A 29. cikk szerinti adatvédelmi munkacsoport
00195/06/HU WP 117
1/2006 sz. vélemény az uniós adatvédelmi szabályoknak a számvitel, belső számviteli ellenőrzés, könyvvizsgálati kérdések, korrupció, banki és pénzügyi bűnözés elleni küzdelem terén létrehozott belső visszaélés-jelentési rendszerekre történő alkalmazásáról
Elfogadva: 2006. február 1-jén
Ezt a munkacsoportot a 95/46/EK irányelv 29. cikke hozta létre. Független európai tanácsadó szerv adatvédelmi, valamint a magánélet tiszteletben tartásával kapcsolatos kérdésekben. Feladatait a 95/46/EK irányelv 30. cikke, valamint a 2002/58/EK irányelv 15. cikke határozza meg. A titkársági feladatokat ellátja: Európai Bizottság, Az Igazságügyek, Szabadság és Biztonság Főigazgatóságának C˙Igazgatósága (Polgári igazságszolgáltatás, alapvető jogok és állampolgárság), B-1049 Brüsszel, Belgium, LX-46 01/43 iroda. Honlap: http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm
TARTALOMJEGYZÉK I.
BEVEZETÉS............................................................................................................... 4
II.
A VÉLEMÉNY KORLÁTOZOTT HATÁLYÁNAK INDOKLÁSA........................ 5
III. AZ ADATVÉDELMI SZABÁLYOK ÁLTAL A VALAMELY VISSZAÉLÉS-JELENTÉSI RENDSZEREN KERESZTÜL MEGVÁDOLT SZEMÉLYEK VÉDELMÉRE HELYEZETT KÜLÖNÖS HANGSÚLY ................. 6 IV. A VISSZAÉLÉS-JELENTÉSI RENDSZEREK ADATVÉDELMI SZABÁLYOKNAK VALÓ MEGFELELÉSÉNEK ÉRTÉKELÉSE ......................... 7 1.
A visszaélés-jelentési rendszerek törvényessége (95/46/EK irányelv 7. cikke).................................................................................................................. 7 i) Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges visszaélés-jelentési rendszer létrehozása (7. cikk c) pont) .................. 8 ii) Az adatkezelő jogszerű érdekének érvényesítéséhez szükséges visszaélés-jelentési rendszer létrehozása (7. cikk f) pont) .................. 8
2.
Az adatminőség és az arányosság elveinek alkalmazása (az adatvédelmi irányelv 6. cikke)......................................................................... 10 i) A feltételezett szabálytalanságok vagy kötelességszegés visszaélésjelentési rendszeren keresztül történő jelentésére jogosult személyek számának lehetséges korlátozása..................................... 10 ii)
A
visszaélés-jelentési rendszeren keresztül megvádolható személyek számának lehetséges korlátozása..................................... 10
iii) A nevesített és bizalmas jelentések ösztönzése a névtelen jelentésekkel szemben ....................................................................... 11 iv) A gyűjtött és feldolgozott adatok arányossága és pontossága ................... 12 v) Megfelelés a szigorú adatmegőrzési időszakoknak .................................... 12
3.
Világos és teljeskörű tájékoztatás a rendszerről (az adatvédelmi irányelv 10. cikke).......................................................................................... 13
4.
A megvádolt személy jogai ............................................................................ 13
5.
i)
Tájékoztatási jog................................................................................ 13
ii)
Hozzáférési, helyesbítési és törlési jog.............................................. 14
Az adatfeldolgozás biztonsága (a 95/46/EK irányelv 17. cikke) ............... 14 i) Anyagi biztonsági intézkedések................................................................... 14 ii) A visszaélés-jelentési rendszereken keresztül készített jelentések bizalmas volta.................................................................................... 15
6.
A visszaélés-jelentési rendszerek irányítása................................................ 15 i) Külön belső szervezet a visszaélés-jelentési rendszer irányítására ............. 16 ii) Külső szolgáltatók igénybevételének lehetősége........................................ 16 iii) Vizsgálati alapelvek az EU-ban az uniós vállalatok esetében, kivételek ............................................................................................ 16 2
7.
Adattovábbítás harmadik országba............................................................. 17
8.
Megfelelés a bejelentési kötelezettségnek ................................................... 17
V – KÖVETKEZTETÉSEK.............................................................................................. 18
3
A SZEMÉLYES ADATOK FELDOLGOZÁSA TEKINTETÉBEN AZ EGYÉNEK VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT, amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv1 hozott létre, tekintettel a fenti irányelv 29. cikkére, 30. cikke (1) bekezdésének c) pontjára és (3) bekezdésére, tekintettel eljárási szabályzatára és különösen annak 12. és 14. cikkére, ELFOGADTA A KÖVETKEZŐ VÉLEMÉNYT: I.
BEVEZETÉS
Ez a vélemény iránymutatást tartalmaz arról, hogyan működtethetők a belső visszaélésjelentési rendszerek a 95/46/EK irányelvben2 foglalt uniós adatvédelmi szabályokkal összhangban. A visszaélés-jelentési rendszerek alkalmazása kapcsán 2005 során Európában felmerült kérdések – beleértve az adatvédelmi kérdéseket is – száma jól mutatja, hogy e gyakorlat fejlődése valamennyi uniós tagállamban jelentős nehézségekbe ütközhet. E nehézségek nagyrészt kulturális különbségeknek tudhatók be, amelyek viszont olyan társadalmi és/vagy történelmi okokra vezethetők vissza, amelyek egyrészt tagadhatatlanok, másrészt nem hagyhatók figyelmen kívül. A munkacsoport tudatában van annak, hogy e nehézségek részben kapcsolódnak a belső visszaélés-jelentési rendszereken keresztül jelenthető témák skálájának szélességéhez. Azzal is tisztában van, hogy a visszaélés-jelentési rendszerek néhány EU-tagállamban különleges nehézségeket okoznak munkajogi szempontból, valamint hogy e témákban már folyamatban van a munka, ami további figyelmet igényel. A munkacsoportnak azt is figyelembe kell vennie, hogy a visszaélés-jelentési rendszerek működését néhány EUországban törvény szabályozza, míg a tagállamok többségében nincsenek kimondottan e témára vonatkozó jogszabályok vagy rendeletek. Következésképpen a munkacsoport e szakaszban még korainak találja egy, a visszaélésjelentésről szóló általános végleges vélemény elfogadását. E vélemény elfogadásával úgy döntött, azon témákkal foglalkozik, amelyek esetében a legsürgetőbb szükség van uniós iránymutatásra. Fentieket figyelembe véve, valamint a dokumentumban említett okokból e vélemény az uniós adatvédelmi szabályoknak a számvitel, belső számviteli ellenőrzés, könyvvizsgálati kérdések, korrupció, banki és pénzügyi bűnözés elleni küzdelem terén létrehozott belső visszaélés-jelentési rendszerekre történő alkalmazására korlátozódik.
1
HL L 281., 1995.11.23., 31. o., megtalálható a következő honlapon: http://europa.eu.int/comm/internal_market/privacy/law_en.htm
2
A munkacsoport különleges mandátumával összhangban ez a munkadokumentum nem foglalkozik a visszaélés-jelentési rendszerek kapcsán felmerült egyéb, különösen a munkajogot és a büntetőjogot érintő jogi problémákkal. 4
A munkacsoport annak tudatában fogadta el ezt a véleményt, hogy az uniós adatvédelmi szabályoknak a belső visszaélés-jelentési rendszerekkel való esetleges összeegyeztethetőségét az előbb említetteken kívül más területek, mint humán erőforrás, munkavállalók biztonsága és egészségvédelme, környezeti károk és veszélyek, valamint bűncselekmények elkövetése esetében is meg kell vizsgálnia. A munkacsoport az elkövetkező hónapokban elemzést végez annak meghatározására, hogy e területeken is szükség van-e uniós iránymutatásra. Ez esetben az e dokumentumban kidolgozott alapelvek egy következő dokumentumban kiegészíthetők vagy módosíthatók. II.
A VÉLEMÉNY KORLÁTOZOTT HATÁLYÁNAK INDOKLÁSA
Az Egyesült Államok kongresszusa 2002-ben, számos vállalati pénzügyi botrányt követően elfogadta a Sarbanes-Oxley törvényt (SOX). A SOX előírja a köztulajdonban lévő amerikai vállalatoknak és azok uniós székhelyű leányvállalatainak, valamint az Egyesült Államok valamely tőzsdéjén jegyzett nem amerikai vállalatoknak, hogy pénzügyi ellenőrző bizottságukon belül dolgozzanak ki „eljárásokat a kibocsátóhoz érkezett, a számvitelre, számviteli belső ellenőrzésre vagy könyvvizsgálati kérdésekre vonatkozó panaszok, valamint a kibocsátó alkalmazottai által névtelenül tett bizalmas, megkérdőjelezhető számvitelre vagy könyvvizsgálati kérdésekre vonatkozó bejelentések felvételére, megőrzésére és kezelésére”3. Ezenfelül a SOX 806. szakasza rendelkezik a nyilvánosan jegyzett vállalatok azon alkalmazottainak a jelentéstételi rendszer használatát megtorló intézkedésekkel szembeni védelméről, akik csalásra vonatkozó bizonyítékokkal szolgálnak4. A SOX végrehajtásáért felelős amerikai hatóság az Értékpapír- és Tőzsdebizottság (SEC). E rendelkezések tükröződnek a Nasdaq5 és a New York-i Értéktőzsde (NYSE)6 szabályaiban. A Nasdaq vagy a NYSE valamelyikén jegyzett vállalatok évente kötelesek hitelesíteni könyveiket e piacokon. Ez a hitelesítési eljárás magában foglalja, hogy a vállalatok olyan helyzetben vannak, amelyben kijelenthetik, hogy megfelelnek bizonyos szabályoknak, ide értve a visszaélések jelzésére vonatkozó szabályokat is. Azon vállalatokra, amelyek nem felelnek meg e visszaélés-jelentési követelményeknek, a Nasdaq, az NYSE vagy a SEC súlyos szankciókat szab ki. Ami a visszaélés-jelentési rendszerek uniós adatvédelmi szabályoknak való megfelelését illeti, az érintett vállalatokat egyrészt az uniós adatvédelmi hatóságok szankciói fenyegetik, ha nem felelnek meg az uniós adatvédelmi szabályoknak, másrészt az amerikai hatóságok szankciói, ha nem felelnek meg az egyesült államokbeli szabályoknak.
3 4
Sarbanes-Oxley törvény, 301(4) szakasz. A Sarbanes-Oxley törvény 406. szakasza, valamint különösen a fő amerikai tőzsdeintézetek (NASDAQ, NYSE) által elfogadott rendelkezések rögzítik, hogy az e piacokon jegyzett vállalatoknak „etikai kódexet” kell kidolgozniuk, amely számviteli, jelentéstételi és könyvvizsgálati kérdésekben alkalmazandó a magas rangú pénzügyi tisztviselőkre és vezetőkre, és amely rendelkezik az etikai/fegyelmi eljárásokról.
5
4350 (D) (3) szabály: „A pénzügyi ellenőrző bizottság felelősségi és jogkörei”
6
New York Stock Exchange (NYSE), 303A.06 szakasz: „Pénzügyi ellenőrző bizottság” 5
Az Egyesült Államokban jelenleg folyamatban van egyes SOX-előírások amerikai vállalatok európai leányvállalataira és az amerikai tőzsdéken jegyzett európai vállalatokra való alkalmazhatóságának felülvizsgálata7. Annak ellenére, hogy a SOXrendelkezések egészének európai székhelyű vállalatokra való alkalmazhatósága meglehetősen bizonytalan, azok a vállalatok, amelyek a SOX alá tartoznak annak egyértelmű külföldi székhelyre vonatkozó rendelkezései alapján, meg akarnak felelni a SOX visszaélés-jelentésre vonatkozó különös rendelkezéseinek is. Az uniós vállalatokat fenyegető szankciók miatt a munkacsoport sürgősnek tekintette, hogy elemzését elsősorban a Sarbanes-Oxley törvényben említett, a számviteli, belső számviteli ellenőrzési és könyvvizsgálati kérdések terén elkövetett esetleges visszaélések jelentésére létrehozott visszaélés-jelentési rendszerekre, valamint az azokhoz kapcsolódó alábbi területekre összpontosítsa. Ennek során a munkacsoport hozzá kíván járulni a jogbiztonság növeléséhez azon vállalatok számára, amelyek az uniós adatvédelmi szabályoknak és a SOX-nak egyaránt tárgyát képezik. III. AZ ADATVÉDELMI SZABÁLYOK ÁLTAL A VALAMELY VISSZAÉLÉS-JELENTÉSI RENDSZEREN KERESZTÜL MEGVÁDOLT SZEMÉLYEK VÉDELMÉRE HELYEZETT KÜLÖNÖS HANGSÚLY
A belső visszaélés-jelentési rendszereket általában azzal a céllal hozzák létre, hogy a vállalatok napi működése során megfelelő vállalatirányítási alapelveket alkalmazzanak. A visszaélés-jelentés olyan kiegészítő mechanizmus, amelynek segítségével az alkalmazottak a vállalaton belül speciális csatornán keresztül jelenthetik a kötelességszegéseket. Kiegészíti a szervezet rendes információs és jelentéstételi csatornáit, mint amilyenek az alkalmazottak képviselői, a vezetői hierarchia, a minőségellenőrző személyzet vagy kimondottan az ilyen kötelességszegések jelentésére alkalmazott belső ellenőrök. A visszaélés-jelentési rendszert a belső irányítás kiegészítésének, nem pedig helyettesítésének kell tekinteni. A munkacsoport hangsúlyozza, hogy a visszaélés-jelentési rendszereket az uniós adatvédelmi szabályokkal összhangban kell alkalmazni. Valójában a visszaélés-jelentési rendszerek működése az esetek túlnyomó többségében a személyes adatok feldolgozására (azaz az azonosított vagy azonosítandó személyhez kapcsolódó adatok összegyűjtésére, nyilvántartására, tárolására, nyilvánosságra hozatalára és megsemmisítésére) támaszkodik, ami azt jelenti, hogy az adatvédelmi szabályok alkalmazandók. E szabályok alkalmazása különböző következményekkel jár a visszaélés-jelentési rendszerek felállítására és irányítására nézve. A következmények teljeskörű részletezését e dokumentum IV. szakasza tartalmazza.
7
Az Egyesült Államok fellebbviteli bírósága (1. kerület) által 2006. január 5-én kiadott vélemény szerint a visszaélést jelentők védelméről szóló SOX-rendelkezések nem vonatkoznak az olyan vállalatok külföldi leányvállalatainak az Egyesült Államokon kívül dolgozó külföldi állampolgáraira, amelyeknek meg kell felelniük a SOX többi rendelkezésének. 6
A munkacsoport megjegyzi, hogy a visszaélés-jelentésre vonatkozó jelenlegi rendelkezések és iránymutatások célja, hogy különleges védelmet biztosítsanak a visszaélés-jelentési rendszer használójának, de nem tesznek külön említést a megvádolt személy védelméről, különös tekintettel személyes adatai feldolgozására. A 95/46/EK irányelv és a nemzeti jog megfelelő rendelkezései által biztosított jogokhoz azonban mindenkinek, a megvádolt személynek is joga van. Az uniós adatvédelmi szabályok visszaélés-jelentési rendszerekre történő alkalmazása azt jelenti, hogy a figyelmeztető jelzésben megvádolt személy védelmének kérdése különleges megfontolás tárgyát képezi. E tekintetben a munkacsoport hangsúlyozza, hogy a visszaélés-jelentési rendszerek magukban hordozzák az adott személy megbélyegzésének és áldozattá válásának nagyon komoly veszélyét azon a szervezeten belül, amelyhez az illető tartozik. Az adott személy már azelőtt ki van téve e veszélyeknek, hogy tudatában lenne, hogy megvádolták, valamint hogy az állításokat megvizsgálták volna indokolt voltuk megállapítása érdekében. A munkacsoport azon a véleményen van, hogy az adatvédelmi szabályok visszaélésjelentési rendszerekre történő megfelelő alkalmazása hozzájárul a fent említett veszélyek csökkentéséhez. Ezenkívül a munkacsoport úgy véli, e szabályok alkalmazása nemhogy akadályozza a visszaélés-jelentési rendszereket azok célkitűzésükkel összhangban való működésében, hanem általánosságban hozzájárul megfelelő működésükhöz. IV.
A VISSZAÉLÉS-JELENTÉSI RENDSZEREK ADATVÉDELMI SZABÁLYOKNAK VALÓ MEGFELELÉSÉNEK ÉRTÉKELÉSE
Az adatvédelmi szabályok visszaélés-jelentési rendszerekre történő alkalmazása a következőket foglalja magában: a visszaélés-jelentési rendszerek törvényességének kérdése (1); az adatminőség és az arányosság elveinek alkalmazása (2); a rendszerre vonatkozó világos és teljeskörű információról szóló rendelkezés (3); a megvádolt személy jogai (4); az adatfeldolgozási műveletek biztonsága (5); a belső visszaélésjelentési rendszerek irányítása (6); a nemzetközi adattovábbításhoz kapcsolódó kérdések (7); bejelentési és előzetes ellenőrzési követelmények (8).
1.
A visszaélés-jelentési rendszerek törvényessége (95/46/EK irányelv 7. cikke)
Ahhoz, hogy egy visszaélés-jelentési rendszer törvényes legyen, a személyes adatok feldolgozásának törvényesnek kell lennie és meg kell felelnie az adatvédelmi irányelv 7. cikkében felsorolt okok egyikének. A dolgok jelenlegi állása szerint e tekintetben két csoport tűnik érintettnek: a visszaélésjelentési rendszer létrehozására vagy jogi kötelezettség teljesítéséhez van szükség (7. cikk c) pontja), vagy az adatkezelő, vagy az adatokat megkapó harmadik fél jogszerű érdekének érvényesítéséhez (7. cikk f) pontja)8.
8
A vállalatoknak figyelniük kell arra, hogy néhány tagállamban a feltételezett bűncselekményekkel kapcsolatos adatok feldolgozására további speciális, az adatfeldolgozás törvényességével kapcsolatos feltételek vonatkoznak (lásd alább, IV. szakasz, 8. pont) 7
i) Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges visszaélés-jelentési rendszer létrehozása (7. cikk c) pont) A jelentéstételi rendszer létrehozásának célja közösségi vagy tagállami jog által előírt jogi kötelezettség teljesítése, konkrétan olyan jogi kötelezettségé, amely jól körülhatárolt területek belső ellenőrzési eljárásainak létrehozását szolgálja. Jelenleg ilyen kötelezettség vonatkozik például a legtöbb EU-tagállam bankszektorára, ahol a kormányok a belső ellenőrzés megerősítése mellett döntöttek, különös tekintettel a hitelintézetek és befektetési társaságok tevékenységére. Megerősített ellenőrző mechanizmusok alkalmazására vonatkozó jogi kötelezettség létezik a korrupció elleni küzdelem területén is, elsősorban a külföldi hivatalos személyek nemzetközi kereskedelmi ügyletekben történő megvesztegetése elleni küzdelemről szóló OECD-egyezmény (1997. december 17-i OECD-egyezmény) nemzeti jogba való átültetésének eredményeként. Ezzel szemben a külföldi törvények vagy rendeletek által előírt olyan kötelezettség, amely megköveteli jelentéstételi rendszerek létrehozását, nem minősül olyan jogi kötelezettségnek, amely folytán az adatfeldolgozás törvényessé válna az EU-ban. Bármely más értelmezés esetén a külföldi szabályok könnyen kijátszhatnák a 95/46/EK irányelvben rögzített uniós szabályokat. Következésképpen a SOX visszaélés-jelentési rendszerre vonatkozó rendelkezései nem tekinthetők törvényes alapnak a 7. cikk c) pontja alapján történő adatfeldolgozáshoz. Mindazonáltal bizonyos uniós országok a nemzeti jog jogilag kötelező erejű kötelezettségei révén előírhatják visszaélés-jelentési rendszerek alkalmazását a SOX által lefedett területeken9. Más uniós országokban, ahol nem létezik ilyen jogilag kötelező erejű kötelezettség, ugyanez az eredmény elérhető a 7. cikk f) pontja alapján. ii) Az adatkezelő jogszerű érdekének érvényesítéséhez szükséges visszaélés-jelentési rendszer létrehozása (7. cikk f) pont) A jelentéstételi rendszer létrehozására szükség lehet az adatkezelő, vagy az adatokat megkapó harmadik fél jogszerű érdekének érvényesítése céljából (7. cikk f) pont). Ez az indok csak akkor fogadható el, ha a jogszerű érdeknél nem magasabb rendűek az érintett érdekei az alapvető jogok és szabadságok tekintetében. A főbb nemzetközi szervezetek, köztük az EU10 és az OECD11 felismerték a jó vállalatirányítási alapelvekre való támaszkodás fontosságát a szervezetek megfelelő működéséhez. Az e fórumokon kidolgozott alapelvek és iránymutatások az átláthatóság javítását, hatékony és eredményes pénzgazdálkodási és számviteli gyakorlatok kidolgozását, és ezáltal az érdekelt felek védelmének és a piacok pénzügyi stabilitásának
9
10
11
Holland vállalatirányítási törvény, 2003.12.9., II. szakasz, 1.6. pont A tőzsdén jegyzett vállalatok irányításának egységes spanyol törvénytervezete, IV. fejezet, 67. cikk (1) bekezdés d) pont. A spanyol adatvédelmi hatóságnak még meg kell vizsgálnia ezt a törvényt az adatvédelmi következmények figyelembevétele érdekében. Európai Közösség: A jegyzett társaságok nem ügyvezető igazgatói, illetve felügyelő bizottsági tagjai szerepéről és az igazgatóság (felügyelő bizottság) által létrehozott bizottságokról szóló, 2005. február 15-i bizottsági ajánlás (HL L 52., 2005.2.25., 51. o.). OECD: OECD vállalatirányítási alapelvek, 2004., Első rész, IV. szakasz. 8
javítását tartalmazzák. Kimondottan elismerik a szervezetek arra vonatkozó érdekét, hogy megfelelő eljárásokat alkalmazzanak, amelyek lehetővé teszik az alkalmazottak számára, hogy jelentsék a szabálytalanságokat és a megkérdőjelezhető számviteli vagy ellenőrzési gyakorlatokat az igazgatótanácsnak vagy a pénzügyi ellenőrző bizottságnak. E jelentéstételi eljárásoknak biztosítaniuk kell, hogy léteznek a jelentett tények arányos és független kivizsgálását szolgáló, a rendszer irányításában részt vevő személyek megfelelő kiválasztási eljárását magukban foglaló eljárások, valamint megfelelő nyomon követő intézkedések. Ezenfelül e rendelkezések és iránymutatások hangsúlyozzák a visszaélést jelentő személy védelmének biztosítását, valamint hogy megfelelő biztosítékok segítségével kell védeni a visszaélést jelentő személyeket a megtorló intézkedésekkel (diszkriminációs vagy fegyelmi intézkedésekkel) szemben12. A nemzetközi pénzügyi piacok pénzügyi biztonsága garantálásának célja, és különösen a csalás és a kötelességszegés megelőzése a számvitel, a belső számviteli ellenőrzés, könyvvizsgálati kérdések és jelentéstétel terén, akárcsak a korrupció, banki és pénzügyi bűnözés vagy a bennfentes kereskedelem elleni küzdelem, valóban a munkáltató jogszerű érdekének tűnnek, amelyek indokolják e területeken a személyes adatok feldolgozását a visszaélés-jelentési rendszerek segítségével. Annak biztosítása, hogy a társaság éves jelentését befolyásoló és az érdekelteknek a társaság pénzügyi stabilitására vonatkozó jogszerű érdekeit érintő feltételezett számviteli manipulációkról vagy hibás számviteli ellenőrzésről szóló jelentések valóban eljutnak az igazgatótanácshoz és sor kerül a megfelelő nyomon követő intézkedésekre, létfontosságú a nyilvánosan működő részvénytársaságok, azon belül is különösen a pénzügyi piacokon jegyzettek számára. Ebben az összefüggésben az amerikai Sarbanes-Oxley törvény azon kezdeményezések egyikének tekinthető, amelyek a pénzügyi piacok stabilitását és az érdekeltek jogszerű érdekei védelmét a megfelelő vállalatirányítást biztosító szabályok rögzítése révén garantálják. Mindezen okokból kifolyólag a munkacsoport úgy véli, hogy az adatkezelőknek azon EU-oszágokban is jogszerű érdekük fűződik belső visszaélés-jelentési rendszerek létrehozásához a számvitel, belső számviteli ellenőrzés, könyvvizsgálati kérdések, valamint a korrupció, a banki és pénzügyi bűnözés elleni küzdelem terén, ahol ezt külön jogi kötelezettség nem írja elő. Mindazonáltal a 7. cikk f) pontja előírja, hogy egyensúlyt kell teremteni a személyes adatok feldolgozása által követett jogszerű érdek és az érintettek alapvető jogai között. Az érdekek egyensúlyának vizsgálata során figyelembe kell venni az arányosság és a szubszidiaritás kérdését, a jelenthető feltételezett bűncselekmények súlyosságát, valamint a következményeket az érintettekre nézve. Az érdekek egyensúlyának vizsgálatával kapcsolatban megfelelő biztosítéki intézkedéseket is be kell vezetni. A 95/46/EK irányelv 14. cikke előírja, hogy – amennyiben az adatfeldolgozás a 7. cikk f) pontján alapul – az érintettek lényeges jogos érdekből bármikor tiltakozhatnak a rájuk vonatkozó adatok feldolgozása ellen. E pontok alább kerülnek kifejtésre.
12
Lásd például a közérdekű információk nyilvánosságra hozataláról szóló, 1998. évi egyesült királysági törvényt. 9
2. Az adatminőség és az arányosság elveinek alkalmazása (az adatvédelmi irányelv 6. cikke) A 95/46/EK irányelvvel összhangban a személyes adatok feldolgozását tisztességesen és törvényesen kell végezni13; gyűjtésük csak meghatározott, egyértelmű és törvényes célból történhet14, és nem használhatók fel összeegyeztethetetlen célokra. A feldolgozott adatoknak továbbá gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfelelőnek, relevánsnak és nem túlzott mértékűnek kell lenniük15. E szabályokra együttesen esetenként „arányossági alapelvként” hivatkoznak. Végül, megfelelő intézkedést kell tenni annak érdekében, hogy a hibás vagy hiányos adatok törlésre vagy helyesbítésre kerüljenek16. E szükséges adatvédelmi szabályok alkalmazása számos következménnyel jár arra nézve, milyen módon készíthetnek egy szervezet alkalmazottai jelentést, és a jelentéseket milyen módon dolgozza fel a szervezet. E következmények alább kerülnek tanulmányozásra. i) A feltételezett szabálytalanságok vagy kötelességszegés visszaélés-jelentési rendszeren keresztül történő jelentésére jogosult személyek számának lehetséges korlátozása Az arányossági alapelv alkalmazása kapcsán a munkacsoport azt ajánlja, hogy a visszaélés-jelentési rendszerért felelős vállalat alaposan vizsgálja meg, helyénvaló lennee a feltételezett szabálytalanságok visszaélés-jelentési rendszeren keresztül történő jelentésére jogosult személyek számának korlátozása, különös tekintettel a jelentendő feltételezett szabálytalanságok súlyosságára. A munkacsoport mindazonáltal elismeri, hogy esetenként a felsorolt személyzeti kategóriák az e vélemény által lefedett területek némelyike esetében valamennyi alkalmazottat magukban foglalják. A munkacsoport tudatában van, hogy az egyes esetek körülményei döntőek lesznek. Ezért e ponttal kapcsolatban nem kíván előírásokat tenni, és az adatkezelőkre bízza – adott esetben az illetékes hatóság felülvizsgálata mellett – annak eldöntését, hogy működésük különleges körülményei között helyénvalóak-e a korlátozások. ii) A visszaélés-jelentési rendszeren keresztül megvádolható személyek számának lehetséges korlátozása Az arányossági alapelv alkalmazása kapcsán a munkacsoport azt ajánlja, hogy a visszaélés-jelentési rendszert felállító vállalat alaposan vizsgálja meg, helyénvaló lenne-e azon személyek számának korlátozása, akikről a visszaélés-jelentési rendszeren keresztül jelentés készíthető, különös tekintettel a jelentendő feltételezett szabálytalanságok súlyosságára. A munkacsoport mindazonáltal elismeri, hogy esetenként a felsorolt személyzeti kategóriák az e vélemény által lefedett területek némelyike esetében valamennyi alkalmazottat magukban foglalják. A munkacsoport tudatában van, hogy az egyes esetek körülményei döntőek lesznek. Ezért e ponttal kapcsolatban nem kíván előírásokat tenni, és az adatkezelőkre bízza – adott esetben az illetékes hatóság felülvizsgálata mellett – annak eldöntését, hogy működésük különleges körülményei között helyénvalóak-e a korlátozások.
13 14 15 16
A 95/46/EGK irányelv 6. cikke (1) bekezdésének a) pontja. A 95/46/EGK irányelv 6. cikke (1) bekezdésének b) pontja. A 95/46/EGK irányelv 6. cikke (1) bekezdésének c) pontja. A 95/46/EK irányelv 6. cikke (1) bekezdésének d) pontja. 10
iii) A nevesített és bizalmas jelentések ösztönzése a névtelen jelentésekkel szemben Kiemelt figyelmet érdemel a kérdés, hogy a visszaélés-jelentési rendszereknek lehetővé kell-e tenniük a nyílt (vagyis név megadásával és minden esetben bizalmas körülmények között történő) jelentéstétel helyett a névtelen jelentéseket. A névtelenség számos okból nem jó megoldás a visszaélést jelentő személy vagy a szervezet számára: -
a névtelenség nem akadályozza meg, hogy mások sikeresen kitalálják, ki emelt panaszt; nehezebb kivizsgálni a panaszt, ha nem lehet nyomon követő kérdéseket feltenni; könnyebb gondoskodni a visszaélést jelentő személy megtorlás elleni védelméről – különösen, ha törvény biztosítja a védelmet17 –, ha az aggodalmakat nyíltan vetették fel; a névtelen jelentés arra ösztönözheti a többieket, hogy a visszaélést jelentőre összpontosítsanak, esetleg annak rosszhiszeműségét gyanítva a panasz mögött; a szervezet kiteszi magát annak a veszélynek, hogy kialakul a rosszindulatú névtelen jelentések kultúrája; a szervezeten belül romolhat a szociális hangulat, ha az alkalmazottak tudatában vannak, hogy a rendszeren keresztül bármikor küldhetnek róluk névtelen jelentést.
Ami az adatvédelmi szabályokat illeti, a névtelen jelentések különleges problémát vetnek fel azon alapkövetelmény tekintetében, hogy személyes adatok csak tisztességesen gyűjthetők. Alapszabályként a munkacsoport azon a véleményen van, hogy az e követelménynek való megfelelés érdekében a visszaélés-jelentési rendszeren keresztül csak névvel ellátott jelentések küldhetők. Mindazonáltal a munkacsoport tudatában van, hogy a visszaélést jelentő személyek esetenként nincsenek olyan helyzetben vagy lelkiállapotban, hogy névvel ellátott jelentést készítsenek. Azzal is tisztában van, hogy a névtelen panaszok valóban léteznek a vállalatokon belül, különösen, ha nincs szervezett titkos visszaélés-jelentési rendszer, valamint hogy ezt a tényt nem lehet figyelmen kívül hagyni. A munkacsoport ezért úgy véli, hogy a visszaélés-jelentési rendszerek lehetővé tehetik névtelen jelentések rendszeren keresztüli küldését, de csak kivételként és az alábbi feltételek mellett. A munkacsoport úgy véli, a visszaélés-jelentési rendszereket úgy kell kiépíteni, hogy azok a panasztétel szokásos útjaként ne ösztönözzék a névtelen jelentéseket. A vállalatoknak különösen nem kell nyilvánosságra hozniuk, hogy lehetőség van névtelen jelentések küldésére a rendszeren keresztül. Éppen ellenkezőleg, mivel a visszaélésjelentési rendszereknek biztosítaniuk kell a visszaélést jelentő személyes adatainak bizalmas feldolgozását, azoknak, akik a visszaélés-jelentési rendszeren keresztül kívánnak jelentést tenni, tudniuk kell, hogy cselekedetük miatt nem kerülnek hátrányos helyzetbe. Ezért a rendszernek tájékoztatnia kell a visszaélést jelentő személyt a rendszerrel való első kapcsolatfelvétel során, hogy személyazonosságát a folyamat valamennyi szakaszában bizalmasan kezelik, valamint különösen arról, hogy azt nem fedik fel harmadik félnek, sem a megvádolt személynek, sem pedig az alkalmazott feletteseinek. Ha a rendszerben jelentő személy ezen információ ellenére továbbra is 17
Például a közérdekű információk nyilvánosságra hozataláról szóló egyesült királysági törvény 11
névtelen kíván maradni, a rendszer elfogadja a jelentést. Ugyancsak fel kell hívni a visszaélést jelentő személy figyelmét arra, hogy személyazonosságát esetleg fel kell fedni a visszaélés-jelentési rendszer által végzett vizsgálat eredményeként megindított további vizsgálatokban vagy későbbi bírósági eljárásokban résztvevő érintett személyek előtt. A névtelen jelentéseket különös körültekintéssel kell feldolgozni. Ez a körültekintés megköveteli például, hogy a jelentést elsőként kézhez kapó személy megvizsgálja a jelentés elfogadhatóságát, valamint a rendszer keretein belüli terjesztésének megfelelő voltát. Ugyancsak megfontolásra érdemes, hogy a visszaélés kockázata miatt a névtelen jelentéseket gyorsabban kell kivizsgálni és feldolgozni, mint a bizalmas panaszokat. Ez a különleges körültekintés azonban nem jelenti azt, hogy a névtelen jelentéseket nem kell ugyanúgy, ahogy az a nyilvánosan tett jelentések esetében történik, az esethez kapcsolódó valamennyi tény megfelelő figyelembevételével megvizsgálni. iv) A gyűjtött és feldolgozott adatok arányossága és pontossága Az adatvédelmi irányelv 6. cikke (1) bekezdésének b) és c) pontjával összhangban a személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfelelőnek, relevánsnak és nem túlzott mértékűnek kell lenniük. Mivel a jelentéstételi rendszer célja a megfelelő vállalatirányítás biztosítása, a jelentéstételi rendszeren keresztül gyűjtött és feldolgozott adatoknak az e célhoz kapcsolódó tényekre kell korlátozódniuk. Az e rendszereket felállító vállalatoknak világosan meg kell határozniuk a rendszeren keresztül felfedésre kerülő információ típusát, a számvitelre, belső számviteli ellenőrzésre, könyvvizsgálatra, banki és pénzügyi bűnözésre, valamint korrupció elleni küzdelemre vonatkozó információkra korlátozva azt. A munkacsoport elismeri, hogy néhány országban a jog kifejezetten előírja visszaélés-jelentési rendszerek alkalmazását a súlyos szabálysértések egyéb kategóriáira is, amelyeket közérdekből fel kell fedni18, ezek azonban más országokban nem alkalmazandók és kívül esnek e vélemény hatókörén. A rendszerben feldolgozott személyes adatoknak a vádak igazolásához feltétlenül és objektív módon szükséges adatokra kell korlátozódniuk. A panaszjelentéseket továbbá az egyéb személyes adatoktól elkülönítve kell tárolni. Ha valamely visszaélés-jelentési rendszerben az adott rendszer által lefedett területekhez nem kapcsolódó tényeket jelentenek, azok továbbíthatók a vállalat/szervezet megfelelő tisztviselőjéhez, ha az érintett személy alapvető érdekei vagy az alkalmazottak erkölcsi integritása forog kockán, vagy ha a nemzeti jog értelmében jogi kötelezettség áll fenn az információ államháztartási szerveknek vagy a büntetőeljárásért felelős hatóságoknak való továbbítására. v) Megfelelés a szigorú adatmegőrzési időszakoknak A 95/46/EK irányelv előírja, hogy az összegyűjtött személyes adatokat az adatgyűjtés vagy további feldolgozás céljához szükséges időszakban kell megőrizni. Ez szükséges a személyes adatok feldolgozása arányossági alapelvének való megfelelés biztosításához.
18
Például a közérdekű információk nyilvánosságra hozataláról szóló, 1998. évi egyesült királysági törvény. 12
A visszaélés-jelentési rendszeren keresztül feldolgozott személyes adatokat azonnal, és általában a jelentésben állított tények vizsgálatának befejezését követő két hónapon belül törölni kell. Ezek az időszakok különbözőek lennének, ha a megvádolt személlyel vagy hamis vagy becsületsértő kijelentések esetén a visszaélést jelentő személlyel szemben jogi eljárást vagy fegyelmi intézkedéseket vezetnek be. Ez esetben a személyes adatokat az eljárások lezárásáig, illetve a fellebbezésre rendelkezésre álló időszak végéig kell megőrizni. E megőrzési időszakokról az egyes tagállamok nemzeti joga határoz. A figyelmeztető jelzés feldolgozásáért felelős egység által megalapozatlannak talált figyelmeztető jelzéshez kapcsolódó személyes adatokat haladéktalanul törölni kell. Ezenfelül a vállalatok adatarchiválásához kapcsolódó valamennyi nemzeti rendelkezés továbbra is alkalmazandó. E szabályok mindenekelőtt az archivált adatokhoz való hozzáférésről rendelkeznek, és pontosítják azokat a célokat, amelyek esetén a hozzáférés lehetséges, azon személyek körét, akik hozzáférhetnek az adatokhoz és minden egyéb kapcsolódó biztonsági rendelkezést.
3. Világos és teljeskörű tájékoztatás a rendszerről (az adatvédelmi irányelv 10. cikke) A rendszerre vonatkozó világos és teljeskörű tájékoztatási kötelezettség értelmében az adatkezelő köteles tájékoztatni az érintetteket a rendszer létezéséről, céljáról és működéséről, a jelentések címzettjeiről, valamint a jelentés alanyának hozzáférési, helyesbítési és törlési jogáról. Az adatkezelőknek arról is tájékoztatást kell nyújtaniuk, hogy a visszaélést jelentő személyazonosságát a folyamat egésze során bizalmasan kell kezelni, valamint hogy a rendszerrel való visszaélés a visszaélést elkövetővel szembeni fellépést von maga után. Másrészről a rendszer használóit arról is tájékoztatni kell, hogy semmiféle szankcióval sem kell számolniuk a rendszer jóhiszemű használata esetén.
4.
A megvádolt személy jogai
A 95/46/EK irányelv által felállított jogi keret különösen kiemeli az érintettek személyes adatainak védelmét. Ezzel összhangban – adatvédelmi szempontból – a visszaélés-jelentõ rendszereknek az érintettek jogaira kell összpontosítaniuk, a visszaélést jelentõ személy jogainak sérelme nélkül. Az érintett felek jogai között (ide értve a vállalat jogszerû vizsgálati szükségleteit is) érdekegyensúlyt kell kialakítani. i) Tájékoztatási jog A 95/46/EK irányelv 11. cikke elõírja, hogy az érintetteket tájékoztatni kell, amennyiben személyes adataikat nem közvetlenül tõlük, hanem harmadik féltõl gyûjtötték. A rendszerért felelõs személy köteles a visszaélés-jelentõ rendszerben megvádolt személyt az õt érintõ adatok rögzítését követõen a gyakorlatilag lehetõ leggyorsabban tájékoztatni. A 14. cikk értelmében az érintetteknek jogában áll tiltakozni adataik feldolgozása ellen, ha az adatfeldolgozás jogszerûsége a 7. cikk f) pontján alapul. Ezzel a tiltakozási joggal azonban csak az adott személy különleges helyzetéhez kapcsolódó kényszerítõ jogszerû okok alapján lehet élni. 13
Az alkalmazottat, akirõl jelentés készült, különösen az alábbiakról kell tájékoztatni: [1] melyik egység felelõs a visszaélés-jelentõ rendszerért; [2] mivel vádolták meg; [3] saját vállalatán belül, vagy azon vállalatcsoporthoz tartozó más egységeken vagy vállalatokon belül, amelynek vállalata részét képezi, melyek azok a részlegek vagy szolgálatok, amelyek megkaphatják a jelentést; valamint [4] hogyan gyakorolhatja hozzáférési és helyesbítési jogát. Mindazonáltal amennyiben jelentõs annak kockázata, hogy ez az értesítés veszélyeztetné a vállalat azon képességét, hogy hatékonyan kivizsgálja a vádat, vagy összegyûjtse a szükséges bizonyítékokat, a megvádolt személy értesítése elhalasztható addig, amíg e kockázat fennáll. Ez a 11. cikkben foglalt rendelkezés alóli kivétel azt kívánja megelõzni, hogy a megvádolt személy megsemmisítse vagy módosítsa a bizonyítékokat. Korlátozottan, eseti alapon alkalmazható, és alkalmazása során figyelembe kell venni a kockán forgó magasabb érdekeket. A visszaélés-jelentõ rendszernek meg kell tennie a szükséges lépéseket annak biztosítására, hogy a felfedett információ nem kerül megsemmisítésre. ii) Hozzáférési, helyesbítési és törlési jog A 95/46/EK irányelv 12. cikke lehetõvé teszi az érintettek számára, hogy hozzáférjenek a velük kapcsolatban rögzített adatokhoz azok pontosságának ellenõrzése, valamint helyesbítésük érdekében, amennyiben azok pontatlanok, nem teljeskörûek vagy nem aktuálisak (hozzáférési és helyesbítési jog). Következésképpen a jelentéstételi rendszerek létrehozásának biztosítania kell az érintettek hozzáférési jogának, valamint a pontatlan, nem teljeskörû vagy nem aktuális adatok helyesbítési jogának való megfelelést. Mindazonáltal e jogok gyakorlása korlátozott a rendszer által érintett más személyek jogai és szabadságai védelmének biztosítása érdekében. E korlátozást eseti alapon kell alkalmazni. A visszaélésrõl szóló jelentésben megvádolt személy semmilyen körülmények között nem juthat a visszaélést jelentõ személyazonosságára vonatkozó információhoz a rendszerbõl a megvádolt személy hozzáférési joga alapján, kivéve ha a visszaélést jelentõ személy rosszhiszemûen hamis kijelentést tesz. A visszaélést jelentõ személyazonosságának bizalmas kezelését minden más esetben biztosítani kell. Ezenfelül az érintetteknek jogában áll azon adataik helyesbítése vagy törlése, amelyek feldolgozása nem felel meg ezen irányelv rendelkezéseinek, különösen az ilyen adatok hiányos vagy hibás volta miatt (12. cikk b) pont).
5.
Az adatfeldolgozás biztonsága (a 95/46/EK irányelv 17. cikke)
i) Anyagi biztonsági intézkedések A 95/46/EK irányelv 17. cikkével összhangban a visszaélés-jelentõ rendszerért felelõs vállalat vagy szervezet köteles megtenni minden ésszerû technikai és szervezési intézkedést az adatok gyûjtés, terjesztés és megõrzés közbeni biztonságának megõrzése érdekében. Célja, hogy megóvja az adatokat a véletlen vagy jogellenes megsemmisüléstõl, véletlen elvesztéstõl, valamint a jogosulatlan nyilvánosságra hozataltól és hozzáféréstõl. 14
A jelentések gyûjtése bármely (elektronikus vagy hagyományos) adatfeldolgozási módszerrel történhet. E módszereket kizárólag a visszaélés-jelentõ rendszerhez kell rendelni annak eredeti céljától való eltérés megakadályozása és az adatbiztonság megerõsítése érdekében. E biztonsági intézkedéseknek – összhangban az egyes tagállamokban érvényben lévõ biztonsági rendelkezésekkel – arányban kell állniuk a szóban forgó kérdések kivizsgálásának céljával. Amennyiben a visszaélés-jelentõ rendszert külsõ szolgáltató mûködteti, az adatkezelõnek megfelelõségi szerzõdéssel kell rendelkeznie, és mindenekelõtt meg kell hoznia valamennyi megfelelõ intézkedést, hogy a folyamat egésze során biztosítsa a feldolgozott adatok biztonságát. ii) A visszaélés-jelentési rendszereken keresztül készített jelentések bizalmas volta A jelentések bizalmas jellege alapvető követelmény a 95/46/EK irányelvben előírt, az adatfeldolgozás biztonságára vonatkozó követelmények teljesítéséhez. Annak érdekében, hogy teljesüljön a cél, amelynek elérésére a visszaélés-jelző rendszert létrehozták, valamint hogy az érintetteket bátorítsák a rendszer használatára és a vállalatnál előforduló kötelességszegések vagy jogellenes tevékenységek jelentésére, létfontosságú, hogy a jelentést készítő személy megfelelő védelmet élvezzen a jelentés bizalmas jellegének biztosítása, valamint annak megakadályozása révén, hogy harmadik fél számára ismertté váljon személyazonossága. A visszaélés-jelentési rendszereket felállító vállalatoknak meg kell hozniuk a megfelelő intézkedéseket annak biztosítására, hogy a visszaélést jelentő személyazonosságát bizalmasan kezelik és a vizsgálatok során nem fedik fel a megvádolt személy előtt. Mindazonáltal, amennyiben a jelentés megalapozatlannak bizonyul, és a jelentés készítője rosszhiszeműen hamis kijelentést tett, a megvádolt személy rágalmazási vagy becsületsértési eljárást kívánhat indítani. Ez esetben – amennyiben azt a nemzeti jog lehetővé teszi – a visszaélést jelentő személyazonossága felfedhető a megvádolt személy előtt. A vállalatirányítás terén a visszaélések jelentésére vonatkozó nemzeti jog és alapelvek előírják a visszaélést jelentő személy védelmét a rendszer használatát megtorló intézkedésekkel, például a vállalat vagy szervezet által hozott fegyelmi vagy diszkriminációs intézkedésekkel szemben. A személyes adatok bizalmas kezelését biztosítani kell azok gyűjtése, felfedése és megőrzése során.
6.
A visszaélés-jelentési rendszerek irányítása
A visszaélés-jelentõ rendszerek esetében alapos mérlegelést igényel a jelentések összegyûjtésének és kezelésének módja. A munkacsoport a rendszer belsõ kezelését részesíti elõnyben, ugyanakkor elismeri, hogy a vállalatok dönthetnek külsõ szolgáltató igénybevétele mellett, ahová a rendszer egy részét, többnyire a jelentések gyûjtését kiszervezik. E külsõ szolgáltatókra szigorú titoktartási kötelezettség kell vonatkozzon és kötelezettséget kell vállalniuk az adatvédelmi alapelveknek való megfelelésre. A vállalatnak a nála felállított rendszertõl függetlenül meg kell felelnie különösen az irányelv 16. és 17. cikkének.
15
i) Külön belső szervezet a visszaélés-jelentési rendszer irányítására A vállalaton vagy vállalatcsoporton belül különálló szervezetet kell létrehozni a visszaélésekrõl szóló jelentések kezelésére és a vizsgálatok vezetésére. E szervezetnek korlátozott számú, speciálisan képzett és erre kijelölt személyzetbõl kell állnia, akiket különleges titoktartási kötelezettségek szerzõdésben köteleznek. E visszaélés-jelentõ rendszert szigorúan el kell különíteni a vállalat más részlegeitõl, mint például a humán erõforrás osztály. A rendszernek biztosítania kell, hogy amennyiben szükséges, az összegyûjtött és feldolgozott adatokat a vállalaton vagy azon vállalatcsoporton belül, amelynek az adott vállalat részét képezi, kizárólag a külön ezért felelõs személyekhez továbbítják kivizsgálásra, vagy a jelentett tények nyomon követéséhez szükséges intézkedések meghozatalára. Az ezen információkat kézhez kapó személyeknek biztosítaniuk kell, hogy a kapott információt bizalmasan kezelik és az biztonsági intézkedések tárgyát képezi. ii) Külső szolgáltatók igénybevételének lehetősége Amennyiben a vállalatok vagy vállalatcsoportok külsõ szolgáltatóhoz fordulnak a visszaélés-jelentõ rendszer irányításának részleges kiszervezése érdekében, továbbra is felelõsek maradnak az abból eredõ adatfeldolgozási mûveletekért, mivel a szolgáltatók a 95/46/EK irányelv értelmében csupán feldolgozóként tevékenykednek. A külsõ szolgáltatók lehetnek telefonos ügyfélszolgálati központokat üzemeltetõ vállalatok, specializált vállalatok, vagy jogi vállalatok, amelyek jelentések gyûjtésére specializálódtak és esetenként a szükséges vizsgálatok egy részét is elvégzik. E külsõ szolgáltatóknak is meg kell felelniük a 95/46/EK irányelv rendelkezéseinek. Biztosítaniuk kell a vállalattal kötött szerzõdés által, amelynek nevében a rendszert üzemeltetik, hogy az adatokat a 95/46/EK irányelv alapelveivel összhangban gyûjtik és dolgozzák fel, valamint hogy az adatokat csak arra a meghatározott célra dolgozzák fel, amelyre gyûjtötték õket. Konkrétan, szigorú titoktartási kötelezettség kell vonatkozzon rájuk és a feldolgozott információt kizárólag a vállalaton vagy szervezeten belül a vizsgálatért vagy a jelentett tények nyomon követéséhez szükséges intézkedések meghozataláért felelõs személynek adhatják át. Meg kell felelniük az adatkezelõre vonatkozó adatmegõrzési idõszakoknak is. Az e mechanizmusokat alkalmazó vállalat adatkezelõi minõségében köteles rendszeresen ellenõrizni a külsõ szolgáltatók fenti irányelvnek való megfelelését. iii) Vizsgálati alapelvek az EU-ban az uniós vállalatok esetében, kivételek A multinacionális vállalatcsoportok jellegébõl és struktúrájából adódóan elõfordulhat, hogy a tényeket és bármely jelentés eredményét szélesebb csoportban, esetenként az EUn kívül is meg kell osztani. Figyelembe véve az arányossági alapelvet, alapvetõen a feltételezett szabálysértés jellege és súlyossága határozza meg, milyen szinten, és így mely országban kerül sor a jelentés értékelésére. Alapszabályként a munkacsoport úgy véli, a vállalatcsoportoknak helyi szinten kell kezelniük a jelentéseket, azaz egyetlen EU-s országban, ahelyett, hogy automatikusan megosztanák az információt a vállalatcsoport más vállalataival. 16
Mindazonáltal a munkacsoport elfogadja, hogy e szabály alól létezik néhány kivétel. A visszaélés-jelentési rendszeren keresztül kapott adatok – a jelentett kötelezettségszegés jellegétől vagy súlyosságától, illetve a vállalatcsoport felépítésétől függően – megoszthatók a vállalatcsoporton belül, amennyiben erre a vizsgálatokhoz szükség van. Az adatközlés a vizsgálati követelményekhez szükségesnek minősül például abban az esetben, ha a jelentés a vállalatcsoporton belüli másik jogalany üzletfelét, vagy az érintett vállalat magas rangú tagját vagy vezetőségi tisztviselőjét vádolja. Ez esetben az adatok kizárólag a címzett jogalany azon illetékes szervezeti egységével közölhetők bizalmas és biztonságos módon, amely a visszaélés-jelentési rendszer irányításával kapcsolatban az uniós vállalat e jelentések kezeléséért felelős szervezeti egysége által garantálttal megegyező biztosítékokat nyújt.
7.
Adattovábbítás harmadik országba
Ha személyes adatokat harmadik országba továbbítanak, a 95/46/EK irányelv 25. és 26. cikke alkalmazandó. A 25. és 26. cikk rendelkezéseinek alkalmazása akkor válik fontossá, amikor a vállalat a visszaélés-jelentõ rendszer irányítását részben kiszervezte egy, az EU-n kívüli székhelyû szolgáltatóhoz, vagy ha a jelentésekben összegyûjtött adatokat a vállalatcsoporton belül terjesztik, elérve így néhány EU-n kívüli vállalatot. Ezen adattovábbításoknak különösen nagy a valószínûsége harmadik országbeli vállalatok uniós leányvállalatai esetében. Amennyiben az a harmadik ország, ahová az adatokat továbbítják, nem biztosít a 95/46/EK irányelv 25. cikkében elõírtaknak megfelelõ szintû védelmet, az adatokat a következõk alapján lehet továbbítani: [1] ha a személyes adatok címzettje olyan egyesült államokbeli szervezet, amely tagja a biztonságos kikötõ rendszernek; [2] ha a címzett adattovábbítási szerzõdést kötött az adatot továbbító uniós vállalattal, amely alapján ez utóbbi megfelelõ biztosítéki intézkedéseket hoz, például az Európai Bizottság 2001. június 15-én vagy 2004. december 27-én közzétett határozataiban szereplõ általános szerzõdési feltételek alapján; [3] ha a címzettnél az adatvédelmi hatóságok által jóváhagyott kötelezõ érvényû vállalati szabályok vannak érvényben.
8.
Megfelelés a bejelentési kötelezettségnek
Az adatvédelmi irányelv 18-20. cikkeinek alkalmazásában a visszaélés-jelentési rendszereket felállító vállalatoknak meg kell felelniük a nemzeti adatvédelmi hatóságok előzetes ellenőrzésének, vagy az általuk előírt bejelentési kötelezettségnek. Az ilyen eljárással rendelkező tagállamokban az adatfeldolgozási műveleteket a nemzeti adatvédelmi hatóság előzetes ellenőrzésnek vetheti alá, amennyiben fennáll annak lehetősége, hogy e műveletek különleges veszélyt jelentenek az érintettek jogaira és szabadságaira nézve. Ez az eset állhat fenn, amikor a nemzeti jog különleges körülmények között lehetővé teszi magántulajdonú jogalanyok számára a feltételezett bűncselekményhez kapcsolódó adatok feldolgozását, ide értve az illetékes nemzeti felügyelő hatóság által elvégzett előzetes ellenőrzést is. Ugyancsak ez az eset állhat fenn, ha a nemzeti hatóság úgy véli, az adatfeldolgozási műveletek kizárhatják a jelentés 17
alanyát valamely jogból, előnyből vagy szerződésből. Annak értékelése, hogy az adatfeldolgozási műveletekre vonatkozik-e az előzetes ellenőrzés követelménye, a nemzeti jogalkotástól és a nemzeti adatvédelmi hatóság gyakorlatától függ. V – KÖVETKEZTETÉSEK A munkacsoport elismeri, hogy a visszaélés-jelentési rendszerek hasznos mechanizmust jelentenek a vállalatok és más szervezetek számára a vállalatirányítási szabályoknak és rendelkezéseknek való megfelelés ellenőrzésében, különösen a számvitel, belső számviteli ellenőrzés, könyvvizsgálati kérdések, valamint a korrupció, banki és pénzügyi bűnözés elleni küzdelemre vonatkozó rendelkezések és a büntetőjog terén. Segítséget nyújtanak a vállalatoknak a vállalatirányítási alapelvek megfelelő végrehajtásában és a vállalat helyzetét befolyásoló tények felderítésében. A munkacsoport hangsúlyozza, hogy a visszaélés-jelentési rendszerek kiépítése a számvitel, belső számviteli ellenőrzés, könyvvizsgálati kérdések, valamint a korrupció, banki és pénzügyi bűnözés elleni küzdelem terén – amire e vélemény vonatkozik – a személyes adatok védelmére vonatkozó, a 95/46/EK irányelvben rögzített alapelvekkel összhangban kell történjen. A munkacsoport úgy véli, az ezen alapelveknek való megfelelés segítséget nyújt a vállalatoknak és a visszaélés-jelentési rendszereknek a rendszerek megfelelő működésének biztosításához. A visszaélés-jelentési rendszer alkalmazása során létfontosságú, hogy a visszaélés jelentésének teljes folyamata során mind a jelentéstevő, mind a megvádolt személy tekintetében biztosított legyen a személyes adatok védelméhez való alapvető jog. A munkacsoport hangsúlyozza, hogy a 95/46/EK irányelvben rögzített adatvédelmi alapelveket teljes egészében alkalmazni kell a visszaélés-jelentési rendszerekre, különös tekintettel a megvádolt személy tájékoztatási, hozzáférési, adathelyesbítési és -törlési jogára. Mindazonáltal – tekintettel a kockán forgó különböző érdekekre – a munkacsoport elismeri, hogy nagyon különleges esetekben e jogok gyakorlása korlátozásra kerülhet a magánélet tiszteletben tartásához való jog és a rendszer által követett érdek közötti egyensúly megteremtése érdekében. Azonban minden ilyen korlátozást eseti alapon kell alkalmazni, a rendszer céljainak eléréséhez szükséges mértékben.
Kelt Brüsszelben, 2006. február 1-jén
a munkacsoport részéről
az elnök Peter Schaar
18
