Reporting of breaches (whistleblowing) at banks and other entities supervised by Banka Slovenije
Banka Slovenije is, among other things, competent and responsible for conducting supervision of compliance with prudential requirements and requirements in connection with corporate governance, prevention of money laundering and terrorist financing, payment services, consumer protection, and consumer lending by banks and savings banks. In addition to information in the aforementioned areas, information in connection with any fraud, abuse, ethically questionable conduct or acts of corruption committed by entities supervised by Banka Slovenije is also of relevance.
In its treatment of breaches reported by whistleblowers, Banka Slovenije distinguishes between:
the reporting of breaches at banks and other entities supervised by Banka Slovenije pursuant to Article 269 of the Banking Act (Official Gazette of the Republic of Slovenia, No. 92/21 in 123/21 – ZBNIP; hereinafter: the ZBan-3) and other regulations under its remit; and
the external reporting of breaches pursuant to the Protection of Whistleblowers Act (Official Gazette of the Republic of Slovenia, No. 16/23; hereinafter: the ZZPri).
For whom is the reporting of breaches at banks and other supervised entities designed?
The whistleblowing process for reporting breaches at banks and other entities supervised by Banka Slovenije is primarily designed for employees of banks and other entities supervised by Banka Slovenije, but breaches may also be reported by other persons who have at their disposal information about possible breaches in relation to the provision of financial services or compliance with prudential requirements.
Each individual can contribute to more effective supervision of banks and other supervisory entities by reporting breaches and providing relevant information to Banka Slovenije. For Banka Slovenije, a report of a breach is an important additional source of information for the exercise of its supervisory powers.
If you, as a user of financial services, believe that a bank or other supervisory entity has breached the applicable regulations when dealing with you and you would like a substantive response regarding your specific case, please select the Complaints by users of financial services (bsi.si).
Reporting of breaches under the Protection of Whistleblowers Act (external whistleblowing)
External whistleblowing is designed for the reporting of breaches that the whistleblower learned of in their working environment at an entity supervised by Banka Slovenije in accordance with its powers and tasks.
In accordance with its powers, Banka Slovenije addresses external whistleblowing under the ZZPri only if the whistleblower explicitly states in their report that there is a risk of retaliatory measures and that they need protection as a whistleblower under the aforementioned law. The protection of whistleblowers applies to reports of breaches that are still in progress, or that occurred or came to an end in the last two years.
For whom is external whistleblowing designed?
In accordance with the ZZPri, external whistleblowing is intended solely for the reporting of breaches of regulations that the whistleblowers learned of in their working environment, and thus may only be utilised by a whistleblower who is or was employed at or in a similar relationship with a supervised entity that is supervised by Banka Slovenije in accordance with its powers, and who previously submitted an internal whistleblowing report at the supervised entity, or if there is no internal whistleblowing platform put in place as envisaged by the ZZPri, if the internal whistleblowing could not be effectively addressed, or if the whistleblower believes that in the event of internal whistleblowing there is a risk of retaliatory measures.
How do I report a breach?
Whistleblowing reports can be submitted by post, by email, by using the online form or by telephone. Reports can also be submitted anonymously in all instances.
By using the online form
When submitting a report via the online form, you will receive a unique password, which you need to keep safe. You can then update the report later by using the password.
By emailing [email protected]
Please be aware that by its very nature, email does not specially protect the information from being viewed by third parties.
By post addressed to
Banka Slovenije
Banking supervision - Report of external breach – do not open
Slovenska cesta 35
1505 Ljubljana
(IN PERSON)
By telephone (in the case of submitting whistleblowing report pursuant to ZZPri)
by prior notification by e-mail to: [email protected] (the conversation may be recorded)
When submitting a whistleblowing report by post, save the consignment sending date, the content of the whistleblowing report, and the business name of the bank or supervised entity to which the report relates. This information will be useful for any updates of the whistleblowing report, or for feedback.
Contact information for the whistleblowing officer (the official responsible for whistleblowing under the ZZPri)
Mitja Bukovec
[email protected]
Določila o zaščiti identitete prijavitelja in druge pomembne informacije o sistemu obveščanja o kršitvah
Če iz katerega koli razloga v prijavi kršitev ne želite razkriti svojih osebnih in/ali kontaktnih podatkov, nam lahko posredujete prijavo tudi anonimno. Banka Slovenije bo anonimno prijavo obravnavala v okviru pooblastil nadzora in ukrepala v skladu s predpisi.
Če želite posredovati anonimno prijavo kršitev zaposlenega, priporočamo, da vanjo ne vključujete kontaktnih podatkov (ime, naslov, telefonska številka, elektronski naslov ipd.) ali navajate drugih okoliščin, iz katerih bi bilo mogoče prepoznati vašo identiteto.
Če želite kljub anonimni prijavi prejeti povratno informacijo o prejemu in obravnavi svoje prijave, lahko navedete zgolj informacijo, kam naj se vam povratna informacija pošlje.
Prav tako svetujemo, da za posredovanje prijave ne uporabljate službenih računalnikov oziroma drugih službenih sredstev.
Kadar prijavo posredujete po elektronski pošti ali s spletnim obrazcem, prosimo, upoštevajte, da se na strežniku Banke Slovenije zapiše podatek o IP-naslovu računalnika, s katerega je posredovano sporočilo oziroma oddan obrazec, in sicer v okviru aplikacij za izvajanje splošnih varnostnih politik informacijske varnosti Banke Slovenije (požarni zid, usmerjevalnik, reverse proxy). V teh primerih je izločitev podatka o IP-naslovu konkretnega računalnika, ki je bil uporabljen za posredovanje posamezne prijave, zaradi velike količine podatkov in dodatnih varnostnih ukrepov v Banki Slovenije (omejen dostop do baze podatkov, sledenje dostopa do podatkov) praktično onemogočena. Tudi sicer je treba upoštevati, da podatek o IP-naslovu računalnika, ki je bil uporabljen pri posredovanju sporočila ali obrazca, ne omogoča identifikacije dejanskega pošiljatelja (kadar lahko računalnik uporabljajo različni uporabniki) oziroma je identiteta posameznega pošiljatelja dodatno zavarovana z zaupnostjo podatkov, ki jo zagotavljajo ponudniki telekomunikacijskih storitev in upravljavci lokalnega omrežja, na katero je priključen računalnik.
V prijavi kršitve s svojimi besedami opišite ravnanja, ki so po vašem mnenju sporna in so v nasprotju z veljavnimi predpisi, ki zavezujejo banko ali drug subjekt nadzora Banke Slovenije.
V prijavi podajte natančen opis nedovoljenih ravnanj oziroma opustitev, ki predstavljajo kršitev banke ali drugega subjekta nadzora, ter če je mogoče, navedite relevantne okoliščine, priče, dokumente in druga dokazila, iz katerih izhaja kršitev.
V postopku obravnave oziroma preiskave morebitnih kršitev je pogosto treba pridobiti dodatne informacije od prijavitelja, zato nam v prijavi posredujte tudi svoje kontaktne podatke, razen če želite posredovati prijavo anonimno. Banka Slovenije bo vaše kontaktne podatke (ime, naslov, telefonsko številko …) varovala kot strogo zaupne.
Svojo prijavo lahko kadar koli dopolnite. To velja tudi, če ste posredovali anonimno prijavo.
Če je bila prijava oddana s spletnim obrazcem Banke Slovenije
Ob prvi prijavi kršitve s spletnim obrazcem bo prijavitelj samodejno prejel enkratno geslo, ki mu omogoča poznejše dopolnjevanje prijave in posredovanje dodatnih informacij ali dodatne dokumentacije. Prijavitelj lahko prijavo, ki jo je posredoval s spletnim obrazcem, dopolni po spletu z uporabo obrazca za prijavo kršitev tako, da izbere možnost »Želim dopolniti obstoječo prijavo kršitve«. Za dopolnitev obstoječe prijave kršitve bo prijavitelj vnesel enkratno geslo, ki ga je pridobil ob prvi prijavi.
Prijavitelj lahko za dopolnitev prijave, ki jo je poslal po navadni ali elektronski pošti, pozneje posreduje dodatne informacije ali dokumentacijo na enak način in navede, da se informacije nanašajo na že poslano prijavo kršitve.
Če je bila prijava poslana po navadni ali elektronski pošti
Prijavitelj lahko svojo prijavo dopolni tako, da v novem sporočilu navede, kdaj je bila prijava poslana, na katero banko oz. drugi subjekt nadzora se nanaša in katero kršitev je prijavil (in druge podatke, iz katerih bo mogoče identificirati prijavo kršitve).
Banka Slovenije prijavitelju v sedmih dneh od prejema prijave potrdi njen sprejem, razen če prijavitelj izrecno zahteva drugače ali če Banka Slovenije presodi, da bi potrditev sprejema prijave lahko ogrozila varstvo identitete prijavitelja. Banka Slovenije ravna enako tudi v primeru anonimnega prijavitelja, če ta opredeli, kam naj se potrdilo pošlje.
Banka Slovenije prijavitelja obvesti o koncu in izidu postopka. Če postopek po poteku treh mesecev od prejema prijave še ni končan, Banka Slovenije prijavitelja obvesti o stanju postopka, zlasti o predvidenih ali sprejetih ukrepih. Banka Slovenije ravna enako tudi v primeru anonimnega prijavitelja, če ta opredeli, kam naj se potrdilo pošlje.
Kadar Banka Slovenije prejme zunanjo prijavo kršitve po ZZPri, za katero ni pristojna, jo vključno z vašimi osebnimi podatki odstopi stvarno pristojnemu organu za zunanjo prijavo iz 14. člena ZZPri.
Organi za zunanjo prijavo:
Agencija za komunikacijska omrežja in storitve
Agencija za trg vrednostnih papirjev
Agencija za varstvo konkurence
Agencija za varnost prometa
Agencija za zavarovalni nadzor
Agencija za javni nadzor nad revidiranjem
Banka Slovenije
Državna revizijska komisija
Finančna uprava
Tržni inšpektorat
Urad za preprečevanje pranja denarja
Informacijski pooblaščenec
Inšpekcija za informacijsko varnost
Inšpekcija za sevalno in jedrsko varnost
Inšpekcija za varstvo pred sevanji
Inšpekcija za varno hrano, veterinarstvo in varstvo rastlin
Inšpektorat za delo
Inšpektorat za javni sektor
Inšpektorat za okolje in prostor
Javna agencija za zdravila in medicinske pripomočke
Organi nadzora v skladu s predpisi, ki urejajo porabo sredstev evropske kohezijske politike v Republiki Sloveniji
Zdravstveni inšpektorat
Slovenski državni holding
Komisija za preprečevanje korupcije
Če za zunanjo prijavo ni pristojen drug organ iz 14. člena ZZPri, Banka Slovenije stvarno pristojnemu nadzornemu organu posreduje zgolj anonimiziran opis prijavljene kršitve. Vašo celotno prijavo, vključno z vašimi osebnimi podatki, Banka Slovenije stvarno pristojnemu nadzornemu organu odstopi le z vašim izrecnim soglasjem. Za zaščito prijavitelja v skladu s 17. členom ZZPri je v teh primerih pristojna Komisija za preprečevanje korupcije.
V skladu z nalogami, ki so bile na Evropsko centralno banko prenesene z Uredbo Sveta (EU), št. 1024/2013, z dne 15. oktobra 2013 (prenos posebnih nalog, ki se nanašajo na politike bonitetnega nadzora kreditnih institucij, na Evropsko centralno banko), je 4. novembra 2014 neposredni nadzor nad nekaterimi bankami v Sloveniji prevzela Evropska centralna banka. Ta je pristojna tudi za preiskavo kršitev s področja nalog, ki so bile prenesene nanjo.
Prejete prijave kršitev, ki se bodo po svoji vsebini nanašale na pristojnosti Evropske centralne banke, bodo v skladu s prejšnjim odstavkom posredovane Evropski centralni banki.
Zaupnost podatkov o identiteti prijavitelja
Banka Slovenije bo podatke o prijavitelju in tudi vse druge informacije, iz katerih je mogoče neposredno ali posredno sklepati o njegovi identiteti, varovala kot strogo zaupne. Banka Slovenije lahko podatke o prijavitelju razkrije samo na podlagi izrecnega soglasja prijavitelja ali:
v primeru prijave kršitve po ZBan-3:
kadar je razkritje identitete prijavitelja nujno za izvedbo kazenskega postopka ali nadaljnjih sodnih postopkov;
če bodo v zvezi z ravnanji banke ali drugega subjekta nadzora sproženi nadaljnji sodni postopki, bo Banka Slovenije morala podatek o identiteti prijavitelja, če bo to pomembno za izvedbo postopka, posredovati tudi pristojnim organom pregona oziroma sodišču;
v primeru prijave kršitve po ZZPri:
če to zahteva državni tožilec, kadar je to nujno potrebno zaradi preiskovanja kaznivih dejanj (o razkritju identitete tožilstvu je prijavitelj predhodno obveščen);
če to zahteva sodišče, ko je to potrebno zaradi sodnih postopkov, vključno s sodnimi postopki zaradi zaščite pravice osebe, ki jo prijava zadeva (o razkritju identitete sodišču je prijavitelj predhodno obveščen).
Ne glede na navedeno ne sme nihče razkriti identitete prijavitelja, če bi razkritje ogrozilo življenje ali resno ogrozilo javni interes, varnost ali obrambo države.
Varovanje osebnih podatkov v internih postopkih
Dostop do podatkov o identiteti prijavitelja bo imela v prvem koraku izključno oseba, pooblaščena za prijavo kršitve.
Če se prijava posreduje s spletnim obrazcem, prenos sporočila poteka po šifrirani HTTPS-povezavi, kar pomeni, da v omrežju Banke Slovenije nihče razen pooblaščene osebe ne more dostopati do podatkov v obvestilu. Posredovanje prijave po elektronski pošti ni zaščiteno z varno povezavo.
V postopku interne preiskave se bodo vsi podatki, iz katerih bi bilo mogoče razbrati identiteto prijavitelja, hranili ločeno in bodo zaščiteni pred nepooblaščenim dostopom. Za vsak vpogled v podatke o identiteti prijavitelja bo zagotovljena revizijska sled.
Pooblaščena oseba za prejem prijave lahko v internem postopku preiskave razkrije identiteto osebe, ki je posredovala prijavo, in sicer le pooblaščenim osebam, ki neposredno sodelujejo v postopku preiskave, če je to nujno za izvedbo postopka in ugotovitev kršitev.
Čas hrambe podatkov o identiteti prijavitelja
Banka Slovenije bo prijavo in podatke o identiteti prijavitelja hranila še pet let po zaključku preiskave.
Po poteku roka hrambe se osebni podatki o prijavitelju, posredniku, povezanih osebah, osebi, ki jo prijava zadeva, in osebah, ki lahko pomagajo pri preiskavi prijavljene kršitve, ter vsebina prijave uničijo, evidenčni podatki o prijavi pa se hranijo tudi po poteku tega roka v skladu z notranjimi pravili.
Zaščita identitete prijavitelja po ZZPri
Za dokumente in drugo gradivo v zvezi s prijavo se do konca postopka ne uporabljajo določbe zakona, ki ureja dostop do informacij javnega značaja. Podatki o identiteti prijavitelja tudi po koncu postopka s prijavo niso informacija javnega značaja. To velja tudi v primeru, ko je dokumentarno gradivo odstopljeno drugemu organu v pristojno obravnavo. Poskus ugotavljanja identitete prijavitelja in razkritje podatkov o prijavitelju sta prekršek, za katerega ZZPri predpisuje globo.
Izključitev odgovornosti glede razkritja
Prijavitelj, ki informacije o kršitvah prijavi v skladu z ZZPri, ne krši nobene omejitve ali prepovedi glede razkritja informacij in ne nosi nobene odgovornosti, povezane s takšno prijavo ali javnim razkritjem, pod pogojem, da ni prijavil ali javno razkril neresničnih informacij in je na podlagi utemeljenih razlogov menil, da je bila prijava ali javno razkritje takšnih informacij nujno za razkritje kršitve na podlagi zakona.
Navedeno se ne uporablja glede omejitev razkritja informacij, določenih s predpisi na področju varovanja tajnih podatkov, poklicne skrivnosti odvetnikov ter zdravstvenih delavcev in zdravstvenih sodelavcev, tajnosti sodnih posvetovanj in pravil kazenskega postopka.
Ne glede na določbe zakona, ki ureja poslovno skrivnost, prijava ali javno razkritje informacij, ki vključujejo poslovne skrivnosti, ni protipravno, če jih prijavitelj prijavi ali razkrije v skladu z ZZPri. Prijavitelj ne nosi odgovornosti v zvezi s pridobitvijo ali dostopom do informacij, ki jih prijavi ali javno razkrije, če takšna pridobitev ali dostop ni samostojno kaznivo dejanje.
V morebitnih postopkih zoper prijavitelja zaradi obrekovanja, kršitve avtorskih pravic, kršitve zaupnosti informacij, kršitve pravil o varstvu podatkov ali odškodninskih zahtevkov prijavitelj ne nosi nobene odgovornosti zaradi prijav ali javnih razkritij na podlagi ZZPri in se lahko pri predlogu zavrnitve zahtevka zoper sebe sklicuje na prijavo ali javno razkritje, če je na podlagi utemeljenih razlogov menil, da je bila prijava ali javno razkritje nujno za razkritje kršitve.
Informacije o ugotovljenih kršitvah in izrečenih ukrepih
Če bo Banka Slovenije v nadzorniškem postopku ugotovila, da je v banki oz. subjektu nadzora prišlo do kršitve, bo v skladu s predpisi izrekla ukrepe nadzora ali sankcije zoper banko oz. subjekt nadzora.
Informacije o ugotovitvah v postopku nadzora ter o izrečenih ukrepih nadzora so na podlagi zakona zaupne informacije in jih ni dovoljeno razkriti, razen v zakonsko določenih primerih. Banka Slovenije na spletni strani javno objavlja določene informacije o ukrepih nadzora, ki jih izreče na podlagi predpisov.
Kaj naj naredim, če bom po prijavi kršitve deležen povračilnih ukrepov?
Če boste po prijavi kršitve v banki oz. drugem subjektu nadzora deležni povračilnih ukrepov, to sporočite tudi Banki Slovenije kot dopolnitev prijave (glej zgoraj).
Če ste prijavo kršitve oddali anonimno, Banka Slovenije na podlagi prejetega obvestila o povračilnih ukrepih ne bo mogla ukrepati. V tem primeru priporočamo, da ob dopolnitvi prijave sporočite tudi svoje osebne podatke.
Zaščita prijavitelja pred povračilnimi ukrepi v primeru prijave, ki se obravnava po ZZPri
Za povračilne ukrepe veljajo tisti ukrepi, s katerimi se poslabša položaj prijavitelja in so posledica vložene prijave (tudi če bi oseba, ki jih izvaja, za ukrepe zoper prijavitelja navedla kakšen drug razlog). Med njimi so na primer odpoved delovnega razmerja, premestitev, nadlegovanje in podobno. Izvajanje povračilnih ukrepov je prepovedano in je lahko prekršek. V primeru povračilnih ukrepov je možno vložiti zahtevo za začasno odredbo, s katero sodišče delodajalcu odredi ustavitev povračilnih ukrepov. Če bi bili delovnopravni ukrepi že izvršeni, je možna tudi tožba na delovnem sodišču. V primeru odpovedi delovnega razmerja je prijavitelj upravičen tudi do nadomestila za brezposelnost, in sicer ne glede na razlog odpovedi (tudi če je iz krivdnih razlogov).
Do zaščitnih in podpornih ukrepov v skladu z ZZPri so upravičeni prijavitelji, ki so fizične osebe (pravne osebe torej niso upravičene do zaščite) in so podali prijavo o kršitvi znotraj svojega delovnega okolja, zaradi česar se proti njim izvajajo povračilni ukrepi (odpoved delovnega razmerja, premestitev, nadlegovanje in podobno). Zaščita se zagotavlja prijaviteljem, ki so prijavo podali v dobri veri (ob podaji prijave so verjeli, da so informacije resnične). Prijavitelji, ki vede podajo lažno prijavo, niso upravičeni do zaščite, takšna prijava lahko pomeni tudi storitev prekrška.
Pooblaščenec za prijave prijavitelju, ki je deležen povračilnih ukrepov, svetuje o pravnih možnostih ter mu v okviru svojih pristojnosti pomaga v upravnih in sodnih postopkih zaradi povračilnih ukrepov, na primer tako, da mu izda potrdilo o vloženi prijavi ali zagotovi dokazila iz postopka s prijavo, ki jih prijavitelj potrebuje v drugem postopku.
Informacije o nevladnih organizacijah, ki delujejo na področju zaščite prijaviteljev po ZZPri