A panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény („Bejelentővédelmi Törvény”) belső visszaélés-bejelentési rendszerek létrehozására kötelezi az 50 főnél több személyt foglalkoztató vállalatokat. Az ilyen rendszerek bevezetése hozzájárul a tisztességes és etikus vállalati kultúra kialakításához, de ugyanakkor komoly adatvédelmi kihívásokat is felvethet.
Ebben a cikkben a visszaélés-bejelentési rendszerek és bejelentési csatornák működtetéséhez kapcsolódó adatkezelési kérdéseket foglaljuk össze az európai adatvédelmi biztos („EDPS”) visszaélés-bejelentési rendszerekkel kapcsolatos adatkezelésekről kiadott iránymutatása és a francia adatvédelmi hatóság („CNIL”) ugyanebben a témában kiadott ajánlása alapján (elérhetőek ITT és ITT). (Az EDPS hatáskörei EU szervekre és intézményekre terjed ki, ettől függetlenül gyakorlati okokból irányadónak tekinthető szélesebb körben is.)
Fő célunk, hogy bemutassuk azokat a gyakorlati adatvédelmi stratégiákat, amelyek segítik a vállalatokat a GDPR rendelkezéseinek megfelelő visszaélés-bejelentési rendszerek működtetésében.
Az adatkezelés terjedelme
A GDPR 5. cikk (1) bekezdés c) pontjában foglalt adattakarékosság elvének betartása érdekében a vállalkozásoknak biztosítania kell, hogy ténylegesen csak a bejelentések megtétele és kivizsgálása során szükséges adatokat kezelik – ideértve az érintett személyek körének meghatározását is. A Bejelentővédelmi Törvény ezzel összhangban a 26. § (1) bekezdésében kötelezettségként rögzíti, hogy a visszaélés-bejelentési rendszer keretei között a bejelentőnek, a magatartásával vagy mulasztásával a bejelentésre okot adó, és a bejelentésben foglaltakról érdemi információval rendelkező személyeknek a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatai kezelhetők, és azok is kizárólag a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából.
A bejelentés kivizsgálása során a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elve szerint jellemzően szükséges adatok a bejelentésben foglalt tények, a bejelentő és bejelentésben érintett személyek megnevezése, a bejelentővel kapcsolatot tartó, és a bejelentés kivizsgálása során megkeresett személyek személyazonossága, pozíciója és feladata a foglalkoztató viszonylatában, a bejelentésben foglalt tények igazolása során szerzett információk, bejelentésekről, azok kivizsgálásáról készült riportok, beszámolók tartalma.
Fontos megjegyezni, hogy a bejelentés kivizsgálásának egyes szakaszaiban a szükséges adatok köre változhat. Így például amennyiben a bejelentés befogadása után a vállalkozás a Bejelentővédelmi Törvény 22. § (6) bekezdése szerint a bejelentés kivizsgálását mellőzi, a bejelentést haladéktalanul törölni kell. Ez a kötelezettség olyan esetekben okozhat gyakorlati problémákat, mennyiben a bejelentés kivizsgálása elutasításának jogszerűségét utólag kell bizonyítani.
Az adatkezelés jogszerűsége
Az adatkezelés jogszerűségét a visszaélés-bejelentési rendszerek működtetése esetén elsősorban a GDPR 6. cikk (1) bekezdése c) pontja szerinti jogi kötelezettség teljesítése jogalap biztosítja, amennyiben a foglalkoztató a Bejelentővédelmi törvény 18. § (1)-(3) bekezdése alapján köteles létrehozni a visszaélés-bejelentési rendszert.
Amennyiben egy vállalkozás úgy dönt, hogy a Bejelentővédelmi Törvény kifejezett kötelezése ellenére és a Bejelentővédelmi Törvény 18. § (4) bekezdésében biztosított lehetőséggel, és önkéntesen visszaélés-bejelentési rendszert hoz létre, jogi kötelezettségről nem lehet beszélni. Ebben az esetben a visszaélés-bejelentési rendszer működtetése keretében végzett adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek lehet. A jogos érdek kapcsán általánosan elvárt („ténylegesen elérhető”) tiltakozási jog jelen esetben annyiban értékelhető megengedőbben, hogy amennyiben az érintett tiltakozik az adatkezelés ellen, azzal egyben a panasz kivizsgálása ellen is tiltakozik, aminek a mérlegelése nem igazán életszerű, ha a bejelentéssel a kivizsgálást ő kezdeményezte.
Amennyiben szóbeli bejelentések fogadására a vállalkozás rögzített telefonvonalat vagy egyéb rögzített hangüzenetküldő rendszert használ, ezt a Bejelentővédelmi Törvény 21. § (2) bekezdése esetén a bejelentő előzetes hozzájárulásával teheti. A Bejelentővédelmi Törvény nem egyértelmű a tekintetben, hogy ha a hozzájárulás a telefonos bejelentési csatorna használatához szükséges, akkor a vállalkozások kötelesek-e alternatív bejelentési csatornákat alkalmazni. A Bejelentővédelmi Törvény 21. § (1) bekezdése szerint a bejelentés szóban vagy írásban tehető meg, és a vállalkozások maguk dönthetnek, melyik csatornát teszik elérhetővé – amennyiben szóbeli csatornaként telefonos elérhetőséget adnak meg, nincs arra nézve kötelezettségük, hogy alternatív módot biztosítsanak. Ugyanakkor a gyakorlatban ez a kérdés kevéssé lehet releváns, tekintetettel arra, hogy a betelefonálással történő bejelentést a bejelentő kezdeményezi.
A GDPR 9. cikke szerinti különleges adatok, például egészségügyi adatok kezelése esetén a vállalkozások a fenti jogalapok mellett a GDPR 9. cikk (2) bekezdés f) és g) pontjai alapján járhatnak el, azaz, az adatkezelés jogi igények előterjesztése, érvényesítése, és védelme céljából szükséges, vagy mert az adatkezelés uniós jog vagy tagállami jog alapján jelentős közérdek miatt szükséges.
Névtelen bejelentések befogadása
A bejelentéseket alapvetően azonosítható bejelentőknek javasolt megtenni, hiszen így biztosítható egyrészt a bejelentés megfelelő kivizsgálása, másrészt a bejelentő megtorlásoktól való védelme. Az azonosítható bejelentés sok esetben a bejelentő érdekét is szolgálja, ha a bejelentés tárgya a bejelentő azonosítása nélkül nem kivizsgálható, pl. egyenlő bánásmód megsértése, zaklatás esetén. Ezzel összhangban a Bejelentővédelmi Törvény 22. § (6) bekezdés a) pontja szerint a vállalkozások nem kötelesek az anonim bejelentések kivizsgálására. Anonim kivizsgálások esetében a GDPR nem alkalmazandó, azonban ilyen esetekben is meg kell győződni arról, hogy ténylegesen anonim bejelentés érkezett-e. Például, egy névtelen bejelentés, amely a bejelentőt nyilvánvalóan azonosító e-mail címről érkezik, nem tekinthető anonim bejelentésnek. A bejelentés akkor tekinthető anonimnak, ha a bejelentő semmilyen azonosítót, így nevet, pozíciót, egyéb munkahelyi azonosítót, e-mail címet sem adott meg, függetlenül attól, hogy a bejelentés kivizsgálása során a személyazonossága megállapítható-e vagy nem. Lényeges ugyanakkor, hogy jogszabály eltérő rendelkezése vagy a bejelentő hozzájárulása hiányában tilos a bejelentő azonosítása érdekében lépéseket tenni, ha az egyébként a bejelentés kivizsgálása során nem derülne ki. Az anonim bejelentők szükségképpeni azonosításához vezethetnek például a bejelentés kivizsgálása során a biztonsági kamerafelvételek vagy belső jelenléti ívek visszanézése, illetve a további információval rendelkező személyek meghallgatása.
Technikai és szervezési intézkedések
A Bejelentővédelmi Törvény 27. § (1) bekezdése kimondja, hogy a belső visszaélés-bejelentési rendszert a vállalkozások úgy kötelesek kialakítani, hogy a személyazonosságát felfedő bejelentő, valamint a bejelentésben érintett személy személyes adatait az erre jogosultakon kívül más ne ismerhesse meg. A kezelt személyes adatokhoz csak a feladataik alapján felhatalmazott személyek férhetnek hozzá, szigorúan a vonatkozó felelősségi körük és e feladataik ellátása keretein belül. Hozzáférési joggal rendelkezhetnek így a vállalkozáson belül kifejezetten a bejelentések kezeléséért felelős személyek, a visszaélés-bejelentési rendszer működtetésével megbízott külső szervezet vagy bejelentővédelmi ügyvéd, illetve vállalatcsoport esetén az adott vállalatcsoportba tartozó anyavállalat vagy leányvállalat, amennyiben ez a bejelentés kivizsgálásához szükséges.
Adatkezelés kiszervezett visszaélés-bejelentési rendszerek esetén
A Bejelentővédelmi Törvény 19. § (2) bekezdése lehetővé teszi, hogy a foglalkoztató a visszaélés-bejelentési rendszerek működtetését külső szervezetekre bízza. Ilyen esetekben a felek együttes kötelezettsége az adatvédelmi szerepek kijelölése, amely az egyedi körülmények alapján adatfeldolgozói viszony, vagy közös adatkezelés formájában is lehetséges.
Kiszervezés esetén a visszaélés-bejelentési rendszer egészének vagy egyes részfunkcióinak (pl. bejelentések fogadása) megbízott szolgáltatóval olyan megállapodás megkötése javasolt, amelyben a szolgáltató többek között vállalja, hogy nem használja fel a személyes adatokat a bejelentések kezelésén kívül más célokra, biztosítja azok bizalmas kezelését, betartja a korlátozott adatmegőrzési időszakot, és szolgáltatása végén megsemmisíti vagy visszajuttatja a személyes adatokat.
A Bejelentővédelmi Törvény 18. § (3) bekezdése szerint a visszaélés-bejelentési rendszert a 250 főnél kevesebb személyt foglalkoztató szervezetek közösen is létrehozhatják. Ez a megfogalmazás eltér az uniós jog megsértését bejelentő személyek védelméről szóló 2019/1937(EU) irányelvtől („Bejelentővédelmi irányelv”), amely az „erőforrások összevonása” kifejezést használja. Az erőforrások összevonása lehetőséget teremt arra, hogy a vállalatcsoporthoz tartozó vállalatok együttesen működtessék visszaélés-bejelentési rendszereiket. A Bejelentővédelmi Törvény eltérő megfogalmazásából adódik, hogy a Bejelentővédelmi irányelv Európai Bizottság általi értelmezésével (elérhető ITT) összhangban lehetővé teszi a vállalatcsoportok számára csoportszintű visszaélés-bejelentési rendszerek létrehozását is. Ez nem jelenti feltétlen a bejelentéskezelés teljes folyamatának delegálását, hanem azt, hogy a vizsgálat lefolytatása során a vállalatcsoport tagjai együttműködnek és koordinálnak, például, ha egy leányvállalati szinten tett bejelentés a csoport egészére kiterjedő magatartást érint. Ebben az esetben a bejelentések befogadása és kivizsgálása során a vállalatcsoport tagjai is hozzáférhetnek a személyes adatokhoz.
Gyakorlati javaslatok az adatvédelmi megfeleléshez
- A GDPR 30. cikke szerint kötelezően vezetett belső adatvédelmi nyilvántartások frissítése a visszaélés-bejelentési rendszerekkel kapcsolatos adatkezelésekkel.
- A munkavállalók és a harmadik felek számára közzétett adatkezelési tájékoztatók felülvizsgálata, és kiegészítése a visszaélés-bejelentési rendszerekkel kapcsolatos adatkezelésekkel.
- A visszaélés-bejelentési rendszerek működtetéséért felelős személyek, részlegek kijelölése, feladataik és ehhez kapcsolódóan hozzáférési jogaik pontos meghatározása, továbbá oktatás számukra adatvédelmi kötelezettségeikről.
- Az adatkezelés bevezetésével kapcsolatban, mivel az a munkavállalók személyes adatainak kezelését és védelmét is érinti, a Munka Törvénykönyvéről szóló 2012. évi I. törvény 264. § (1) bekezdése és (2) bekezdés c) pontja alapján az üzemi tanács véleményének kikérése.
- A visszaélés-bejelentési rendszer működtetésének kiszervezése esetén a megbízott szolgáltatóval megfelelő részletességű adatfeldolgozói vagy közös adatkezelői megállapodás készítése.