A visszaélés-bejelentő (whistleblowing) rendszer a gyakorlatban egy olyan hotline-t vagy internetes felületet jelent, ahol egy vállalat vagy állami intézmény munkavállalói vagy akár külső szerződéses partnerei az általuk munkavégzésük során észlelt szabálytalanságokat, visszaéléseket egy olyan védett felületen keresztül tudják bejelenteni, kezdeményezve a visszaélés kivizsgálását, amely megfelelő garanciákat nyújt a bejelentő számára az esetleges későbbi megtorlással szembeni védelemre.
Szigorú követelmények
A vonatkozó uniós szabályozás alapján valamennyi 50 főnél több munkavállalót foglalkoztató vállalkozásnak kötelezően belső visszaélés-bejelentő rendszert kell kialakítania, függetlenül attól, hogy milyen iparágban tevékenykedik. A rendszer kialakításához ráadásul az irányelv szigorú minimumkövetelményeket határoz meg, amelyeket az irányelv hazai átültetése során akár tovább is szigoríthat a jogalkotó – feltéve, hogy foglalkozik vele.
Az Európai Uniós tagállamok közül egyelőre mindössze kilenc (Ciprus, Dánia, Franciaország, Horvátország, Lettország, Litvánia, Málta, Portugália, Svédország) ültette át a saját nemzeti jogrendjébe a direktívát – derül ki a Transparency International EU és más civil szervezetek gyűjtéséből. További 17 ország törvényhozói már tettek lépéseket a direktíva adaptálásának irányába – elkészítettek egy törvénytervezetet vagy elindítottak egy szakmai konzultációt, azonban nem zárták még le a folyamatot. A 27 tagállam közül Magyarország az egyedüli, ahol a szabályozói oldalról egyelőre semmilyen bejelentés nem érkezett a témában. Bár a magyar jogrendben 2013 óta létezik bejelentővédelmi szabályozás, az nem felel meg az uniós direktíva által támasztott követelményeknek.
Nem tudni, hogy mi lesz
„Elképzelhető, hogy a választások lezárultával és az új kormány felálltával még 2022-ben napirendre kerül a téma, de egyelőre lehetetlen megjósolni, hogy mikor. Ennek ellenére fontos, hogy a cégek időben elkezdjenek foglalkozni a rendszer kialakításának és megtervezésének kérdésével. Ennek oka elsősorban az, hogy a bejelentővédelmi rendszer működtetése többet kíván egy egyszerű etikai szabályzat elkészítésénél, a rendszer operatív működtetésének biztosítása gondos tervezést és akár külső szolgáltatók bevonását igényelheti. Ez pedig időigényes egyeztetéseket, tervezést és gyakorlati implementálást követel a társaság döntéshozói, különböző osztályai és az esetlegesen igénybe vett külső szolgáltatók között. A társaság döntéshozóinak mindenekelőtt azt kell megvizsgálniuk, hogy a cég milyen kapacitásokkal rendelkezik a rendszer napi működtetéséhez. Például, hogy a bejelentések feldolgozását képesek-e a vállalaton belüli független és elkülönült szervezeti egységre delegálni, vagy külső szolgáltatót szükséges igénybe venniük. Akármelyik megoldásra is essen a választás, a belső szabályzatban, illetve a külső szolgáltatóval kötött szerződésben konkrét garanciákat kell meghatározni annak érdekében, hogy az irányelvben megszabott minimumkövetelményeknek megfeleljenek. Az alapvető titoktartási és bizalmassági követelményeken túlmenően, az irányelv részletesen szabályozott tájékoztatási, határidőkhöz kötött válaszadási és nyilvántartási kötelezettségeket határoz meg a társaság számára, amelyek számosságukból és több jogágon átívelő mivoltukból adódóan is gondos előkészítést igényelnek” – foglalja össze a szabályozással összefüggő teendőket Torsten Braner, a Taylor Wessing Budapest irodavezető ügyvédje.
Hotline vonalak és webes felületek
„A rendszer konkrét kialakítására változatos módok állnak rendelkezésre, a legjellemzőbbnek a telefonos hotline vonalak vagy az erre a célra dedikált webes platformok alkalmazását nevezhetjük. Miután a bejelentővédelmi rendszer működtetése nyilvánvalóan együtt jár a személyes adatok kezelésével, a rendszer előzetes adatvédelmi értékelése megkerülhetetlen lesz a folyamat során, és – ahogy azt a GDPR alkalmazásának negyedik évfordulóját követően, mára már valamennyi társaság megtapasztalhatta – egy a személyes adatok kezelésével járó új folyamat szükségszerűen magával hoz számos adatvédelmi teendőt. A „privacy by design and by default” elvek immár gyakorlati alkalmazást kívánnak. Az adatkezelés természetéből adódóan az esetleges incidensek elkerülését lehetővé tévő megfelelő szervezeti és technikai intézkedések kialakítása, a bizalmasság garantálása, a hozzáférési jogosultságok szigorú szabályozása, az esetlegesen igénybevett külső szolgáltatókkal fennálló jogviszony megfelelő rendezése, csakúgy mint az alapvető előzetes adatvédelmi tájékoztatás biztosítása elengedhetetlen előfeltételei a bejelentővédelmi rendszer működtetésének megkezdéséhez” – hívja fel a figyelmet dr. Kopasz János, a Taylor Wessing Budapest adatvédelmi szakértője.
Vannak előnyei is
Bár a rendszer kötelező kiépítése nagy terhet róhat az 50 főnél több főt foglalkoztató munkáltatókra, a szabályozásnak pozitív hozadékai is lehetnek. Egy megfelelően kiépített rendszer kellő bizalmat sugallhat a munkavállalók és üzletei partnerek irányába, alátámasztva a vállalat magas szintű céges kultúráját és etikai elköteleződöttségét. Hasznos eszköznek bizonyulhat a társaság meglévő belső compliance folyamatainak támogatására, a csalások és visszaélések elleni belső folyamatok további optimalizálására, és nem utolsó sorban megfelelő eszközt jelenthet a társaság reputációjának megőrzésében egy esetleges #metoo botrány, pénzügyi csalás megfelelő kezelése esetén.
„Ne feledjük, hogy az irányelv lehetővé teszi, hogy a bejelentő egyenesen az illetékes hatósághoz vagy akár közvetlenül a nyilvánossághoz forduljon sérelmével, amely jelentős reputációveszteséget eredményezhet. Önmagában a fenti szempontok miatt is érdemes kellő időt és energiát szentelnünk egy jól működő, kellően hatékony és megfelelően promótált bejelentőrendszer kiépítésére” – zárja gondolatait Torsten Braner.