A visszaélés-bejelentő – vagy angol elnevezéssel „whistleblowing” – rendszereket az eddigi gyakorlat alapján jellemzően az állami intézményekhez vagy éppen a legnagyobb multinacionális vállalkozásokhoz kötöttük, ez a helyzet azonban egy uniós irányelvnek köszönhetően hamarosan változni fog. A vonatkozó szabályozás alapján valamennyi 50 főnél több munkavállalót foglalkoztató vállalkozásnak kötelezően belső visszaélés-bejelentő rendszert kell kialakítania 2021 végétől – figyelmeztetnek a Taylor Wessing Budapest ügyvédi iroda adatvédelmi szakértői.
A visszaélés-bejelentő (whistleblowing) rendszer kifejezés hallatán manapság a legtöbb ember lelki szemei előtt helyes elképzelés villan fel a jogintézmény lényegéről, ha egy olyan hotline-ra vagy internetes felületre gondol, ahol egy társaság vagy állami intézmény munkavállalói vagy akár külső szerződéses partnerei az általuk munkavégzésük során észlelt szabálytalanságokat, visszaéléseket egy olyan védett felületen keresztül tudják bejelenteni, kezdeményezve a visszaélés kivizsgálását, amely megfelelő garanciákat nyújt a bejelentő számára az esetleges későbbi megtorlással szembeni védelemre.
A vonatkozó uniós szabályozás alapján 2021. december 17-től valamennyi 50 főnél több munkavállalót foglalkoztató vállalkozásnak kötelezően belső visszaélés-bejelentő rendszert kell kialakítania, függetlenül attól, hogy milyen iparági szektorban tevékenykedik. A rendszer kialakításához ráadásul az irányelv szigorú minimumkövetelményeket határoz meg, amelyeket az irányelv hazai átültetése során akár tovább is szigoríthat a hazai jogalkotó.
„Bár az irányelv átültetésére vonatkozó hazai szabályozás még nem került nyilvánosságra, és az átültetésre megszabott 2021. december 17-i határidő is távolinak tűnhet, azonban fontos, hogy időben napirendre vegyük a rendszer kialakításának és megtervezésének kérdését. Ennek oka elsősorban az, hogy a bejelentővédelmi rendszer működtetése többet kíván egy egyszerű etikai szabályzat elkészítésénél, a rendszer operatív működtetésének biztosítása gondos tervezést és akár külső szolgáltatók bevonását igényelheti. Ez pedig időigényes egyeztetéseket, tervezést és gyakorlati implementálást követel a társaság döntéshozói, különböző osztályai és az esetlegesen igénybe vett külső szolgáltatók között. A társaság döntéshozóinak mindenekelőtt azt kell megvizsgálniuk, hogy a cég milyen kapacitásokkal rendelkezik a rendszer napi működtetéséhez. Például, hogy a bejelentések feldolgozását képesek-e a vállalaton belüli független és elkülönült szervezeti egységre delegálni, vagy külső szolgáltatót szükséges igénybe venniük. Akármelyik megoldásra is essen a választás, a belső szabályzatban, illetve a külső szolgáltatóval kötött szerződésben konkrét garanciákat kell meghatározni annak érdekében, hogy az irányelvben megszabott minimumkövetelményeknek megfeleljenek. Az alapvető titoktartási és bizalmassági követelményeken túlmenően, az irányelv részletesen szabályozott tájékoztatási, határidőkhöz kötött válaszadási és nyilvántartási kötelezettségeket határoz meg a társaság számára, amelyek számosságukból és több jogágon átívelő mivoltukból adódóan is gondos előkészítést igényelnek” – foglalja össze a szabályozással összefüggő teendőket Torsten Braner, a Taylor Wessing Budapest irodavezető ügyvédje.
„A rendszer konkrét kialakítására változatos módok állnak rendelkezésre, a legjellemzőbbnek a telefonos hotline vonalak vagy az erre a célra dedikált webes platformok alkalmazását nevezhetjük. Miután a bejelentővédelmi rendszer működtetése nyilvánvalóan együtt jár a személyes adatok kezelésével, a rendszer előzetes adatvédelmi értékelése megkerülhetetlen lesz a folyamat során, és – ahogy azt a GDPR alkalmazásának közelgő harmadik évfordulójára tekintettel, mára már valamennyi társaság megtapasztalhatta – egy a személyes adatok kezelésével járó új folyamat szükségszerűen magával hoz számos adatvédelmi teendőt. A „privacy by design and by default” elvek immár gyakorlati alkalmazást kívánnak. Az adatkezelés természetéből adódóan az esetleges incidensek elkerülését lehetővé tévő megfelelő szervezeti és technikai intézkedések kialakítása, a bizalmasság garantálása, a hozzáférési jogosultságok szigorú szabályozása, az esetlegesen igénybevett külső szolgáltatókkal fennálló jogviszony megfelelő rendezése, csakúgy mint az alapvető előzetes adatvédelmi tájékoztatás biztosítása elengedhetetlen előfeltételei a bejelentővédelmi rendszer működtetésének megkezdéséhez” – hívja fel a figyelmet Kopasz János, a Taylor Wessing Budapest adatvédelmi szakértője.
Bár a rendszer kötelező kiépítése nagy terhet róhat az 50 főnél több főt foglalkoztató munkáltatókra, ne feledjük a szabályozás pozitív hozadékait sem. Egy megfelelően kiépített rendszer kellő bizalmat sugallhat a munkavállalóink és üzletei partnereink irányába, alátámasztva társaságunk magas szintű céges kultúráját és etikai elköteleződöttségét. Hasznos eszköznek bizonyulhat a társaság meglévő belső compliance folyamatainak támogatására, a csalások és visszaélések elleni belső folyamatok további optimalizálására, és nem utolsó sorban megfelelő eszközt jelenthet a társaság reputációjának megőrzésében egy esetleges metoo botrány, pénzügyi csalás megfelelő kezelése esetén.
Ne feledjük, hogy az irányelv lehetővé teszi, hogy a bejelentő egyenesen az illetékes hatósághoz vagy akár közvetlenül a nyilvánossághoz forduljon sérelmével, amely jelentős reputációveszteséget eredményezhet. Önmagában a fenti szempontok miatt is érdemes kellő időt és energiát szentelnünk egy jól működő, kellően hatékony és megfelelően promótált bejelentőrendszer kiépítésére.