Nem kell hallgatni: jobban védik a bejelentők adatait - Kép: SXC

Jelentős változás történt a munkáltatói visszaélés-bejelentési rendszerek („whistleblowing”) hazai szabályozásában, mivel ez év január 1-jén hatályba lépett a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV törvény. Az új jogszabály a korábbinál jóval részletesebben, az adatvédelemmel kapcsolatos kérdésekre is kiterjedően szabályozza a magánszektorban működő visszaélés-bejelentési rendszereket.  A törvényben foglalt kötelezettségek elmulasztása megalapozhatja a munkáltató polgári jogi, súlyosabb esetben a büntetőjogi felelősségét is. Emellett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tízmillió forintig terjedő bírságot is kiszabhat az adatvédelmi előírások megsértése miatt.

A „whistleblowing” rendszerek jelentősége, hogy a munkáltató jól kidolgozott eljárásrend alapján egy „biztonságos” jelentési rendszert üzemeltet annak érdekében, hogy a munkavállalók a szervezeten belül észlelt jogellenes vagy a szervezet magatartási szabályait sértő cselekményeket egy erre szakosodott csapat tudomására hozzák. Erre azért van szükség, mert a gyakorlati tapasztalatok szerint a munkavállalók általában tartanak az ilyen jellegű cselekmények hagyományos úton, azaz a közvetlen felettes útján történő jelentésétől. Ennek oka, hogy számos esetben a visszaélés bejelentőjét a bejelentés miatt hátrányos következmény éri, adott esetben még a munkáját is elveszítheti.

A magánszektorban alkalmazott visszaélés-bejelentési rendszerre vonatkozó korábbi hazai szabályozás nem állapított meg kellőképpen részletes szabályokat, ami anomáliákat okozott annak gyakorlati alkalmazásában, különösképpen a személyes adatok kezelése terén. A „whistleblowing” rendszerek működtetése ugyanis számos adatvédelmi kérdést vet fel, mivel a bejelentés alapján személyes adatok jutnak a munkáltató tudomására, amelyeket kezel és adott esetben azokat továbbítja más adatkezelő vagy adatfeldolgozó felé. Az új szabályozás egyik legfontosabb újdonsága, hogy a törvény jogalapot teremt a munkáltató számára a személyes adatok kezelésére vonatkozóan. Így a jogszabály rendelkezései alapján a munkáltató a gyanúba keveredett személy adatait annak hozzájárulása nélkül is kezelheti. Amennyiben a rendszer működtetése során Magyarország területén is történik adatkezelés, akkor háttérjogszabályként a hazai adatvédelmi szabályokat is alkalmazni kell.

A törvény előírásai a már működő „whistleblowing” rendszerekre is vonatkoznak, ezért a jogszabálynak való megfelelés érdekében érdemes felülvizsgálni a korábban bevezetett alternatív jelentési rendszereket is. „Különös figyelmet kell fordítani a magatartási szabályzatok, etikai kódexek és belső eljárásrendek felülvizsgálatára, hogy azok megfeleljenek a Törvény rendelkezéseinek többek között a határidők, a tájékoztatási kötelezettség és a kezelhető adatok köre tekintetében. Amennyiben szükséges, a munkavállalók oktatása is indokolt lehet a „whistleblowing” rendszer használatával kapcsolatban, hiszen a munkáltató érdeke is, hogy a munkavállalók azt megfelelően használják. Ugyanakkor a munkáltatónak is fel kell készülni a Törvényben foglalt előírások alkalmazására, mert a munkáltató felelősséggel tartozik a jogellenes adatkezelésért” – mondta Dr. Szarvas Júlia, a Deloitte Legal Ügyvédi Iroda ügyvédje.

Lényeges változás, hogy a visszaélés-bejelentési rendszer bevezetése előtt a munkáltatónak az ilyen jellegű adatkezelésre vonatkozó szándékát előzetesen be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság adatvédelmi nyilvántartásába. Ezenkívül a rendszer működésére és a visszaélés- bejelentéssel kapcsolatos eljárásra vonatkozó részletes, magyar nyelvű tájékoztatót kell közzétennie a honlapján, amelynek ki kell térnie a rosszhiszemű bejelentés következményeire is. A rendszerbe egyébként a munkavállalók, a munkáltatóval szerződéses jogviszonyban állók és olyan személyek tehetnek bejelentést, akiknek a visszaélés megszüntetéséhez méltányolható jogos érdeke fűződik. Amennyiben a munkáltatónál működik üzemi tanács, a visszaélés-bejelentési rendszer bevezetéséről a munkáltató köteles a munkavállalói érdekképviseleti szervezettel előzetesen konzultálni.

A Törvény elsősorban a nevesített bejelentéseket részesíti előnyben, de lehetővé teszi a névtelen bejelentéseket is, amelyek kivizsgálására azonban a munkáltató nem köteles. A bejelentés kivizsgálása során a munkáltató tudomására jutott adatokat bizalmasan kell kezelni és azokat kizárólag a vizsgálatban résztvevők ismerhetik meg. A bejelentésekkel kapcsolatban tilos különleges személyes adatokat kezelni. Ilyen adatok például a pártállásra, kóros szenvedélyre, világnézeti meggyőződésre, érdek-képviseleti szervezeti tagságra vagy büntetlen előéletre vonatkozó adatok. Amennyiben a bejelentés során mégis ilyen információ kerülne a rendszerbe, azt a munkáltató köteles haladéktalanul törölni.

A Törvény a gyanúba keveredett személy jogainak védelme érdekében garanciális szabályokat is tartalmaz. Ennek megfelelően a vizsgálat kezdetekor a gyanúba keveredett személyt tájékoztatni kell a rá vonatkozó bejelentésről, az őt megillető jogokról és a személyes adatainak kezelésére vonatkozó szabályokról. Ha a bejelentéssel érintett személy tájékoztatása meghiúsítaná a visszaélés kivizsgálását, a tájékoztatásra később is sor kerülhet. A munkáltatónak a bejelentést legfeljebb a beérkezésétől számított 30 napon belül, kivételes esetben legfeljebb 3 hónapon belül ki kell vizsgálnia. Amennyiben a vizsgálat azt állapítja meg, hogy a bejelentés nem megalapozott vagy nincs szükség egyéb intézkedés megtételére, az adatokat a vizsgálat befejezését követő 60 napon belül törölni kell. Ha vizsgálat szerint a bejelentés megalapozott volt, úgy az adatokat legfeljebb a szükséges eljárások jogerős lezárásig lehet kezelni.

Dr. Szarvas Júlia elmondta: Hasznos, hogy a jogalkotó rendszerbe foglalja a „whistleblowing” intézményét, ugyanakkor a Törvény számos kérdést vet fel. Így például kötelezően előírja a munkáltatók számára, hogy hívják fel a bejelentők figyelmét a rosszhiszemű bejelentés következményeire, de a jogszerűen alkalmazható szankciók megállapítását a munkáltatókra bízza, azokról nem szól részletesebben a Törvény. Annak érdekében, hogy a hazai előírásokkal összhangban álló, ugyanakkor a – tipikusan külföldi anyavállalat által kidolgozott – nemzetközi gyakorlatnak is megfelelő szabályokat alkossanak a cégek, javasolt felülvizsgálniuk meglévő belső irányelveiket, vagy jogi szakértő bevonásával kidolgozni egy gyakorlatias és megalapozott bejelentési rendszert.