ABT blog

A
Adatvédelem és visszaélés-bejelentési rendszerek - whistleblowing

Szerző
dr. Granyák Lívia LL.M.
Tanácsadó, Adatvédelem
[email protected]

Adatvédelem és visszaélés-bejelentési rendszerek

Számos szervezet életében fog megjelenni, illetőleg még nagyobb szerephez jutni egy belső visszaélés-bejelentési, ún. whistleblowing rendszer létrehozása, jogszerű működtetésének kialakítása.

Egyre aktuálisabb kérdéssé válik, egyre több szervezet számára egy whistleblowing rendszer kiépítése és jogszerű működtetése. Erre hívja fel a figyelmet az uniós jog megsértését bejelentő személyek védelméről szóló uniós irányelv, melynek az általános implementációs határideje 2021. december 17.[1] Emellett 2023. december 17-ig meg kell hozni azokat a tagállami szabályokat is, amelyek legalább az 50, de legfeljebb 249 munkavállalót foglalkoztató, magánszektorban működő jogalanyok tekintetében biztosítják a belső bejelentési csatornák létrehozására vonatkozó kötelezettségek alkalmazását.

Az irányelv szerint a tagállamoknak biztosítaniuk kell, hogy mind a magánszektorban, mind a közszférában működő jogalanyok bejelentési csatornákat és eljárásokat hozzanak létre a jogsértések belső bejelentésére, nyomon követésére.[2] Ez a kötelezettség – bizonyos kivételek mellett – minden magánszektor szereplőjére kiterjed, amely legalább 50 munkavállalót foglalkoztat.[3]

Milyen jogsértések bejelentésére vonatkozhat a rendszer?

Az irányelv közös minimumszabályokat állapít meg a meghatározott területeken meghozott uniós szabályok megsértését bejelentő személyek védelme érdekében. Ilyen területek például:

  • közbeszerzés[4];
  • pénzügyi szolgáltatások, termékek és piacok, valamint a pénzmosás és a terrorizmusfinanszírozás megelőzése;
  • termékbiztonság és termékmegfelelőség[5];
  • közlekedésbiztonság[6];
  • fogyasztóvédelem[7];
  • a magánélet és a személyes adatok védelme, valamint a hálózati és információs rendszerek biztonsága.

Ez utóbbi területhez tartozik az általános adatvédelmi rendelet, a GDPR követelményeinek megsértése is. Így aztán nemcsak a visszaélés-bejelentő rendszerek jelentősége fog megemelkedni a magánszervezetek számára, hanem az adatvédelmi követelmények betartása is. Ebből adódóan még nagyobb jelentőséggel bír az, hogy egy ilyen, érzékeny adatok kezelésével járó és jelentős jogkövetkezményeket – akár büntető eljárás megindítását, munkajogi intézkedést – maga után vonó eljárás az adatvédelmi követelményeknek is megfelelő módon kerüljön kiépítésre.

Milyen főbb adatvédelmi szempontok merülhetnek fel?

  1. Jogszerű adatkezelés biztosítása:

Első körben szükséges annak biztosítása, hogy a begyűjtött adatok kezelésére, felhasználására megfelelő – a GDPR 6. cikke szerinti - jogalap (jogi kötelezettség vagy jogos érdek) legyen. Amennyiben különleges adatok kezelése is felmerülhet, szükséges valamilyen, az ilyen adatok kezelésének tilalma alóli kivétel alátámasztása (GDPR 9. cikk).

Amennyiben az adatkezelés jogalapjául a szervezet a jogos érdekét jelöli meg, akkor szükséges az ennek a meglétét alátámasztó érdekmérlegelési teszt elkészítése is.

  1. Részletes tájékoztató a bejelentő és érintett számára:

Mind a GDPR, mind a magyar jogszabályi rendelkezések alapján részletes tájékoztatást szükséges adni a bejelentési rendszerrel kapcsolatos adatkezelésekről mindazoknak, akiket érint az eljárás, ideértve a bejelentő, valamint a bejelentéssel érintett személyt is. A NAIH gyakorlata alapján olyan tájékoztatás fogadható el, amely megfelelő részletességgel és pontossággal összefoglalja az eljárási szabályokat és a bejelentési rendszer működését is. A visszaélés-bejelentési rendszerrel összefüggő tájékoztató(ka)t pedig a munkáltatónak a saját, nyilvános, bárki számára elérhető honlapján kell nyilvánosságra hoznia.

Emellett a bejelentésben érintett személyt is részletesen kell tájékoztatni a vizsgálat megkezdésekor a rá vonatkozó bejelentésről, az őt megillető jogairól, valamint az adatai kezelésére vonatkozó szabályokról.

  1. Bejelentő rendszer működésére, működtetésére vonatkozó szabályzat:

Tekintettel arra, hogy a bejelentő rendszer igen érzékeny adatkezelésnek minősül, javasolt az eljárás lefolytatására vonatkozó, adatok biztonságát szolgáló szabályok szabályzatba foglalása. Így különösen javasolt az adatok gyűjtésére, tárolására, hozzáférők körének meghatározására, adatok továbbítására, törlésére vonatkozó szabályok, biztonsági követelmények írásba foglalása.  

  1. Bejelentés kiszervezése esetén adatkezelői, adatfeldolgozói szerződés:

Amennyiben a visszaélés-bejelentő rendszer működtetését, a bejelentés kivizsgálását, a bejelentő támogatását egy külsős szervezet végzi el, akkor az ő esetükben, szerepüktől függően szükségessé válhat megfelelő adatkezelői, illetőleg adatfeldolgozói szerződés megkötése.

  1. EU-n kívüli adattovábbítás:

Amennyiben a bejelentő rendszer által gyűjtött adatok az Európai Unió területén kívülre kerülnek továbbításra, ideértve a hozzáférés esetét is, szükséges a GDPR V. fejezete szerinti valamely plusz garancia – például Bizottság megfelelőségi határozata, általános adatvédelmi kikötések – biztosítása is.

Amennyiben visszaélés-bejelentő rendszerének adatvédelmi megfelelőségében, vagy az azzal kapcsolatos adatvédelmi dokumentumok elkészítésében szeretne szakmai támogatást kérni, keresse bizalommal az ABT Treuhand Csoport adatvédelmi szakértőit.

A visszaélés-bejelentő rendszerek szervezetek számára nyújtott értékéről nézze meg egy korábbi írásunkat.

Arról, hogy hogyan tervezzünk meg és építsünk ki egy visszaélés-bejelentő rendszert nézze meg egy másik korábbi írásunkat.

[1] Európai Parlament és a Tanács (EU) 2019/1937 irányelv 26. cikk

[2] 8. cikk (1) bekezdés

[3] 8. cikk (4) bekezdése kimondja, hogy ez küszöbérték nem alkalmazandó a melléklet I.B. és II. részében említett uniós jogi aktusok hatálya alá tartozó jogalanyokra, mint például pénzügyi szolgáltatások, termékek és piacok, valamint a pénzmosás és a terrorizmusfinanszírozás megelőzése, közlekedésbiztonság, környezetvédelem.

[4] Ide tartozik például a koncessziós szerződésekről szóló 2014/23/EU irányelv, a közbeszerzésről szóló 2014/24/EU irányelv

[5] Például az általános termékbiztonságról szóló 2001/95/EK irányelv, a piacfelügyeletről és a termékmegfelelőségről szóló 2019/1020 európai parlamenti és tanácsi rendelet

[6] A vasúti ágazatnak a vasútbiztonságról szóló, (EU) 2016/798 európai parlamenti és tanácsi irányelv, a veszélyes áruk szárazföldi szállításáról szóló, 2008/68/EK európai parlamenti és tanácsi irányelv

[7] Például a digitális tartalom szolgáltatására és digitális szolgáltatások nyújtására irányuló szerződések egyes vonatkozásairól szóló (EU) 2019/770 irányelv, az áruk adásvételére irányuló szerződések egyes vonatkozásairól szóló (EU) 2019/771 irányelv

Címkék: , , , ,

Megjelent: 2021. december 14. | Témakör: Adatvédelem JogAdatvédelem Jog

A fenti összefoglaló tájékoztatás és figyelemfelhívás céljából készült. Bármilyen ebből következő döntés előtt javasoljuk, hogy konzultáljon szakértőinkkel.

Az ABT Treuhand Csoport 2005 óta a NEXIA International tagja. A Nexia International a világ több mint 100 országában működő mintegy 320 független adótanácsadó és könyvvizsgáló cég szaktudását és tapasztalatát egyesítő, 1971 óta létező hálózat.

Adóváltozások 2022-ben
Adótervezési tippek egyéni vállalkozóknak 2022-re