A bejegyzés alapötletét az adta, hogy 2022-től is lényeges változásokra kell felkészülniük a vállalkozásoknak. A jogszabályi megfelelés biztosítása minden szervezet számára elengedhetetlen feladat, vagyis nem feledkezhetnek meg arról, hogy a rájuk vonatkozó hatályos jogszabályok szerint működjenek, figyeljék ezen jogszabályok változásait, majd ennek megfelelően végezzék tevékenységüket.
Az első rész itt olvasható.
Milyen jogszabályi változásokra számíthatunk?
Az egyik ilyen jogszabály az a visszaélés-bejelentéssel foglalkozó rendszer, amely jelenleg még nem lett implementálva Magyarországon.
A jogszabály szerint 250 fő vagy afölötti munkavállalóval rendelkező közszférában működő szervezetnek, vagy magánszektorban működő vállalatoknak kötelező lesz üzemeltetni egy külön visszaélés jelentésére biztosított rendszert, amely anonim módon és bármilyen megtorlás veszélye nélkül biztosítaná a különböző bejelentéseket.
2023.december 17-étől pedig 50 főtől is kötelező lesz alkalmazni.
Mi a jelenleg hatályos joggyakorlat Magyarországon ezzel kapcsolatban, illetve milyen változások várhatóak, hogyha sikerül ezt tényleg átültetni?
Jelenleg érvényben van: a panaszokról és közérdekű bejelentésekről szóló 2013. évi 165. törvény.
Ez inkább a közszférára vonatkozik, a magánszférában csak lehetőséget biztosít a munkáltatók részére. Természetesen az összes jogszabály tiltja a különböző visszaéléseket, legyen az büntetőtörvénykönyv hatálya alá tartozó, vagy polgári törvénykönyv hatálya alá tartozó.
Azonban ez a törvény nem elég precíz, és nem is biztosítja azt a keretet, hogy mindenféle retorzió mentesen, hatékonyan tudják bejelenteni az esetleges visszaélést, és ezt úgy bírálja el egy független hatóság, hogy annak valamilyen szankciós következménye legyen, tehát meg lehessen akadályozni az adott jogsértést és persze a jövőbeni jogsértéseket is.
A panasztörvénnyel az a fő probléma, hogy a munkáltatói visszaélés-bejelentésre vonatkozó szabályok teljesen önkéntesek, tehát kötelező jelleggel még a közszférában sem írja ezt elő maga a panasztörvény.
Ezen kívül van még a köztulajdonban álló gazdasági társaságok működéséről szóló törvény, amely előírja, hogy bizonyos feltételek esetén belső kontrollrendszert kell kialakítani és működtetnie ennek a jogszabálynak a hatálya alá tartozó szervezeteknek.
Illetve egy MNB-rendelet is rendelkezésünkre áll, ami arra vonatkozik, hogy a pénzügyi szervezeteknek, biztosítóknak, önkéntes biztosítóknak, illetve még néhány szervezetnek egy visszaélés – bejelentési rendszert kell működtetnie, ami a PMT szerinti jogszabályok megsértése esetén használható.
Látható, hogy Magyarországon is vannak erre vonatkozóan jogszabályok, de ezek vagy nagyon szűk körben írják csak elő, vagy önkéntessé teszik az alkalmazását. Ezzel szemben, ha valaki bevezeti, akkor meghatározzák az erre vonatkozó szabályokat.
Feltehetőleg az eddigi kötelező bejelentések vagy bejelentési lehetőségek ugyanúgy meg fognak maradni, és az új jogszabállyal fognak kiegészülni. Az Irányelv alapján csak az EU-jog hatálya alá eső vagy az EU-s jogot érintő visszaéléseket, jogsértéseket lehet bejelenteni.
Az Irányelvben benne van az is, hogy ezt úgy kell átvenni a tagállamoknak, hogy megfelelő szankciókkal ki is kényszerítik a betartásukat.
A portugálok november végén, harmadikként implementálták a jogszabályt, ők kétfajta jogsértést vezettek be a jogszabályba. Nagyságrendileg van egy 10 ezertől 120 ezer euróig terjedő bírságuk az egyik tételre, illetve egy 20 ezertől 250 ezer euróig terjedő bírság. A cseh tervezet szerint ők egymillió euróra akarják tenni a tetejét a bírságnak. Nem lehet tudni, hogy Magyarországon mennyi lesz ez a bizonyos összeg, azonban nagyon nagy szórásra lehet számítani.
A szankció kilátásba helyezése önmagában még nem visszatartó erejű, hiszen ez olyan, mint a BKV bliccelés. Ha nincsenek ellenőrök, akkor mindenki jegy nélkül utazik, mert úgysem fog soha kiderülni, és megúszhatják a bírságot.
Mivel lehet motiválni a vállalkozásokat, hogy bevezessék ezt a rendszert?
Egy kis cukorral és egy kis ostorral. A cukor az, hogy zöld cég vagyunk, figyelünk a dolgozóink és a partnereink adataira, ez tökéletes reklám lehetőség.
Az ostor pedig a szankció, illetve bírság a jogszabály be nem tartása miatt.
Ez a kettő működhet, amíg át nem alakul a társadalom olyan szinten, hogy az embereknek a gondolkodása részévé válik az, hogy hogyan kell adatot kezelni, hogyan kell egy jogszabálysértéssel foglalkozni.
Emellett fontos kérdés, hogy az anonim adatkezeléssel és a bejelentéskezeléssel mi fog történni, kötelezővé teszik-e, avagy sem. Ezt az implementáció fogja eldönteni. Az Irányelv azt mondja, hogy a bejelentést lehetővé kell tenni olyan módon, hogy az a személyazonosságát a bejelentőnek úgymond bizalmasan kezelje. De egyáltalán nem biztos, hogy Magyarországon az anonim bejelentést kötelezővé fogja tenni a jogalkotó.
Elengedhetetlen, hogy a probléma bizalmasan legyen kivizsgálva, és biztosítsák a bejelentő védelmét. Azonban ez egy nagyon erős bizalmi kérdés a bejelentő részéről.
Az elbírálás után (külső és belső elbírálás) visszajelzést is kell adni, ami szintén nehéz, hogy ha nem tudjuk, hogy ki a bejelentő.
Nem lehetetlen, csak hozzá kell szokni, hogy nem tudjuk ki kapja meg a visszajelzést. Viszont arra is figyelni kell, hogy még egy ötven fős szervezetnél sem lehetetlen kitalálni, hogy ki volt a bejelentő, még hogyha nem is kézírással adja le a bejelentést. Nehéz lesz a bejelentőnek megbíznia a rendszerben.
Az új rendszer bevezetése valószínűleg nem lesz könnyű, a nagy létszámú cégeknél is nagyon sok olyan munkatárs van, akiknél akár egy elektronikus rendszernek a használata és a bejelentés megtétele is problémát okoz. Valószínűleg több probléma is felmerül majd, de az edukáció minden munkavállalónak segíthet.
Néhány év múlva valószínűleg teljesen normális dolog lesz, hogy ha látunk egy incidenst, azt bejelentjük és ki is vizsgálják.
Felmerül a kérdés, hogy a törvényalkotó mit fog csinálni a következő középtávú időszakban, és hogy mennyire erős a szándéka a törvényalkotónak, hogy ezt a visszaélés-bejelentési koncepciót végig vigye egész Európában?
Feltehetőleg a következő három évben a tagállamok implementálják a jogszabályt, majd pedig az EU csinál egy értékelést, és lehet, hogy végül nem úgy alakulnak az események, ahogy tervezték, ezért változtatnak rajta. Vagy enyhítenek vagy szigorítanak, de ha a törvényalkotás eldöntötte, hogy ez egy fontos európai érték, és visszaélésmentesen üzemeltessünk hosszú távon, az egy zseniális gondolat.
A podcast és a bejegyzés létrejöttét segítette:
Dr. Havas-Sághy Gábor: ügyvéd, info-kommunikációs szakjogász
Dr. Lojek Levente: GDPR szakértő, a Bovard Kft. alapítója és a Whisly Kft. társalapítója
Sándor Zsolt András: ISO 27001 és 9001 vezető auditor, GDPR Black Belt szakértő, a Gill & Murry Adatvédelmi szakértő partnere
Cseh Patrik: a Hacktify International Kft. ügyvezetője
