Tipikus hibák a Compliance területén: a whistleblowing – I. rész
Számos kérdés merül fel a whistleblowing gyakorlati alkalmazásával kapcsolatban – ezt járja körül a cikk, jó példákat is bemutatva.
Releváns jogszabályok:
Míg pár éve még a whistleblowing intézmény értelmezése és gyakorlati haszna kapcsán is alig lehetett magyar nyelvű online szakirodalmat olvasni, fél évvel ezelőtt már a leginkább felkapott témák közé tartozott hazánkban is. Azóta azonban – többek között az itthon újdonságnak számító ESG szabályozásnak[1] is köszönhetően – háttérbe szorult kicsit és úgy tűnhet, hogy nem is igazán kell vele foglalkozni. Ennek ellenére mégsem szabad megfeledkeznünk róla: ez a whistleblowing, azaz a visszaélés-bejelentés.
Ahogyan a Vállalati compliance – Kényes kérdések 2.: speak-up és whistleblowing cikkben is említésre került, Magyarországon 2023. május 25. napján került kihirdetésre a vonatkozó uniós, ún. whistleblowing irányelv[2] átültetését szolgáló jogszabály, vagyis a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény (a továbbiakban röviden: Panasztv.). Az új törvény által megszabott felkészülési idő nem tekinthető kimondottan hosszúnak, hiszen a jogszabály rendelkezései a kihirdetését követő hatvanadik napon léptek hatályba, ugyanakkor a jogszabályi nem megfelelés jelenlegi potenciális jogkövetkezményei igencsak enyhék: a visszaélés-bejelentési rendszer tekintetében a foglalkoztatót (munkáltatót) terhelő kötelezettségek teljesítését a foglalkoztatás-felügyeleti hatóság ellenőrzi, amely – legalábbis egyelőre – a jogszabályi kötelezettségek megsértése esetén jogosult ugyan figyelmeztetéssel élni, de nem jogosult például bírságot kiszabni.[3]
Ennek ellenére érdemes áttekinteni a jelenlegi gyakorlatunkat és folyamatainkat, hiszen egy megfelelő és hatékony visszaélés-bejelentési, illetve bejelentővédelmi rendszer kialakítása és fenntartása nem pusztán a fentebb hivatkozott törvény rendelkezései alapján elvárt, hanem a jelenleg itthon felfutóban lévő ESG szempontrendszere alapján is egyre inkább növekvő jelentőséggel bír, nem beszélve arról, hogy a visszaélés-bejelentési rendszer adatvédelmi vonatkozásait illetően hatáskörrel rendelkező szerv a NAIH[4]. Fontos kiemelni, hogy jelen kétrészes mini-cikksorozatban nem az alanyi és tárgyi hatály klasszikus témáit igyekszem feldolgozni, hanem az ezek mögött megbúvó azon további kérdéseket szeretném a lehető legteljesebben körbejárni, amelyek a gyakorlatban a legtöbbször felmerülnek, illetve felmerülhetnek.
Legyen róla szabályzat vagy ne?
A vállalati életben, különösen a multinacionális cégeknél figyelhető meg, hogy tevékenységük minden, illetve bármely mozzanatát igyekeznek írásba foglalni, azaz: legyen róla valami, de lehetőleg szabályzat. Való igaz, a vállalati compliance egyik legfontosabb ismérve a megfelelő dokumentáltság az elszámoltathatóság és az átláthatóság jegyében, ugyanakkor semmi nem sorvasztja úgy a kreatív, ún. „out of the box” gondolkodásmódot, mint a számolatlan mennyiségű belső szabályzatok tömkelege. Első lépésként tehát arról kell dönteni, hogy írásba foglaljuk-e a visszaélés-bejelentési rendszerünk működéséről és igénybevételi lehetőségeiről szóló – akár már meglévő, akár még kialakulóban lévő – gyakorlatunkat.
A Panasztv. kifejezetten nem tartalmaz írásbeli szabályzat készítésére vonatkozó kötelezettséget. Ehelyett úgy fogalmaz, hogy a foglalkoztató (munkáltató) „(…) belső visszaélés-bejelentési rendszert hoz létre”[5], illetve a továbbiakban a jogszabály az abban foglalt anyagi és eljárási, valamint a személyes adatok kezelésére vonatkozó szabályok betartására hivatkozik. Egy helyen azonban mégis található kivétel, ugyanis az egyes állami szervek által létrehozott elkülönített visszaélés-bejelentési rendszer elnevezésű 7. cím alatt a törvény úgy fogalmaz, hogy az elkülönített visszaélés-bejelentési rendszer létrehozatalára köteles szervek háromévente felülvizsgálják vonatkozó eljárásaikat, és szükség esetén módosítják ezek belső szabályait.[6] Itt tehát a jogszabály ténylegesen tartalmaz egy kifejezett hivatkozást a belső szabályozásra, bár ez a kötelezettség csak a törvényben meghatározott állami szervek esetében jelenik meg.[7]
Ettől függetlenül bizonyos vállalatok számára kötelező jellegű is lehet az írásbeli forma, illetve egyes esetekben egyéb kötelezettségből is eredhet az írott szabályzat megléte[8], így ezt a kérdést management szinten érdemes eldönteni. Ha azonban még így sem tudnánk döntésre jutni, érdemes észben tartani, hogy a visszaélés-bejelentési rendszer adatkezelési részletszabályait is rendeznünk kell a GDPR előírásainak megfelelően, írásban.
Mit lehet egyáltalán bejelenteni?
Akár rendelkezünk vonatkozó írásbeli szabályzattal, akár nem, érdemes lehet megfontolni e rövid és egyszerűnek tűnő, ám rendkívül szerteágazó kérdés megfelelő és elsősorban gyakorlatias rendezését. Ugyan mind a whistleblowing irányelv, mind a Panasztv. cirkalmas meghatározással igyekszik rendezni a visszaélés-bejelentések tárgyi hatályát, a vállalati közegben célszerű lehet más megközelítést alkalmazni és érthetőbben fogalmazni.
Szinte magától értetődő, hogy egy általános definíció önmagában nem fog segítséget nyújtani a potenciális bejelentők számára, akkor, amikor a bejelentés megtételét mérlegelik, hiszen a jogszabályi fogalom megismétlésével adott esetben csak még nagyobb kétséget ébresztünk bennük. Ehelyett, az egyik legjobb megoldás az lehet, ha a Panasztv. általános fogalommeghatározását az alábbiak szerint konkrét példákkal egészítjük ki:
„A belső visszaélés-bejelentési rendszerben jogellenes vagy jogellenesnek vélt cselekményre vagy mulasztásra, illetve egyéb visszaélésre vonatkozó információt lehet bejelenti. Így például:
- meghamisított könyvelés
- könyvvizsgáló félrevezetése
- gazdasági erőfölénnyel való visszaélés (pl. veszteséget termelő beszállítói árak kikényszerítése, árdiszkrimináció stb.)
- vesztegetés elfogadása vagy felajánlása
- nem elfogadható mértékű üzleti kiadások, üzleti utazások, ajándékok
- üzleti titok megsértése (termelési terv, beszállítói, vevő- vagy ügyféllista illetéktelen személlyel való közlése stb.)
- munkahelyi erőszak
- munkahelyi zaklatás
- lopás, sikkasztás
- összeférhetetlenség.”
Amennyiben a fenti megoldást választjuk, egyrészt érdemes a felsorolásban kiemelt példákat a vállalati életben tapasztaltakhoz igazítani, másrészt azt is hangsúlyozni, hogy a felsorolt esetek csupán példálózó jellegűek. Természetesen a jogszabályi fogalmat sem kell feltétlenül használni, mivel elsődlegesen az a cél, hogy minél egyszerűbb és érthetőbb legyen a közlendő információ.
A bejelentés formája – szóban és/vagy írásban?
A fenti kérdésre adandó válasz korántsem (volt) annyira egyértelmű, mint amilyennek tűnik.
A whistleblowing irányelv egyrészt a preambulumában kimondja, hogy „a bejelentési csatornáknak lehetővé kell tenniük, hogy a személyek írásban tegyenek bejelentést, és hogy a bejelentéseket postai úton, tényleges panaszdoboz(ok)on vagy online – intranetes vagy internetes – platformon keresztül nyújtsák be, vagy szóban, telefonos forródróton vagy más hangüzenetküldő rendszer útján, vagy mindkét úton tegyenek bejelentést.”[9] Másrészt, az irányelv az érdemi rendelkezések között is rögzíti, hogy a bejelentési csatornáknak „a bejelentést írásban vagy szóban, vagy mindkét módon lehetővé kell tenniük.”[10] Mindebből tehát az következik, hogy – irányelv lévén – majd a nemzeti jogalkotó fogja véglegesen és egyértelműen eldönteni a bejelentési formákat az irányelvi szabályok nemzeti jogba történő átültetése során.
Az irányelv jelentette implementálási kötelezettség keretében megalkotott Panasztv. pedig a következőképpen fogalmaz: „A bejelentő a bejelentést írásban vagy szóban teheti meg.”[11] A jogszabály a „vagy” kötőszót használja, amivel tehát elfogadottnak tekintendő akár az írásbeli, akár a szóbeli bejelentési forma, de a Panasztv. kifejezetten nem követeli meg a két bejelentési mód párhuzamos jelenlétét. Ezt erősíti meg a törvény végső előterjesztői indokolása is, amely szerint „a belső visszaélés-bejelentési rendszereknek lehetővé kell tenniük, hogy a bejelentést írásban és szóban is meg lehessen tenni (ideértve a személyes találkozót is), de az Irányelv értelmében – feltéve, hogy a bejelentő személy személyazonosságának bizalmas jellege biztosított – az egyes foglalkoztatók maguk dönthetik el, hogy konkrétan milyen típusú belső visszaélés-bejelentési rendszereket hoznak létre (pl. postai út, tényleges panaszdobozok, online – intranetes vagy internetes – platformok, telefonos forródrót, stb.).”[12]
A fentiek ellenére – vagy éppen a fentiek miatt – gyakran felmerült, illetve felmerül itthon a kérdés, hogy az írásbeli bejelentési csatorna biztosítása elegendő-e, hiszen az amerikai gyakorlat már régóta ismeri a szinte non-stop üzemelő telefonos forródrót intézményét, nem beszélve arról, hogy az Európai Unióban is vannak olyan vállalatok, amelyek teljes körű bejelentési platformot és folyamat management-et biztosítanak szóban és írásban egyaránt. Nem csoda tehát, ha a témában kevésbé jártasként elbizonytalanodunk, de a hatályos jogszabályi rendelkezések alapján egyértelműen kijelenthető: elegendő az írásbeli VAGY a szóbeli csatorna biztosítása.
A cikksorozat következő részében a visszaélés-bejelentési rendszer tényleges elérhetőségét, a bejelentések sikeres megtételének visszaigazolását, valamint a Panasztv. által is tiltott „megtorlás” fogalmát igyekszünk körbejárni a mindennapi gyakorlat tükrében.
Források és megjegyzések:
[1] A fenntartható finanszírozás és az egységes vállalati felelősségvállalás ösztönzését szolgáló környezettudatos, társadalmi és szociális szempontokat is figyelembe vevő, vállalati társadalmi felelősségvállalás szabályairól és azzal összefüggő egyéb törvények módosításáról szóló 2023. évi CVIII. törvény.
[2] Az Európai Parlament és a Tanács (EU) 2019/1937 irányelve az uniós jog megsértését bejelentő személyek védelméről.
[3] Panasztv. 29. § (2) bekezdés.
[4] Nemzeti Adatvédelmi és Információszabadság Hatóság.
[5] Panasztv. 18. § (1) bekezdés: „Az a foglalkoztató, amely legalább 50 személyt foglalkoztatásra irányuló jogviszony keretében foglalkoztat, belső visszaélés-bejelentési rendszert hoz létre.”
[6] Panasztv. 37. §: „A 32. § (1) és (2) bekezdése szerinti szervek háromévente felülvizsgálják az elkülönített visszaélés-bejelentési rendszer működtetésére vonatkozó eljárásaikat, és szükség esetén módosítják ezek belső szabályait.”
[7] Az állami szervek meghatározását a Panasztv. 32. § (1) és (2) bekezdése tartalmazza.
[8] Pl. ISO szabvány előírás, RBA követelmény, vagy akár cégcsoporti szintű magatartáskódex rendelkezése alapján.
[9] Whistleblowing irányelv (53) preambulumbekezdése.
[10] Whistleblowing irányelv 9. cikk (2) bekezdése.
[11] Panasztv. 21. § (1) bekezdés.
[12] A panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény végső előterjesztői indokolása, részletes indokolás a 21. §-hoz.