A következő hónapok jogi slágertémája borítékolhatóan a visszaélés-bejelentés lesz, hiszen 2021. december 17. napjától az uniós jog megsértését bejelentő személyek védelméről szóló 2019/1937. számú irányelvnek (továbbiakban: Irányelv) köszönhetően valamennyi tagállamban kötelező lesz két lépcsőben a legalább 50 alkalmazottat foglalkoztató szervezeteknek visszaélés-bejelentési rendszert kialakítaniuk és működtetniük.
Legutóbb talán a GDPR volt az az uniós jogszabály, amely hasonló mértékben érintett szervezeteket az egész Unió területén, így érthető is, hogy nagy az információéhség nemcsak a jogi, auditori szakma, hanem az érintett szervezetek részéről is. A szabályozás könnyebb megértése és átlátása érdekében a cikkben röviden összefoglalom a „whistleblowing”, mint intézmény kialakulását, bemutatom a visszaélés-bejelentések megtételére lehetőséget biztosító hatályos magyar szabályozást és az Irányelv sarokpontjait, illetve, hogy a jogszabályi kötelezettségek teljesítését hogyan segítheti az általunk fejlesztett visszaélés-bejelentő szoftver, a Whisly.
Whistleblowing története
A „whistleblow-whistleblowing” angol kifejezés a „whistle” és a „blow” szavak összeolvadásából jött létre, és magyarul leginkább visszaélés-bejelentésként vagy csalásbejelentésként fordítják. Eredetileg a whistle szó sípot, a blow pedig fújást jelent, a csalást bejelentő személyt pedig ez alapján „sípfújónak” nevezik angol nyelvterületen.
A mai modern visszaélés-bejelentéssel kapcsolatos szabályozások elődjének tekinthetők az ősi angolszász jogban megtalálható „qui tam” eljárások, melyek lényege, hogy amennyiben egy polgár jogsértésen kapott egy másik polgárt, „keresetet” indíthatott vele szemben az állam nevében a király és a saját javára. A legkorábbi ilyen eljárásról szóló írásos emlék 695-ből származik, és a shabbat-hoz kapcsolódik. A shabbat idején, azaz péntek naplementétől szombat naplementéig a zsidó vallás szerint tilos a munka. Az a személy, aki észlelte, hogy ezt a tilalmat valaki megszegi, jogosult volt a bejelentése alapján kiszabott bírság felére.
A whistleblowing jogintézménye az Egyesült Államokban tekint vissza a legnagyobb múltra, illetve még ma is elmondható, hogy itt van a legnagyobb hagyománya és gyakorlata annak, hogy akár hatósági, akár szervezeti szinten jelentsék a tapasztalt visszaéléseket. Mi sem igazolja jobban ezen jogintézmény fontosságát a tengerentúlon, minthogy a függetlenségük kiharcolását követően hamar szükségessé vált, hogy elfogadjanak egy jogszabályt, mely védte a bejelentőket a jogos bejelentések esetén a megtorlástól.
Az 1770-es évek végén történt ugyanis, hogy Samuel Shaw és Richard Marven tengerészek „feljelentették” a felettesüket, aki a szemük láttára kínzott meg brit katonákat. A jelentésnek köszönhetően azonnal eltanácsolták őket a tengerésztől, valamint büntetőeljárás is indult velük szemben, aminek következtében fogdában kellett várakozniuk az ítélet meghozatalára. A börtönből írt levelükben a Kongresszus segítségét kérték, amely ennek hatására 1778-ban el is fogadta az első visszaélés-bejelentőket védő jogszabályt.
Azóta a whistleblowing az Egyesült Államokban addig fejlődött, hogy az Értékpapír- és Tőzsdebizottságnál (SEC) például, ha valaki sikeresen és bizonyítékokkal alátámasztva jelent egy visszaélést, majd az ez alapján lefolytatott eljárásnak bírságolás lesz a vége, akkor a bírságösszeg meghatározott százalékára jogosulttá válik. A SEC több mint 1 milliárd dollárt fizetett már ki visszaélés-bejelentőknek.
Magyarországon és az Európai Unióban itt még nem tartunk, azonban szervezeti szinten is lehetővé válik az Irányelvnek köszönhetően a visszaélések bejelentése, bejelentés esetén pedig a bejelentő védelme is alapvető lesz.
Miért hasznos a visszaélések bejelentésének lehetővé tétele?
Azt lehet mondani, hogy nem nagyon találni olyan felmérést vagy tanulmányt, amelynek az eredménye mást mutatna, minthogy a szervezeteknek minden szempontból megéri visszaélés-bejelentési rendszert üzemeltetni és támogatni a bejelentőket. Egy hatékony visszaélés-bejelentési rendszer kialakítása és működtetése nem igényel különösebb erőforrásokat a szervezet részéről, azonban már egy, a bejelentések által feltárt visszaélés is komoly pénzügyi és morális haszonnal járhat.
Ha megpróbáljuk józan ésszel végiggondolni, hogy egyébként milyen hátrányos következményei lehetnek egy jól működő, a bejelentő személyazonosságát védő bejelentési rendszernek, akkor nem könnyű ilyet találni. Egy egészségesen működő szervezetben magán a visszaélést elkövető személyen túl talán senki nincs, akit hátrányosan érintene a rendszer üzemeltetése, a hasznát azonban mindenki érezheti.
Számos tanulmány született azzal kapcsolatban, hogy mik a bejelentők viselkedési szokásai, azonban ami az Irányelv kapcsán különösen beszédes lehet a szervezetek számára, az a külső és belső bejelentési csatornák használatával kapcsolatos arányok. Az Irányelv szóhasználatában a belső bejelentési csatornák azok, amelyek közvetlenül az érintett szervezethez vannak bekötve, míg a külső bejelentési csatornán keresztül közvetlenül a kijelölt állami hatósághoz lehet a visszaéléseket bejelenteni.
A belső visszaélés-bejelentési csatornák kialakítása fontosságát igazolja egy A. J. Brown által végzett kutatás, mely szerint az ausztrál bejelentők 90%-a elsődlegesen az érintett szervezetnek jelezné a visszaélést a belső csatornán keresztül (A. J. Brown (2008) Whistleblowing in the Australian Public Sector, ANU E Press). Még inkább a belső bejelentési csatornák kialakításának fontosságára hívja fel a figyelmet az angol NHS által 2015-ben készített felmérés is, mely 96,6%-ra teszi azoknak az arányát, akik a belső csatornát preferálják (Lewis, D., D’Angelo A., Clarke, L. (2015) The independent review into creating an open and honest reporting culture in the NHS, quantitative research report, Surveys of NHS staff, trusts and stakeholders).
A belső csatornák kialakítása azért is fontos, mert az Irányelv 23. cikke szerint a tagállamok hatékony, arányos és visszatartó erejű szankciókat kell, hogy az implementáció során beiktassanak. Viszonylag kevés országban van előrehaladott állapotban a kapcsolódó törvényalkotás, de Portugáliában például a tervezet szerint 1.000 és 25.000 euró közötti bírság számíthat az a szervezet, amely a jogszabályi kötelezés ellenére nem alakít ki visszaélés-bejelentési rendszert. Csehországban ezzel szemben akár 1 millió eurós bírsággal is járhat a visszaélés-bejelentési rendszer kialakítására vonatkozó kötelezettség elmulasztása.
A hatályos magyar szabályozás áttekintése
Jelenleg is több olyan magyar jogszabály van hatályban, mely lehetővé teszi vagy előírja a szervezetek meghatározott körének, hogy visszaélés-bejelentések fogadására szolgáló rendszert üzemeltessenek. Ezek a jogszabályok általában az Irányelvhez képest lényegesen szűkebb alanyi kört érintenek, tehát egyelőre nem mondható általánosnak, hogy az Irányelv által érintett szervezetekben a szükséges gyakorlat házon belül rendelkezésre állna. Általánosnak lesz tehát mondható, hogy az Irányelv által érintett szervezetek többségénél a rendszerek kialakításával és üzemeltetésével kapcsolatos szakértelem még teljes mértékben nem fog rendelkezésre állni. Ezen kívánunk segíteni azzal, hogy a Whisly a bejelentések fogadása és a vizsgálat során is mankóként szolgál a vizsgálatot végző személynek.
A hatályos jogszabályok alapján létrehozandó „belső kontrollrendszer” vagy „visszaélés-bejelentési rendszer” többet jelent pusztán annál, minthogy a szervezet lehetővé teszi a bejelentések megtételét egy visszaélés-bejelentési szoftveren keresztül. A kötelezett szervezeteknek olyan belső mechanizmusokat kell kialakítaniuk, melyek nemcsak lehetővé teszik a bejelentések megtételét, hanem amelyben pontosan meghatározzák a bejelentések fogadásának, kivizsgálásának módját, illetve a bejelentő személyazonosságának titokban tartásával kapcsolatos feladatokat és felelősségeket.
A panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény (a továbbiakban: Pkbtv.) bár nem teszi kötelezővé, a 14. § szerint lehetővé teszi bármely szervezet számára, hogy a jogszerű és prudens működése biztosítása érdekében visszaélés-bejelentési rendszert üzemeltessen, azzal, hogy amennyiben ilyen rendszert vezet be, akkor azt a jogszabályban írtak szerint kell üzemeltetnie. A Pkbtv. alapján bejelentés megtételére elsődlegesen a munkavállalók és a szervezettel szerződéses jogviszonyban állók jogosultak, azzal, hogy egyébként bárki tehet ilyet, akinek a bejelentés megtételhez vagy a bejelentés tárgyát képező magatartás orvoslásához vagy megszüntetéséhez méltányolható jogos érdeke fűződik.
A köztulajdonban álló gazdasági társaságok takarékosabb működéséről szóló 2009. évi CXXII. törvény (Gtbkr.) kötelezővé teszi a belső kontrollrendszer működtetését a köztulajdonú gazdasági társaságok bizonyos körének. A Gtbkr. és a 339/2019. (XII. 23.) Korm. rendelet alapján a szervezeti integritást sértő események és panaszok bejelentése és kezelése érdekében a szervezet vezetőjének bejelentőrendszert szükséges kialakítania és működtetnie.
A 26/2020. (VIII. 25.) MNB rendelet 38. § -a előírja, hogy többek között a hitelintézetek, pénzügyi szolgáltatók, foglalkoztatói nyugdíjszolgáltató intézmények, önkéntes kölcsönös biztosítópénztárak, bizalmi vagyonkezelők kötelesek visszaélés-bejelentési rendszer működtetni. Míg az előző jogszabályok elsődlegesen a munkavégzésre irányuló vagy alvállalkozói jogviszonyban lévők számára adnak lehetőséget a bejelentések megtételére, addig az MNB rendelet nem szűkíti a bejelentők lehetséges körét. Bárki jogosult bejelentést tenni, aki tudomással bír arról, hogy a szolgáltatónál a Pmt. rendelkezése megsértésre kerül vagy került.
Fenitek alapján látható tehát, hogy bár viszonylag szűk körben, de az Irányelvtől függetlenül jelenleg is több olyan magyar jogszabály van hatályban, melyek alapján meghatározott alanyi kör jogosult bejelenteni az által észlelt különböző visszaéléseket. Az ezen jogszabályok alapján fennálló kötelezettségeket az Irányelv implementációja általánosságban nem fogja érinteni, hiszen ezek tárgyi hatálya különböző.
Visszaélés-bejelentési irányelv
2019-ben az Európai Unió elfogadta a 2019/1937-es számú irányelvet, melyben megteremti a jogszabályi lehetőséget az egész Unió területén, hogy (viszonylag) azonos szabályok vonatkozzanak az uniós jog megsértését eredményező cselekmények bejelentésére. Az Irányelv amellett, hogy lehetőséget ad a visszaélések bejelentésére, alapvető kötelezettségként írja elő a bejelentés kivizsgálása során a bejelentő személyazonosságának védelmét, így tehát azt, hogy a bejelentés fogadása és kivizsgálása is bizalmasan történjen.
Az Irányelv alapján számtalan területen lehetőség van az uniós jogot érintő visszaélések bejelentésére, így például a személyes adatok kezelése, fogyasztóvédelem, közbeszerzések vagy a környezetvédelem kapcsán is. Az érintett jogterületek teljes köre, melyekre vonatkozóan bejelentést lehet tenni, olyan széles, hogy azok közül valamelyik kivétel nélkül szinte minden szervezetet érint. Az Irányelv implementációját követően tehát a korábbinál jóval szélesebb lesz az a szervezeti kör, amely köteles visszaélés-bejelentési rendszer üzemeltetni.
Az Irányelv alapján a munkavégzésre irányuló jogviszonyban foglalkoztatottak (tágan értelmezve) mellett többek között a volt munkavállalók, alvállalkozók és munkavállalóik, gyakornokok, tulajdonosok és további érintettek is jogosultak bejelentés megtételére.
A kötelezettségek bevezetése két ütemben történik. 2021. december 17. napjától köteles minden legalább 50 főt foglalkoztató önkormányzati és állami szervezet, a 10.000 főnél nagyobb önkormányzatok, valamint a legalább 250 főt foglalkoztató magánszektorban működő szervezetek visszaélés-bejelentési rendszert kiépíteni és működtetni. 2023. december 17. napjától minden legalább 50 főt foglalkoztató szervezetet érinteni fog a szabályozás, függetlenül a tulajdonosi szerkezetétől.
Az Irányelv azonban nem csak a fent felsorolt szervezetekre, hanem a kormányzatra is telepít az feladatokat, az implementáción túl is. Elvárás, hogy az érintett szervezetek által létrehozandó úgynevezett „belső bejelentési csatorna” mellett a tagállamoknak „külső bejelentési csatornát” is létre kell hozniuk. Ezt például akkor vehetik a bejelentők igénybe, ha az adott szervezetnél nem tudnak a belső csatornán bejelentést tenni vagy a bejelentésüket nem vizsgálják ki.
A visszaélés-bejelentési rendszer működtetését és a bejelentések kivizsgálását egy erre a célra kijelölt külsős vagy belsős személy vagy szervezeti egység kell, hogy végezze, akinek megvan a szükséges tapasztalata és tudása az ilyen jellegű belső ellenőrzések, vizsgálatok lefolytatásához. Ez már csak azért is lényeges, mert a bejelentéseket hét napon belül vissza kell igazolni, illetve a teljes vizsgálatot le kell folytatni három hónapon belül.
Miben segít egy visszaélés-bejelentési szoftver?
A Whisly-t azzal a céllal hoztuk létre, hogy a bejelentések szimpla fogadásán túl egy olyan rendszert kínáljunk, mely minden területen segíti a vizsgálatot végző személy munkáját. Különösen 2023-tól rengeteg olyan szervezetet fog érinteni a szabályozás, amelyben még nincs meg a bejelentéshez kapcsolódó belső vizsgálatok teljeskörű lefolytatásához szükséges tapasztalat és szaktudás. Nekik az alábbi egyedi funkciókkal kívánunk segítséget nyújtani a mindennapi munka során:
- Irányelvre optimalizált bejelentő felület: A Whislyben olyan minta bejelentő kérdéssorokat kínálunk, melyek biztosítják, hogy minden szükséges adat felvételre kerül a bejelentés során. Mivel lehet, hogy a bejelentést követően többet nem sikerül kommunikálni a whistleblowerrel, ezért alapvető fontosságú minden releváns adat felvétele a bejelentés során.
- Fejlett feladatkezelő: A Trello, Monday és hasonló szoftverek ihlette, a visszaélés-bejelentési szoftverek között egyedülálló feladatkezelő admin rendszer, melyben a bejelentések kivizsgálását segítendő, rögzítettünk egy minta vizsgálati tervet (workflow-t). A vizsgálat során az egyes feladatok saját felületen érhetők el, ahova felcsatolhatóak a kapcsolódó fájlok, e-mailek, de akár emlékeztető is beállítható.
- Automatizált iratminták: A rendszer üzemeltetését végzők támogatása érdekében a visszaélés-bejelentések vizsgálata során általában szükséges iratok mintája megtalálható a szoftverben, ráadásul a Whisly a bejelentésből kinyert és a feladatkezelőben rögzített adatokkal automatizáltan ki is tölti azokat, hogy ezzel is időt takarítson meg.
- Bizalmasság, GDPR: A Whisly egy zárt rendszert alkot, melyben a hozzáférési jogosultságok egyéni szinten kezelhetők, így biztosított a bejelentő személyazonosságának titkossága, továbbá a GDPR megfelelőség is biztosított az automatizált törlési idők beállíthatóságával.
Bár a szoftverre rengeteg szervezetnek az Irányelv miatt lesz szüksége, azonban a jelen cikkben taglalt valamennyi jogszabály alapján tett bejelentés fogadása és a vizsgálat adminisztrálása egy helyen megoldható vele bármilyen nyelven, teljes testreszabhatósággal.
A cikk szerzője dr. Lojek Levente, a Whisly visszaélés-bejelentési szoftver társalapítója
Neked is van egy érdekes témád, amit megosztanál az olvasóinkkal? Küldd el nekünk elemzésedet az arsboni@arsboni.hu címre, és nyilvánosságot biztosítunk az írásodnak!
***
Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.
