A visszaélés bejelentés új európai szabályozása

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2019/1937 IRÁNYELVE (2019. október 23.) az uniós jog megsértését bejelentő személyek védelméről

Az EU Tanácsa elfogadta a visszaélést bejelentő személyekre vonatkozó új szabályokat, amelyek értelmében mind a szervezeteken belül (a köz- és magánszervezetekben egyaránt), mind pedig a hatóságok felé ki kell alakítani a biztonságos bejelentési csatornákat. Az irányelv egyúttal magas szintű védelmet biztosít majd a visszaélést bejelentők számára a megtorlással szemben is, és kötelezi a nemzeti hatóságokat a polgárok megfelelő tájékoztatására, valamint arra, hogy képezzenek ki tisztviselőket a visszaélések bejelentésével kapcsolatos helyzetek kezelésére.

Az irányelv közös minimumszabályokat állapít meg az uniós jog alább felsorolt megsértését (többek között a magánélet és a személyes adatok védelmének területén) bejelentő személyek védelme érdekében. A tagállamoknak törvényi, rendeleti és közigazgatási rendelkezéseket kell hozniuk, amelyek szükségesek ahhoz, hogy ezen irányelvnek megfeleljenek. Az irányelv értelmében belső és külső bejelentési csatornákat kell létrehozni, illetve biztosítani a kialakítást.

Belső bejelentési csatornák létrehozásának, és eljárások kialakításának biztosítása, bejelentések nyomon követésre magánszektorban és közszférában:

• magánszektorban működő, legalább 50 munkavállalót foglalkoztató jogalanyok (ez a küszöbérték bizonyos esetekben nem alkalmazandó, illetve bizonyos esetben a tagállamok ettől eltérhetnek,
• közszférában belső bejelentési csatornák létrehozására vonatkozó kötelezettség alól mentesíthetik a 10 000 főnél kevesebb lakosú önkormányzatokat vagy 50-nél kevesebb munkavállalót foglalkoztató önkormányzati szerveket, illetve más, 50-nél kevesebb munkavállalót foglalkoztató, e jogalanyok tulajdonában vagy irányítása alatt álló valamennyi szervezeteket.

Külső bejelentési csatornák létrehozására és a bejelentések nyomon követésre: a tagállamok kijelölik a bejelentések fogadására, visszajelzés adására vagy a bejelentések nyomon követésére illetékes hatóságokat, és megfelelő erőforrásokat bocsátanak a rendelkezésükre.

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2019/1937 IRÁNYELVE (2019. október 23.) az uniós jog megsértését bejelentő személyek védelméről (kiemelések)

Az irányelv szövege elérhető a https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32019L1937 oldalon.

Átültetés és átmeneti időszak a 26. cikk alapján

A tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek 2021. december 17-ig megfeleljenek.

A legalább 50, de legfeljebb 249 munkavállalót foglalkoztató, magánszektorban működő jogalanyok tekintetében a tagállamok 2023. december 17-ig hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy megfeleljenek a belső bejelentési csatornák létrehozására vonatkozó, a 8. cikk (3) bekezdése szerinti kötelezettségnek.

Tárgyi hatály a 2. cikk (1) bekezdés alapján

Az irányelv közös minimumszabályokat állapít meg az uniós jog alábbi megsértését bejelentő személyek védelme érdekében:

a) a mellékletben felsorolt uniós jogi aktusok hatálya alá tartozó jogsértések a következő területeken:

i. közbeszerzés;

ii. pénzügyi szolgáltatások, termékek és piacok, valamint a pénzmosás és a terrorizmusfinanszírozás megelőzése;

iii. termékbiztonság és termékmegfelelőség;

iv. közlekedésbiztonság;

v. környezetvédelem;

vi. sugárvédelem és nukleáris biztonság;

vii. élelmiszer- és takarmánybiztonság, valamint állategészségügy és állatjólét;

viii. közegészségügy;            

ix. fogyasztóvédelem;

x. a magánélet és a személyes adatok védelme, valamint a hálózati és információs rendszerek biztonsága;

b) az EUMSZ 325. cikkében említett, az Unió pénzügyi érdekeit érintő és a vonatkozó uniós intézkedésekben részletesebben meghatározott jogsértések;

c) az EUMSZ 26. cikkének (2) bekezdésében említett belső piaccal kapcsolatos jogsértések – többek között a versenyre és az állami támogatásokra vonatkozó uniós szabályok megsértése –, továbbá a belső piaccal kapcsolatos olyan jogsértések, amelyek olyan cselekményekhez kapcsolódnak, amelyek sértik a társasági adóra vonatkozó szabályokat, vagy olyan konstrukciókhoz, amelyek célja a társasági adóra vonatkozó, alkalmazandó jogszabályok tárgyát vagy célját meghiúsító adóelőny szerzése.

Személyi hatály a 4. cikk (1) bekezdése alapján

Ezt az irányelvet minden olyan, a magánszektorban vagy a közszférában dolgozó bejelentő személyre alkalmazni kell, akinek munkavégzéssel összefüggésben jutott tudomására a jogsértésre vonatkozó információ (munkavállaló jogállású személyek, a köztisztviselőket is beleértve, önálló vállalkozó jogállású személyek, valamely vállalkozásban tulajdonosi részesedéssel rendelkezők, valamint a vállalkozás ügyviteli, ügyvezető, illetve felügyelő testületéhez tartozó személyek, ideértve a nem ügyvezető tagokat, továbbá az önkénteseket és a fizetett, illetve nem fizetett gyakornokokat is, a vállalkozók, alvállalkozók és beszállítók felügyelete és irányítása alatt dolgozó személyek)

Belső bejelentési csatornákon keresztüli bejelentés a 7. cikk (2) bekezdés

A tagállamoknak ösztönözniük kell a külső bejelentési csatornákon keresztüli bejelentést megelőzően a belső bejelentési csatornákon keresztüli bejelentést, amennyiben a jogsértés belső úton eredményesen kezelhető, és amennyiben a bejelentő személy úgy ítéli meg, hogy nem áll fenn a megtorlás kockázata.

A belső bejelentési csatornák létrehozására irányuló kötelezettség a 8. cikk alapján

A tagállamok biztosítják, hogy a magánszektorban és a közszférában működő jogalanyok bejelentési csatornákat és eljárásokat hozzanak létre a belső bejelentésre és a nyomon követésre. Ezt alkalmazni kell a magánszektorban működő, legalább 50 munkavállalót foglalkoztató jogalanyokra. Ez küszöbérték nem alkalmazandó a melléklet I.B. és II. részében említett uniós jogi aktusok hatálya alá tartozó jogalanyokra (pénzügyi szolgáltatások, termékek és piacok, valamint a pénzmosás és a terrorizmusfinanszírozás megelőzése, közlekedésbiztonság, környezetvédelem).

A bejelentési csatornákat egy belsőleg erre a célra kijelölt személy vagy szervezeti egység működtetheti, vagy pedig egy külső harmadik fél biztosíthatja. Az 50–249 munkavállalót foglalkoztató, magánszektorban működó jogalanyok a bejelentések fogadása és az elvégzendő kivizsgálások tekintetében megoszthatják erőforrásaikat.

A jogalanyok tevékenységeit és a különösen a környezetre és a közegészségügyre jelentett kapcsolódó kockázat szintjét figyelembe vevő megfelelő kockázatértékelést követően a tagállamok előírhatják a magánszektorban működő, 50-nél kevesebb munkavállalót foglalkoztató jogalanyok számára, hogy belső bejelentési csatornákat és eljárásokat hozzanak létre.

A tagállamok belső bejelentési csatornák létrehozására vonatkozó kötelezettség alól mentesíthetik a 10 000 főnél kevesebb lakosú önkormányzatokat vagy 50-nél kevesebb munkavállalót foglalkoztató önkormányzati szerveket, illetve más, 50-nél kevesebb munkavállalót foglalkoztató, e jogalanyok tulajdonában vagy irányítása alatt álló valamennyi szervezeteket.

A belső bejelentésre és a nyomon követésre vonatkozó eljárások a 9. cikk alapján

A bejelentést írásban vagy szóban, vagy mindkét módon lehetővé kell tenniük. A szóbeli bejelentést lehetővé kell tenni telefonon vagy más hangüzenetküldő rendszerek útján, valamint a bejelentő személy kérésére észszerű időn belüli személyes találkozó keretében is

Külső bejelentési csatornák létrehozására és a bejelentések nyomon követésre irányuló kötelezettség a 11. cikk alapján

A tagállamok kijelölik a bejelentések fogadására, visszajelzés adására vagy a bejelentések nyomon követésére illetékes hatóságokat, és megfelelő erőforrásokat bocsátanak a rendelkezésükre.

A személyes adatok kezelése a 17. cikk alapján

A személyes adatoknak az ezen irányelv szerinti kezelését – ideértve a személyes adatok illetékes hatóságok közötti cseréjét vagy továbbítását – az (EU) 2016/679 rendelettel, valamint az (EU) 2016/680 irányelvvel összhangban kell végezni. Az uniós intézmények, szervek, hivatalok vagy ügynökségek általi információcserét vagy információtovábbítást az (EU) 2018/1725 rendelettel összhangban kell végrehajtani. Nem gyűjthetők azok a személyes adatok, amelyek nyilvánvalóan nem relevánsak egy adott bejelentés kezelése szempontjából, és ha véletlenül ilyen adatok gyűjtésére kerül sor, azokat haladéktalanul törölni kell.

A bejelentések nyilvántartása a 18. cikk alapján

A tagállamok biztosítják, hogy a magánszektorban és a közszférában működő jogalanyok, valamint az illetékes hatóságok minden beérkezett bejelentésről nyilvántartást vezessenek, tiszteletben tartva a 16. cikkben előírt titoktartási követelményeket. A bejelentések legfeljebb addig tárolhatók, amíg az szükséges és arányos az ezen irányelv által előírt követelményeknek, valamint az uniós vagy nemzeti jog által előírt más követelményeknek való megfelelés érdekében.

Amennyiben a bejelentő személy hozzájárulását igénylő, rögzített telefonvonalat vagy egyéb rögzített hangüzenetküldő rendszert használnak a bejelentésekhez, az illetékes hatóságoknak, valamint a magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak jogukban áll a szóbeli bejelentést az alábbi módok valamelyikén dokumentálni:

a) a beszélgetés rögzítése tartós és visszakereshető formában; vagy

b) a beszélgetés teljes és pontos átirata, amelyet a bejelentés kezeléséért felelős munkatársak készítenek.

A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell a bejelentő személy számára annak lehetőségét, hogy ellenőrizze, helyesbítse és aláírásával elfogadja a hívásról készített átiratot.

Amennyiben nem rögzített telefonvonalat vagy egyéb nem rögzített hangüzenetküldő rendszert használnak a bejelentésekhez, a magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak jogukban áll, hogy a szóbeli bejelentést a bejelentések kezeléséért felelős munkatársak által a beszélgetésről készített írásbeli, pontos jegyzőkönyv formájában dokumentálják.

A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell a bejelentő személy számára annak lehetőségét, hogy ellenőrizze, helyesbítse és aláírásával elfogadja a beszélgetésről készített jegyzőkönyvet.

Amennyiben valaki a bejelentés céljából személyes találkozót kér a magánszektorban és a közszférában működő jogalanyok és az illetékes hatóságok munkatársaival, a magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell, hogy – a bejelentő személy hozzájárulásának függvényében – a találkozóról készült teljes és pontos feljegyzést időtálló és visszakereshető formában tárolják. A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak jogukban áll, hogy az alábbi módok valamelyikén dokumentálják a találkozót:

a) a beszélgetés rögzítése időtálló és visszakereshető formában;

b) a bejelentés kezeléséért felelős munkatársak által a találkozóról készített pontos jegyzőkönyv.

A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell a bejelentő személy számára annak lehetőségét, hogy ellenőrizze, helyesbítse és aláírásával elfogadja a találkozóról készített jegyzőkönyvet.

A magánélet és a személyes adatok védelme, valamint a hálózati és információs rendszerek biztonsága vonatkozásában a következő uniós jogi aktusok hatálya alá tartozó jogsértésekre vonatkozik az irányelv:

1. Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (elektronikus hírközlési adatvédelmi irányelv);
2. ii. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet);
3. iii. Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.