelja ne stoji sama za sebe — usko je povezana sa sukobom interesa, sprječavanjem korupcije i zaštitom dostojanstva na radu, uključujući sprječavanje mobbinga. Tvrtke koje na prijavitelje gledaju kao na "izdajnike" propuštaju najjeftiniji izvor ranog upozorenja na probleme; one koje ih vide kao saveznike u zaštiti organizacije rješavaju probleme dok su još mali i jeftini.

Upravo zato vodeće organizacije whistleblowing tretiraju kao dio upravljačke (G) komponente ESG-a i pokazatelj zrelosti korporativnog upravljanja. Sustav prijave koji ljudi koriste znak je zdrave kulture; sustav koji nitko ne koristi znak je da nešto ne valja — bilo s povjerenjem, bilo s informiranošću zaposlenika.

Zašto je edukacija ključ funkcionalnog sustava

Kanal koji zaposlenici ne poznaju jednako je dobar kao da ne postoji. Edukacija ima dvostruku ulogu: zaposlenicima objašnjava da kanal postoji, kako ga koristiti i — najvažnije — da su zaštićeni od osvete; a povjerljivoj osobi daje znanje kako nepristrano i zakonito voditi postupak, štititi povjerljivost i poštivati rokove. Bez educiranih ljudi, i najbolje osmišljen sustav ostaje mrtvo slovo na papiru. S njima, postaje stvaran alat ranog upozorenja koji štiti i zaposlenike i organizaciju.

Najčešće pogreške

• Nepostojanje kanala kod poslodavaca s 50+ zaposlenika.
• Kanal samo na papiru koji zaposlenici ne poznaju ili mu ne vjeruju.
• Otkrivanje identiteta prijavitelja ili izostanak zaštite od osvete.
• Probijanje rokova za potvrdu i povratnu informaciju.
• Zanemarivanje GDPR-a u obradi prijava.

Što se uopće smatra nepravilnošću

Čest izvor nesporazuma jest pitanje što se može prijaviti. Zaštita se ne odnosi na svako nezadovoljstvo ili međuljudski sukob na poslu, nego na prijave kršenja propisa i nepravilnosti od javnog interesa za koje je prijavitelj saznao u radnom okruženju. To obuhvaća, primjerice, kršenja propisa o javnoj nabavi, zaštiti okoliša, sigurnosti proizvoda i hrane, zaštiti potrošača, zaštiti osobnih podataka, financijskim uslugama te sprječavanju pranja novca i korupcije.

Osobne pritužbe na uvjete rada ili međuljudske odnose u pravilu se rješavaju drugim mehanizmima (npr. postupkom zaštite dostojanstva radnika kod mobbinga), iako se ta područja ponekad preklapaju. Zaposlenicima je zato korisno objasniti razliku — kako bi znali koji kanal koristiti za koju situaciju — i naglasiti da je za zaštitu dovoljno da prijavitelj postupa u dobroj vjeri, čak i ako se naknadno pokaže da nepravilnosti nije bilo. Zaštita ne pokriva svjesno lažne prijave.

Tri kanala: unutarnji, vanjski i javno objavljivanje

Sustav prijave nije samo interna stvar. Zakon predviđa tri razine. Unutarnji kanal kod poslodavca u pravilu je prvi izbor i u interesu je same tvrtke jer omogućuje da se problem riješi prije nego što izađe van. Vanjsko prijavljivanje nadležnom tijelu (u Hrvatskoj pučkom pravobranitelju) dostupno je prijavitelju izravno — on nije dužan prvo iscrpiti unutarnji kanal, iako se to potiče. Konačno, javno objavljivanje zaštićeno je pod određenim, strožim uvjetima (npr. ako prijetnja javnom interesu zahtijeva hitnost ili ako unutarnji i vanjski kanali nisu doveli do djelovanja).

Poruka za poslodavce je jasna: ako vaš unutarnji kanal ne radi ili mu zaposlenici ne vjeruju, nepravilnost neće nestati — samo će izaći kroz vanjsko tijelo ili javnost, gdje tvrtka ima puno manje kontrole nad ishodom i reputacijskom štetom. Dobro postavljen unutarnji kanal zato je prva linija zaštite same organizacije.

Često postavljana pitanja

Imamo 40 zaposlenika — moramo li imati kanal?
Opća obveza veže se uz prag (u pravilu 50 zaposlenika), no određeni subjekti imaju obvezu neovisno o veličini. I ispod praga, uspostava kanala je dobra praksa koja smanjuje rizik.

Može li prijava biti anonimna?
Sustav mora štititi identitet prijavitelja. Postupanje s anonimnim prijavama može varirati, ali zaštita povjerljivosti identiteta poznatog prijavitelja je obavezna, kao i zaštita od osvete.

Što ako se prijava pokaže neutemeljenom?
Prijavitelj koji je u dobroj vjeri prijavio nepravilnost zaštićen je čak i ako se ispostavi da nepravilnosti nije bilo. Zaštita ne pokriva svjesno lažne prijave.

Tko nadzire provedbu?
U Hrvatskoj je nadležno tijelo za vanjsko prijavljivanje pučki pravobranitelj. Nepoštivanje obveza poslodavca može rezultirati prekršajnim kaznama.

Smije li povjerljiva osoba biti netko iz uprave ili ljudskih resursa?
Može, ali treba paziti na sukob interesa i neovisnost. Povjerljiva osoba mora moći nepristrano voditi postupak i zaštititi prijavitelja, što je teško ako bi prijava mogla teretiti baš nju ili njoj nadređene. Mnogi poslodavci zato biraju osobu izvan linije koja bi mogla biti predmetom prijava ili angažiraju vanjsku povjerljivu osobu.

Što ako prijava tereti samog vlasnika ili upravu?
Upravo zbog takvih situacija postoje vanjski kanali — prijavitelj se može obratiti pučkom pravobranitelju, a pod određenim uvjetima i javno objaviti nepravilnost. Dobro postavljen unutarnji sustav predviđa i scenarij u kojem prijava ide "prema vrhu" te osigurava da prijavitelj i tada bude zaštićen.

Moramo li o sustavu prijave obavijestiti zaposlenike?
Da. Zaposlenici moraju znati da kanal postoji, kako ga koristiti i da su zaštićeni od osvete — inače sustav ne ispunjava svrhu. Informiranje i redovita edukacija sastavni su dio obveze, a ne dobrovoljni dodatak.

Koliko dugo čuvamo prijave i povezane podatke?
Prijave i prateću dokumentaciju treba čuvati onoliko koliko je potrebno za vođenje postupka i ispunjenje zakonskih obveza, uz poštivanje načela ograničenja pohrane iz GDPR-a. Pristup mora biti ograničen na ovlaštene osobe, a podaci zaštićeni odgovarajućim mjerama jer je riječ o osjetljivim informacijama i o prijavitelju i o osobama na koje se prijava odnosi.

Praktični koraci za poslodavca koji tek počinje

Poslodavcu koji još nema uspostavljen sustav, posao se može svesti na nekoliko jasnih koraka. Prvo treba utvrditi obvezu — broj zaposlenih i pripada li tvrtka kategoriji koja mora imati kanal neovisno o veličini. Zatim se uspostavlja sam kanal za prijavu, koji mora biti siguran, povjerljiv i dostupan zaposlenicima, uz mogućnost i pisane i usmene prijave.

Slijedi imenovanje povjerljive osobe i njezina zamjenika, kojima treba osigurati uvjete za neovisan i nepristran rad. Donosi se interni akt koji uređuje postupak: rokove za potvrdu primitka i povratnu informaciju, zaštitu identiteta, zabranu osvete i način vođenja evidencije. Budući da prijave sadrže osobne podatke, sustav se mora uskladiti s GDPR-om — ograničen pristup, ograničeno čuvanje i odgovarajuće mjere sigurnosti.

Najvažniji, a najčešće zanemaren korak jest informiranje i edukacija zaposlenika. Kanal koji ljudi ne poznaju ili kojem ne vjeruju ne ispunjava svrhu, koliko god bio formalno ispravan. Naposljetku, sustav treba periodično preispitivati i testirati — provjeriti funkcioniraju li kanali, poštuju li se rokovi i osjećaju li se zaposlenici sigurno koristiti ga. Tek tada sustav iz formalne obveze postaje stvaran alat zaštite organizacije.

Zaključak

Zaštita prijavitelja nepravilnosti nije samo zakonska obveza, nego i alat dobrog upravljanja: tvrtke koje rano čuju za probleme mogu ih riješiti prije nego prerastu u skandal, kaznu ili sudski spor. Sustav stoji na tri stupa — siguran kanal, zaštita od osvete i povjerenje zaposlenika koje se gradi edukacijom.

Želite li uspostaviti ili ojačati sustav prijave nepravilnosti i educirati povjerljivu osobu i zaposlenike, javite nam se — pripremit ćemo program prilagođen vašoj organizaciji.