Már a kisebb vállalatoknak is figyelniük kell a panaszok kezelésére, a közérdekű bejelentésekre, valamint a visszaélések bejelentésével összefüggő szabályokra vonatkozó előírásokra. Rájuk is vonatkozik mostantól a Panasztörvény.
A Provaris Varga & Partners irodától kaptuk az infót, hogy A panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény, (a „Panasztörvény”) első lépcsője 2023. július 24-től lépett hatályba a legalább 250 főt foglalkoztatók vonatkozásában, második lépcsőben pedig a legalább 50 főt foglalkoztatóknak kell megfelelniük a Panasztörvény rendelkezéseinek 2023. december 17. napjától.
A Panasztörvénynek való megfelelés a gyakorlatban a következőket jelenti az érintett vállalatok számára:
- Biztosítaniuk kell a szóbeli és írásbeli bejelentések megtételének a lehetőségét, akár egyszerű módon erre dedikált e-mail cím és telefonszám közzétételével, vagy külön fejlesztett bejelentővédelmi platform alkalmazásával; valamint igény esetén a személyes bejelentésre is lehetőséget kell adniuk!
- A bejelentések intézésére és a személyes adatok kezelésére vonatkozó szabályzatot kell elfogadniuk és azt hozzáférhetővé kell tenniük!
- A panaszok fogadására, elbírálására és szükség esetén az intézkedések megtételére, egy belső felelőst vagy szervezeti egységet kell kijelölniük és az eljárásra vonatkozó belső szabályokat kell elfogadniuk, vagy!
- Dönthetnek úgy is, hogy az egész tevékenységet és külső ún. bejelentővédelmi ügyvéd részére kiszervezik.
dr. Orbán Zsombor adatvédelmi és technológiai jogi ügyvéd, az első jogi tapasztalatokról, az alábbiakat osztotta meg velünk:
„Az elmúlt félévben a vállalatok viszonylag nagy számban kezdték meg a felkészülést, azonban a tapasztalat azt mutatja, hogy egy jelentős részük a kérdéssel egyáltalán nem foglalkozott. A felkészülési feladatok listája ugyan nem hosszú, de a kihívások a rendszer üzemeltetése során jelentkeznek. A reagálási határidők nagyon rövidek, a bejelentést 7 napon belül vissza kell igazolni, és az eljárásra 30 nap áll a rendelkezésre, amely kivételes esetben 3 hónapig meghosszabbítható. Amennyiben a vállalat nem készül fel ezek alkalmazására, úgy az első bejelentés fogadásakor kell majd a társaságnak improvizálnia, amely nem szerencsés helyzet. Ezen túlmenően adatvédelmi oldalról is kockázatnak teszik ki magukat, amely miatt a GDPR bírságokra is számíthatnak, különösen, ha a bejelentésben szenzitív adatok találhatóak, amely egyáltalán nem életszerűtlen. Jó hír a cégek számára, hogy az első tapasztalatok pozitívak, egy jól bevezetett csatorna esetén a munkavállalók bíznak a rendszerben, és több ügyben olyan visszaéléseket is feltártak, amelyeket a közvetlen felettesükön keresztül nem mertek korábban megtenni, részben amiatt is, hogy ezek a vezetők is érintettek lehettek az ügyekben. Az ilyen hálózatok és visszaélések megszűntetése nem csak HR és reputációs kérdés az érintett társaságoknak, hanem számszerűsíthető előnnyel is jár.”
dr. Liber Ádám adatvédelmi és technológiai jogi ügyvéd, aki bejelentővédelemmel és visszaélés-bejelentésekkel több mint 15 éve foglalkozik, az alábbiakat osztotta meg a Panasztörvénnyel kapcsolatban.
“Nagyon széles körű a szabályozás, mivel munkavállalók, szerződő partnerek és azok alkalmazottai részére ad lehetőséget jogsértések és visszaélések bizalmas, jóhiszemű jelzésére. A közvélekedéssel ellentétben a szabályozás nem fogyasztóvédelmi vagy egyéb vásárló panaszok kezelésének újabb fóruma, hanem olyan komoly súlyú compliance ügyek kivizsgálását szolgálja, melyek egyéb esetben a vállalatvezetés előtt is láthatatlanok maradnának, viszont az alkalmazottak és beszállítók megfelelő védelem és további jogi biztosítékok mellett ezt feltárják.”
Panasztörvény: Mit mondanak a csalásfelderítéssel foglalkozó profik?
A RavenForTech Kft. egy belső vizsgálatok támogatásával, valamint incidens reagálással, digitális forensic szolgáltatásokkal és csalásfelderítéssel foglalkozó vállalat. A visszaélés-bejelentésekkel és belső vizsgálatokkal kapcsolatos tapasztalataik alapján az ügyvezető Szalai Csilla, valamint dr. Littván Evelyn csalásfelderítő szakember az alábbiakat osztotta meg:
„Egy hatékony visszaélés-bejelentő rendszer a tapasztalatok szerint egy szervezet számára több szempontból is előnyt jelent. A megfelelően bevezetett és működtetett rendszer a cégkultúrára is pozitív hatást gyakorol, de leginkább a visszaélést tapasztaló, az azt elszenvedő munkavállalóknak és azoknak fontos, akiknek jogos érdeke fűződik az etikátlan magatartás orvoslásához vagy megszüntetéséhez. Az sem elhanyagolható előny, ha a munkáltató nem valamelyik médiumon vagy közösségi portálon keresztül értesül a vállalaton belül zajló eseményekről. Ez egyrészt reputációs és ügyfélvesztési kockázatot jelent, másrészt pedig megfosztja a szervezetet attól az esélytől is, hogy az esetet maga vizsgálja vagy vizsgáltassa ki és megtehesse a megfelelő intézkedéseket.
A törvény alapján a kialakított visszaélés-bejelentő rendszernek hatékonynak, bizalmasnak és biztonságosnak kell lennie. Ennek a gyakorlatban megvannak a maga pszichológiai és technikai aspektusai. Vegyük számításba azt, hogy mi tarthat vissza egy a munkahelyén vagy szerződéses partnerénél történt etikátlan cselekményt tapasztaló személyt attól, hogy felszólaljon e magatartás ellen? Egyrészt az emberek egy munkahelyen egy közösség tagjai és mint ilyenek, nehezebben tesznek bejelentést a közösség más tagjai ellen. Lehet ok a retorziótól való félelem, vagy a rendszer hatékonyságába vetett bizalom hiánya is. Képzeljünk el egy olyan visszaélés bejelentő rendszert, ami igazából egy, a cég HR/jogi/mindenese által kezelt email fiókból áll, a visszaélés-bejelentő email cím pedig egy, a portán kifüggesztett papírlapon található meg, esetleg éppen egy térfigyelő kamera által megfigyelt területen, vagy egy belső hálózatból elérhető felületen, amely naplózza a belépők IP címeit, ami a szervezeten belül a munkavállalók azonosítására is alkalmas. Valljuk be őszintén ez nem túl biztonságos, se nem túl bizalomgerjesztő. A gyakran alkalmazott, kizárólag személyes kapcsolatfelvétellel történő bejelentési forma szintén nem védi megfelelő módon a bejelentő identitását és anonimitását.
Tegyük fel, hogy ezt követően valaki mégis úgy dönt, hogy megteszi a bejelentést, ám annak beérkezéséről semmilyen értesítést nem kap, és a bejelentett etikátlan magatartásban sem tapasztal változást. Ezáltal a rendszer hatékonyságába vetett hit is megrendül. Habár ez szélsőséges példának tűnik, azonban a mai napig több helyen ilyen és ehhez hasonló rendszerek működnek. Ezek a rendszerek sem technológiai sem pszichológiai szempontból nem nyújtják a megfelelő és a törvény által elvárt védelmet. Hogy mi ennek a következménye? A munkavállalók nem mernek bejelentést tenni és olyan cselekmények maradhatnak felderítetlenül, mint szexuális zaklatás, sikkasztás, lopás. Lehet, hogy a szervezet dolgozóinak nagy része tud az eseményekről, azonban a megtorlástól való félelem vagy az adatok nem megfelelő kezelésébe, esetleg a nem megfelelő szervezeti eljárásba vetett hit miatt senki nem mer felszólalni. Gyakran elég akár csak egyetlen látható intézkedés, mint például egy külső szervezet által támogatott belső vizsgálat megindítása és máris érkeznek az esethez kapcsolódó értékes információk és bejelentések. Ez azonban akkor a leghatékonyabb, ha egy független és harmadik fél által üzemeltett visszaélés-bejelentő rendszer és külső vizsgálati támogatás segíti a munkavállalókat és ezáltal a szervezetet is.”