A visszaélés-bejelentő rendszer sokaknak ismerős kifejezés lehet, aminek hallatán jellemzően egy olyan telefonvonalra vagy internetes felületre gondolunk, ahol egy társaság vagy állami intézmény munkavállalói vagy akár külső szerződéses partnerei az általuk munkavégzésük során észlelt szabálytalanságokat, visszaéléseket egy olyan védett felületen keresztül tudják bejelenteni, kezdeményezve a visszaélés kivizsgálását, amely megfelelő garanciákat nyújt a bejelentő számára az esetleges későbbi megtorlással szembeni védelemre.
Az Európai Unió még 2019-ben fogadta el a bejelentő személyek védelméről szóló irányelvet, pontosan amiatt, hogy a visszaélésekről sokszor első kézben értesülő személyek bátran fel merjék tárni az általuk tapasztalt visszaéléseket. Az intézmény szükségességére, olyan korábbi botrányok hívták fel a sürgető figyelmet, mint a Cambridge Analytica vagy a Luxleaks botrány.
Minden 50 munkavállalót alkalmazó társaságot kötelezik erre
Az irányelv által meghatározott minimumszabályok három lépcsős bejelentési csatorna létrehozását irányozzák elő – ismerteti a Taylor Wessing nemzetközi ügyvédi iroda.
Ennek első lépcsője az úgynevezett belső bejelentési csatorna, amely kialakítására valamennyi legalább 50 munkavállalót alkalmazó társaság köteles lesz és amelynek megfelelő kialakítása nemcsak a jogszabályi kötelezettségeknek történő megfelelés szempontjából lesz kulcsfontosságú, hanem abból a szempontból is, hogy a kialakított rendszer valóban képes-e hatékonyan kezelni a megtett bejelentéseket, elkerülve ezáltal, hogy a bejelentő közvetlenül a második vagy akár a harmadik lépcsőt alkalmazva, egyenesen a kijelölt nemzeti hatóságok egyikéhez forduljon vagy rögtön a nyilvánossághoz, amelyek jelentős anyagi és reputációs veszteségekhez vezethetnek a bejelentésben érintett társaság számára.
Sokat buknak a vállalkozások a csalások miatt
Nemzetközi felmérések kimutatták, hogy a vállalkozások éves árbevételük mintegy 5 százalékát veszítik el különböző foglalkozás körében elkövetett csalások következtében. Ezen visszaélések ráadásul egy hatékony visszaélés-bejelentési rendszer segítségével átlagosan fél évvel korábban feltárhatóak szemben a szabályozás alá nem eső és bejelentési rendszert nem üzemeltető vállalkozásokkal.
A magyar cégeknek a bejelentővédelmi rendszer kiépítését illetően választási lehetőségük már nincs, annak kiépítése kötelezővé vált.
Míg az 50 és 249 fő közötti munkavállalói létszámmal rendelkező cégeknek csak 2023. december 17-ig kell legkésőbb a rendszert kialakítaniuk, addig a 250 fő létszámot meghaladó cégeknél, illetve munkavállalói létszámtól függetlenül a pénzmosási törvény hatálya alá tartozó szolgáltatóknál a feladat sürgetőbb, hiszen a törvény kihirdetését követő 60. napon már rendelkezniük kell a működő rendszerrel.
Szigorú határidőn belül kell kialakítani a rendszert
A rendszer kialakítása magától értetődően kiterjedt feladatokkal járhat, különösen, ha a rendszerrel szemben megkövetelt szigorú és rövid határidőket (7 napon belül visszaigazolás küldendő a bejelentés kézhezvételéről, főszabály szerint 30 napon belül kivizsgálandó a bejelentés, amelynek eredményéről tájékoztatni szükséges a bejelentőt) alkalmazó visszajelzési és válaszolási kötelezettségeket, vagy a rendszer működésének bizalmasságát és teljeskörű GDPR megfelelősségét vesszük figyelembe, azok valamennyi szervezési és technikai intézkedéseket takaró részletes kötelezettségeivel.
A rendszer üzemeltetésére kijelölhetünk szervezeten belül elkülönült és e pozíciójában pártatlan belső tisztségviselőt vagy osztályt, de akár külső szervezetet vagy bejelentővédelmi ügyvédet is megbízhatunk a feladat ellátásával.
Fontos, hogy még utóbbi esetben is nélkülözhetetlen a megfelelő belső szabályzatok, eljárásrendek kialakítása, bevezetése, a rendszer előzetes tesztelése, adatvédelmi követelmények GDPR szerinti biztosítása, amely külön-külön is időigényes feladatokat képezhetnek.
Az a cég sem dőlhet hátra, akinek már van bejelentővédelmi rendszere
Azok a cégek sem dőlhetnek hátra, akik már eleve rendelkeznek nemzetközi tulajdonosi hátterüknek köszönhetően valamilyen bejelentővédelmi rendszerrel.
Egyrészről az Európai Bizottság közölte, hogy bár az irányelv és annak magyar átültetése is lehetővé teszi, hogy az 50- 249 személyt foglalkoztató társaságok közös bejelentővédelmi rendszert üzemeltessenek, ez nem értelmezhető úgy, hogy kizárólag egy a cégcsoport központi szintjén üzemeltetett csatorna önmagában megfelelő megoldásnak minősülne.
A meglévő bejelentővédelmi rendszerek biztosan pontosítást fognak igényelni az elfogadott új magyar törvény alapján.
Ennek oka, hogy a bejelentővédelmi rendszer régóta bevett kötelezettség különösen az amerikai gyökerű Sarbanes-Oxley törvény (SOX) hatálya alá eső amerikai tőzsdén jegyzett társaságoknál és azok leányvállalatainál.
Az EU-n belül is jó pár olyan ország van, amely nemzeti joga alapján már korábban is megkövetelte a bejelentővédelmi rendszer működtetését, illetve saját kezdeményezésre önszabályozás alapján is bevezethettek nemzetközi vállalatcsoportuk valamennyi leányvállalatukra kiterjedően bejelentésvédelmi rendszereket.