12 April 2023
Hungary has adopted the EU's whistleblower directive, which imposes new obligations on all companies with more than 50 employees. Privacy experts from the Budapest office summarised the key facts about the new obligations and showed how a well-designed whistleblowing system can be an advantage.
This article is available in Hungarian.
A tegnapi napon az országgyűlés elfogadta a panaszokról, közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő törvényt, amely új kötelezettségeket ró valamennyi 50 főnél több munkavállalót foglalkoztató cégre. A Taylor Wessing nemzetközi ügyvédi iroda szakértői összefoglalták az új kötelezettséggel kapcsolatos legfontosabb tudnivalókat és bemutatták, hogy miként válhat előnnyé egy jól kialakított whistleblowing-rendszer.
A visszaélés-bejelentő (whistleblower) rendszer sokunk számára már ismerős kifejezés lehet, aminek hallatán jellemzően egy olyan telefonvonalra vagy internetes felületre gondolunk, ahol egy társaság vagy állami intézmény munkavállalói vagy akár külső szerződéses partnerei az általuk munkavégzésük során észlelt szabálytalanságokat, visszaéléseket egy olyan védett felületen keresztül tudják bejelenteni, kezdeményezve a visszaélés kivizsgálását, amely megfelelő garanciákat nyújt a bejelentő számára az esetleges későbbi megtorlással szembeni védelemre.
„Az Európai Unió még 2019-ben fogadta el a bejelentő személyek védelméről szóló irányelvet, pontosan amiatt, hogy a visszaélésekről sokszor első kézben értesülő személyek bátran fel merjék tárni az általuk tapasztalt visszaéléseket. Az intézmény szükségességére, olyan korábbi botrányok hívták fel a sürgető figyelmet, mint a Cambridge Analytica vagy a Luxleaks botrány” – ismerteti a jogintézmény előzményeit Dr. Kopasz János, a Taylor Wessing Budapest ügyvédje.
Az irányelv által meghatározott minimumszabályok három lépcsős bejelentési csatorna létrehozását irányozzák elő. Ennek első lépcsője képezi vizsgálatunk középpontját, hiszen az ún. belső bejelentési csatorna az, amely kialakítására valamennyi legalább 50 munkavállalót alkalmazó társaság köteles lesz és amelynek megfelelő kialakítása nemcsak a jogszabályi kötelezettségeknek történő megfelelés szempontjából lesz kulcsfontosságú, hanem abból a szempontból is, hogy a kialakított rendszer valóban képes-e hatékonyan kezelni a megtett bejelentéseket, elkerülve ezáltal, hogy a bejelentő adott esetben közvetlenül a második vagy akár a harmadik lépcsőt alkalmazva, közvetlenül a kijelölt nemzeti hatóságok egyikéhez forduljon vagy adott esetben egyenesen a nyilvánossághoz, amelyek jelentős anyagi és reputációs veszteségekhez vezethet a bejelentésben érintett társaság vonatkozásában.
Nemzetközi felmérések kimutatták, hogy a vállalkozások éves árbevételük mintegy 5%-át veszítik el különböző foglalkozás körében elkövetett csalások következtében. Ezen visszaélések ráadásul egy hatékony visszaélés-bejelentési rendszer segítségével átlagosan fél évvel korábban feltárhatóak szemben a szabályozás alá nem eső és bejelentési rendszert nem üzemeltető vállalkozásokkal.
A magyar cégeknek a bejelentővédelmi rendszer kiépítését illetően választási lehetőségük már nincs, annak kiépítése kötelezővé vált. Míg az 50 és 249 fő közötti munkavállalói létszámmal rendelkező cégeknek csak 2023. december 17-ig kell legkésőbb a rendszert kialakítaniuk, addig a 250 fő létszámot meghaladó cégeknél a feladat ennél sürgetőbb, hiszen a törvény kihirdetését követő 60. napon már rendelkezniük kell a működő rendszerrel. A rendszer kialakítása magától értetődően kiterjedt feladatokkal járhat, különösen, ha a rendszerrel szemben megkövetelt szigorú és rövid határidőket (7 napon belül visszaigazolás küldendő a bejelentés kézhezvételéről, főszabály szerint 30 napon belül kivizsgálandó a bejelentés, amelynek eredményéről tájékoztatni szükséges a bejelentőt) alkalmazó visszajelzési és válaszolási kötelezettségeket, vagy a rendszer működésének bizalmasságát és teljeskörű GDPR megfelelősségét vesszük figyelembe, azok valamennyi szervezési és technikai intézkedéseket takaró részletes kötelezettségeivel. A rendszer üzemeltetésére kijelölhetünk szervezeten belül elkülönült és e pozíciójában pártatlan belső tisztségviselőt vagy osztályt, de akár külső szervezetet vagy bejelentővédelmi ügyvédet is megbízhatunk a feladat ellátásával. Fontos, hogy még utóbbi esetben is nélkülözhetetlen a megfelelő belső szabályzatok, eljárásrendek kialakítása, bevezetése, a rendszer előzetes tesztelése, adatvédelmi követelmények GDPR szerinti biztosítása, amely külön-külön is időigényes feladatokat képezhetnek.
Azok a cégek sem dőlhetnek azonban hátra, akik már eleve rendelkeznek nemzetközi tulajdonosi hátterüknek köszönhetően valamilyen bejelentővédelmi rendszerrel. Egyrészről az Európai Bizottság közleményeiben kifejezésre juttatta, hogy bár az irányelv és annak magyar átültetése is lehetővé teszi, hogy az 50- 249 személyt foglalkoztató társaságok közös bejelentővédelmi rendszert üzemeltessenek, ez nem értelmezhető úgy, hogy kizárólag egy a cégcsoport központi szintjén üzemeltetett csatorna megfelelő megoldás minősülne. Másrészről a meglévő bejelentővédelmi rendszerek biztosan pontosítást fognak igényelni az elfogadott új magyar törvény alapján. Ennek oka, hogy a bejelentővédelmi rendszer régóta bevett kötelezettség különösen az amerikai gyökerű Sarbanes-Oxley törvény (SOX) hatálya alá eső amerikai tőzsdén jegyzett társaságoknál és azok leányvállalatainál. Továbbá EU-n belül is jó pár olyan ország van, amely nemzeti joga alapján már korábban is megkövetelte a bejelentővédelmi rendszer működtetését, illetve saját kezdeményezésre önszabályozás alapján is bevezethettek nemzetközi vállalatcsoportuk valamennyi leányvállalatukra kiterjedően bejelentésvédelmi rendszereket.
„Az amerikai eredetű bejelentővédelmi rendszerek szabályozása egyértelműen más jogszabályi alapokon és garanciális követelményeken nyugszik, mint az európai megfelelője. És tekintve, hogy az irányelv is csak egy kötelező minimumot állapítja meg a tagállamok számára, így még az egyes EU-s tagállamok bejelentővédelmi rendszere is különbözhet. Ennélfogva külön feladat lesz valamennyi multinacionális vállalatnak, hogy olyan helyi rendszert alakítson ki, amely összegségben kompatibilis lehet a központi rendszerükkel. Másképp fogalmazva, még a működő bejelentővédelmi csatornákat alkalmazó társaságoknak is mindenképpen igazítaniuk kell a meglévő gyakorlatukon a helyi megfelelés érdekében” – hívja fel a figyelmet Dr. Kopasz János.
És ha már tagállami sajátosságokat említettük, tekintsük át a magyar verzió néhány további jellegzetességét az irányelvi minimumkövetelményekhez képest:
„A bejelentővédelmi rendszer kialakítása tehát körültekintő folyamatot fog igényelni valamennyi 50 fő feletti cég esetében, az 250 főt meghaladó cégeknél pedig a jelentősen rövidebb implementálási idő is nehezítheti a folyamatot. Ezen kezdeti kialakítással összefüggő nehézségek ellenére nem szabad azonban elfelejteni, hogy az általános közérdeken túl, olyan kockázatok felderítésére lesznek alkalmasak a kialakított vállalati bejelentővédelmi rendszerek, amelyek jelentős és hatékony eszközül szolgálhatnak a pénzügyi és reputációs veszteségek elkerülésére. A vállalati kultúrába illeszkedő, transzparenciát előmozdító, olyan intézményről beszélünk, amely egyszerű jogszabályi megfelelésen túl egyúttal a vállalati felelősségvállalás (CSR) és az ESG fogalmi rendszerébe illeszkedő etikus és fenntartható vállalati működést is elősegíti” – zárja gondolatait Dr. Kopasz János, a Taylor Wessing Budapest ügyvédje.
Available in Hungarian