Visszaélés-bejelentési rendszer és a személyes adatok védelme a munkahelyen

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az uniós jog megsértését bejelentő személyek védelméről szóló 2019/1937/EU irányelv (a továbbiakban: Irányelv) a korrupció elleni küzdelem jegyében született olyan norma, amely a munkavégzés során tapasztalt visszásságok, erkölcsileg kifogásolható magatartások, jogellenes cselekedetek bejelentésének menetét, valamint a bejelentők védelmét szabályozza. A visszaélések bejelentése számos kérdést vethet fel a személyes adatok kezelése és védelme kapcsán is, hiszen a munkavégzéshez közvetlenül nem kapcsolódó és adott esetben kifejezetten érzékeny adatok juthatnak így a munkáltató tudomására.

A visszaélések bejelentése során a bejelentő számos személyes adatot oszt meg magáról, a jogsértést elkövető vagy egyéb módon érintett személy(ek)ről, kollégáiról. Éppen ezért a visszaélés-bejelentési rendszer kialakítása során a szervezeteknek kiemelt figyelmet kell fordítaniuk az adatvédelmi szabályok betartására, különös tekintettel arra, hogy a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (a továbbiakban: GDPR) való megfelelés elmulasztása magas bírságot vonhat maga után.

Az Irányelv 17. cikke kifejezetten felhívja a figyelmet arra, hogy ha a visszaélés-bejelentés során személyes adatok kezelésére kerül sor, akkor annak a GDPR szabályaival összhangban kell történnie, így nem gyűjthetők azok a személyes adatok, amelyek nyilvánvalóan nem relevánsak egy adott bejelentés kezelése szempontjából, és ha véletlenül ilyen adatok gyűjtésére kerül sor, azokat haladéktalanul törölni kell.

A GDPR szabályaival összhangban működő visszaélés-bejelentési rendszer az adatvédelmi alapelveket figyelembevéve olyan módon épül fel, hogy az megfelel a GDPR 5. cikkében meghatározott elveknek, így különösen a célhoz kötött adatkezelés és korlátozott tárolhatóság elvének. Ez azt jelenti, hogy csak azon információk kezelésére kerül sor, amelyek a legrelevánsabbak a bejelentett jogsértés kivizsgálása kapcsán és csak addig, amíg arra ténylegesen szüksége van a szervezetnek. Ebben a körben érdemes egy konkrét időtartamot meghatározni és ha ez lejárt, akkor gondoskodni kell az adatok törléséről, megsemmisítéséről. Amennyiben pedig a szervezet külső szolgáltató segítségét veszi igénybe a bejelentési rendszer működtetése során, akkor vele olyan megállapodást kell kötnie, ami garantálja az adatvédelmi szabályoknak való megfelelést, ideértve azokat az alapvető technikai és szervezeti intézkedéseket is, amelyek a beépített és alapértelemezett adatvédelem érvényesülését szavatolják.

A bejelentő személyének védelme kapcsán az Irányelv minimumkövetelményeket fogalmaz meg, így például a megtorlás tilalmát is deklarálja. A megtorlás tilalma alapján a bejelentést tevő személlyel szemben a bejelentésére tekintettel nem lehet olyan intézkedést alkalmazni, amelynek egyértelmű célja a „bosszú”, ilyen például a felmondás, határozatlan idejű munkaviszony határozottá módosítása vagy a negatív teljesítményértékelés adása (Irányelv 19. cikk).

A bejelentő védelmét szolgálja az anonimitás is, vagyis, hogy a bejelentő a személyazonosságának felfedése nélkül tehet bejelentést, azonban az Irányelv alapján a tagállamok a részletszabályok meghatározásakor úgyis dönthetnek, hogy a jogsértések névtelen bejelentését nem fogadják el. Az anonimitás ezen formája természetesen nem vonatkozik a titoktartási kötelezettségre, vagyis, hogy a személyazonosságát felfedő bejelentőt a bejelentési rendszer védje, tehát, hogy kifejezett hozzájárulása nélkül az adott szervezeten belül ne hozzák nyilvánosságra nevét és olyan biztonságos csatorna álljon rendelkezésre, amihez illetéktelen személyek nem férhetnek hozzá [Irányelv 16. cikk (1) bekezdés]. Ez esetben persze konkuráló érdekek is felmerülhetnek, hiszen a bejelentett személynek joga van a bejelentés tartalmát megismerni, mivel az gyakorlatilag rá vonatkozó személyes adatokat tartalmaz és a GDPR-ban foglalt jogait, jelen esetben az adatokhoz való hozzáférési jogát ő is gyakorolhatja. Ez elméletben azt is eredményezheti, hogy a jogsértő megismeri a bejelentő adatait, ez azonban nem előnyös, hiszen visszavetheti a rendszer hatékonyságát. Ha az érintett személy számára a bejelentéshez való hozzáférést biztosítani kell, akkor azt lehetőleg olyan módon kell megoldani, hogy a bejelentő vagy egyéb személy az adatai alapján ne legyen azonosítható.

A visszaélés-bejelentési rendszer kapcsán megvalósuló adatkezelésről, az érintettek jogairól és védelméről a GDPR 13. cikkének megfelelően előzetesen tájékoztatni kell a munkavállalókat.

Magyarországon még nem történt meg az irányelvnek megfelelő részletszabályozás kialakítása, azonban addig is érdemes az érintett szervezeteknek elkezdeniük a visszaélés-bejelentési rendszerek tervezését és kialakítását, ugyanis láthatóan összetett jogi követelményeknek kell megfelelni a bevezetéshez. Ahhoz pedig, hogy a visszaélés-bejelentési rendszer az általa megfogalmazott és kívánt célt elérje, a potenciális bejelentőknek át kell látniuk és ismerniük kell annak működését.

---