BEJELENTŐ VÉDELEM – GDPR PÁNIK 2.0
5 min read
Újra ránk tört egy európai uniós szabályozás réme, a „BEJELENTŐVÉDELEM”. A szabályozás röviden a következőkről szól:
2023. július 24-én hatályba lép a panaszokról, a közérdekű bejelentésekről, valamint visszaélések bejelentéséről – un. Visszaélésbejelentő rendszer – szóló 2023. évi XXV. törvény, amelynek a hatálya a magyar vállalkozások jelentős részére kiterjed és amivel kapcsolatban két határidőre szeretnénk felhívni a figyelmét.
2023. július 24-től kötelező a bevezetés: a 250 főt vagy azt meghaladó foglalkoztatottat (tehát: nem csak a saját munkavállalók értendők ebbe bele, hanem a szerződött, kölcsönzött munkavállalók is és minden olyan személy, aki a vállalkozás részére ellenérték fejében tevékenységet végez pl. egyéni vállalkozó) foglalkoztató jogi személyek számára,
– a meghatározott tevékenységet végző, különösen pénzügyi vállalkozásoknak (pl. könyvelők, székhelyszolgáltatók, pénzügyi szolgáltatók).
2023. december 17-től kötelező a bevezetés:
Minden legalább 50 legfeljebb 249 személyt foglalkoztató jogi személy részére (un. KKV szektor), amelyek számára jogalkotó lehetővé tette, hogy ne saját, belső rendszert alakítsanak ki, hanem külső szakmai szolgáltatót is igénybe vehessenek.
A gyakorlatban arról van szó, hogy a multinacionális céges kultúrában már régóta ismert megfelelőségi bejelentő rendszerek a jogszabály alapján a fentiek szerint kell, hogy megjelenjenek a magyar vállalkozásoknál. Azaz, legyen olyan rendszer szinten üzemelő bejelentő rendszer, ahol akár név nélkül is, de jelenteni lehessen minden olyan visszaélést, amely beláthatóan sérti az üzleti magatartás szabályait. Ezek a visszaélések lehetnek a „szokványos” visszaélések, mint lopás, sikkasztás, a vállalati tulajdon magáncélú használata, vagy rongálása, de lehet erőszak, zaklatás és egyéb nem kívánatos cselekmény is.
A probléma egyszerre igényelhet jogi, adatvédelmi és nyomozástani, vizsgálati ismereteket is, hiszen egy célhoz kötött, azaz eredményköteles tevékenységről van szó. A bejelentő eredményt vár, a cég, ahol a vizsgálat folyik, lehetőleg „hatóságmentes” csendes ügymenetet, rendszerszinten pedig olyan vizsgálati metódust amely egyszerre tartaja audit képesen a vállalatot, de nem okoz a kelleténél nagyobb zavart a vizsgálattal sem.
Mi lehet a „zavar” a rendszerben? Érintett vezetők együttműködésének hiánya. Minden vizsgálat csak azokkal a jogokkal működik, amelyekkel azt azt elrendelő vezetői szint bír. Milyen formában lehet és szabad a belső vizsgálatot lefolytatni? Személyes meghallgatás, vagy elegendő e-mailben, írásos nyilatkozatot kérni?
Egyáltalán, mi az a minimális információ, vagy tényközlés, amikor egy vizsgálat elindul? Létezik a hatósági gyakorlatban ismert „előkészítő eljárás” , mely során az adott információ, bejelentés megalapozottsága ellenőrizendő?
Ki lehet-e mondani, hogy a visszaélés bejelentő rendszerek célja az „adminisztratív megfelelés” azaz, a szükséges minimum fenntartása?
Számolni kell-e a spam szerű, bosszú céllal tett bejelentésekkel, ezekkel mi a teendő, kell-e ilyen esetben, akár munka jogilag, akár büntetőjogilag eljárni a bejelentővel szemben? ha névtelen a bejelentő, szabad-e kutatni a kilétét?
Szükséges-e a kötelező szabályozások mellett megtanítani az adott vállalat, cég dolgozóit a visszaélés bejelentő rendszerek használatára?
Mi a helyzet a helyi érdekképviseletek, mint sok esetben ellenérdekű szervezet bevonását illetően. Főleg, ha a szakszervezet párhuzamosan kezd üzemeltetni hasonló rendszert. Végül is az érdekképviseletnek is kell az információ a hatékony munkához…
Az előbbiek figyelembe vételével merül fel a kérdés, hogy a facebook, vagy egyéb hirdetés útján vásárolt visszaélés bejelentő rendszer üzemeltetési szolgáltatás mennyire hasonlít a kéz alatt vásárolt műszaki cikk kategóriához? Mennyire kell ehhez a témához érteni, hogyan lehet tanulni mások hibáiból?
A jelenlegi helyzetben egy biztos: A GDPR bevezetésekor látott retorika visszatért, „nagy baj lesz, ha nincs…” Ez a nem felkészült „vevőknek” elég lehet. De mi történik, ha téma „túltolása” okán kedvet kapnak az emberek a bejelentésekhez? A szabályozás a rendszer egyik elemére fókuszál, mégpedig arra, hogy a bejelentő személye védve legyen. Ehhez célszerűen külső üzemeltetőt érdemes igénybe venni. Érdekesség, hogy a „bejelentő védelmi szolgáltató” nem ehet a megbízónál más szolgáltatás részese, nyilván kerülni akarta a jogalkotó a gazdasági függést…
Az egyik legfontosabb kérdés: ki nyújthat bejelentő védelmi szolgáltatást? Az ügyvédek jogi magyarázó hirdetései ellopták a közösségi médiát. Kell, hogy felvilágosító csomagolást kapjon, hiszen egy ügyvéd igen erős korlátokkal hirdethet… ( Bővebben erről Itt ) Azért kreatitivitásban nincs hiány…
A válasz, bárki nyújthat ilyen szolgáltatást, az ügyvédek talán azért kértek előtérbe, mert hivatásuk okán titoktartásra kötelezettek, ellentétben egy mezei adatvédelmi szolgáltatóval, akiknél nincsenek beépített fékek, csak a szerződések és a becsület.
Végül a poén: sok cég az bejelentő védelmi szolgáltatást egyfajta „adminisztratív” megfelelőségi minimummal kínálja, egyfajta információ továbbító rendszerként. Erről bővebben ezen a linken.
A nyitott kérdések adottak, a konkrét válaszok kevésbé, talán egy kerekasztal beszélgetést megér a téma.
