Visszaélés-bejelentési rendszer és a személyes adatok védelme a munkahelyen


Az uniós jog megsértését bejelentő személyek védelméről szóló 2019/1937/EU irányelv (a továbbiakban: Irányelv) a korrupció elleni küzdelem jegyében született olyan norma, amely a munkavégzés során tapasztalt visszásságok, erkölcsileg kifogásolható magatartások, jogellenes cselekedetek bejelentésének menetét, valamint a bejelentők védelmét szabályozza. A visszaélések bejelentése számos kérdést vethet fel a személyes adatok kezelése és védelme kapcsán is, hiszen a munkavégzéshez közvetlenül nem kapcsolódó és adott esetben kifejezetten érzékeny adatok juthatnak így a munkáltató tudomására.

A visszaélések bejelentése során a bejelentő számos személyes adatot oszt meg magáról, a jogsértést elkövető vagy egyéb módon érintett személy(ek)ről, kollégáiról. Éppen ezért a visszaélés-bejelentési rendszer kialakítása során a szervezeteknek kiemelt figyelmet kell fordítaniuk az adatvédelmi szabályok betartására, különös tekintettel arra, hogy a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (a továbbiakban: GDPR) való megfelelés elmulasztása magas bírságot vonhat maga után.

Az Irányelv 17. cikke kifejezetten felhívja a figyelmet arra, hogy ha a visszaélés-bejelentés során személyes adatok kezelésére kerül sor, akkor annak a GDPR szabályaival összhangban kell történnie, így nem gyűjthetők azok a személyes adatok, amelyek nyilvánvalóan nem relevánsak egy adott bejelentés kezelése szempontjából, és ha véletlenül ilyen adatok gyűjtésére kerül sor, azokat haladéktalanul törölni kell.

A GDPR szabályaival összhangban működő visszaélés-bejelentési rendszer az adatvédelmi alapelveket figyelembevéve olyan módon épül fel, hogy az megfelel a GDPR 5. cikkében meghatározott elveknek, így különösen a célhoz kötött adatkezelés és korlátozott tárolhatóság elvének. Ez azt jelenti, hogy csak azon információk kezelésére kerül sor, amelyek a legrelevánsabbak a bejelentett jogsértés kivizsgálása kapcsán és csak addig, amíg arra ténylegesen szüksége van a szervezetnek. Ebben a körben érdemes egy konkrét időtartamot meghatározni és ha ez lejárt, akkor gondoskodni kell az adatok törléséről, megsemmisítéséről. Amennyiben pedig a szervezet külső szolgáltató segítségét veszi igénybe a bejelentési rendszer működtetése során, akkor vele olyan megállapodást kell kötnie, ami garantálja az adatvédelmi szabályoknak való megfelelést, ideértve azokat az alapvető technikai és szervezeti intézkedéseket is, amelyek a beépített és alapértelemezett adatvédelem érvényesülését szavatolják.

A bejelentő személyének védelme kapcsán az Irányelv minimumkövetelményeket fogalmaz meg, így például a megtorlás tilalmát is deklarálja. A megtorlás tilalma alapján a bejelentést tevő személlyel szemben a bejelentésére tekintettel nem lehet olyan intézkedést alkalmazni, amelynek egyértelmű célja a „bosszú”, ilyen például a felmondás, határozatlan idejű munkaviszony határozottá módosítása vagy a negatív teljesítményértékelés adása (Irányelv 19. cikk).

A bejelentő védelmét szolgálja az anonimitás is, vagyis, hogy a bejelentő a személyazonosságának felfedése nélkül tehet bejelentést, azonban az Irányelv alapján a tagállamok a részletszabályok meghatározásakor úgyis dönthetnek, hogy a jogsértések névtelen bejelentését nem fogadják el. Az anonimitás ezen formája természetesen nem vonatkozik a titoktartási kötelezettségre, vagyis, hogy a személyazonosságát felfedő bejelentőt a bejelentési rendszer védje, tehát, hogy kifejezett hozzájárulása nélkül az adott szervezeten belül ne hozzák nyilvánosságra nevét és olyan biztonságos csatorna álljon rendelkezésre, amihez illetéktelen személyek nem férhetnek hozzá [Irányelv 16. cikk (1) bekezdés]. Ez esetben persze konkuráló érdekek is felmerülhetnek, hiszen a bejelentett személynek joga van a bejelentés tartalmát megismerni, mivel az gyakorlatilag rá vonatkozó személyes adatokat tartalmaz és a GDPR-ban foglalt jogait, jelen esetben az adatokhoz való hozzáférési jogát ő is gyakorolhatja. Ez elméletben azt is eredményezheti, hogy a jogsértő megismeri a bejelentő adatait, ez azonban nem előnyös, hiszen visszavetheti a rendszer hatékonyságát. Ha az érintett személy számára a bejelentéshez való hozzáférést biztosítani kell, akkor azt lehetőleg olyan módon kell megoldani, hogy a bejelentő vagy egyéb személy az adatai alapján ne legyen azonosítható.

A visszaélés-bejelentési rendszer kapcsán megvalósuló adatkezelésről, az érintettek jogairól és védelméről a GDPR 13. cikkének megfelelően előzetesen tájékoztatni kell a munkavállalókat.

Magyarországon még nem történt meg az irányelvnek megfelelő részletszabályozás kialakítása, azonban addig is érdemes az érintett szervezeteknek elkezdeniük a visszaélés-bejelentési rendszerek tervezését és kialakítását, ugyanis láthatóan összetett jogi követelményeknek kell megfelelni a bevezetéshez. Ahhoz pedig, hogy a visszaélés-bejelentési rendszer az általa megfogalmazott és kívánt célt elérje, a potenciális bejelentőknek át kell látniuk és ismerniük kell annak működését.



Kapcsolódó cikkek

2022. december 2.

Kutatás indul a kollektív szerződésekről

Hogyan szolgálhatná jobban a munkajog a kollektív tárgyalásokat? Egy online kérdőív kitöltésével most Ön is elmondhatja véleményét a kollektív szerződések jogi szabályozásáról.

2022. december 2.

Amikor a munkaviszony-megszüntetés módja nem egyértelmű

A nehezen értelmezhető helyzetekből kialakuló jogvitákban sok esetben hosszú és bonyodalmas bizonyítási kérdés, hogy valójában hogyan történt a munkaviszony megszüntetése. Az eset egyedi körülményei, a felek valódi szándékait, nyilatkozatait feltáró magatartásuk rekonstruálása alapján lehet csak döntést hozni. Néhány fontos tudnivalót azonban már kikristályosított a bírói gyakorlat.

2022. december 1.

Egyre nagyobb szerepet kaphatnak a megváltozott munkaképességűek a munkaerőpiacon

Hozzáadott értéket teremt és üzleti szempontból is előremutató, ha egy vállalat stratégiai szintre emeli a megváltozott munkaképességű (MMK) munkavállalók integrációját a szervezetbe – ez volt az egyik tanulsága a Budapesti Kereskedelmi és Iparkamara (BKIK) A megváltozott munkaképességű munkavállalók hatékony foglalkoztatása című konferenciájának. A kormányzat, a szakma és nagyvállalatok részvételével tartott eseményen az is kiderült, hogy a gazdasági szereplők nyitottságnak és a kormányzati ösztönzőknek köszönhetően 2010-hez képest 140%-kal több MMK munkavállaló talál munkát, miközben még akár 64-65 ezer ilyen típusú munkahely lehet a cégeknél.