2021. december 17-től EU irányelv (2019/1937) írja elő a visszaélés-bejelentési rendszer alkalmazását a 250 főt elérő szervezeteknél.
A szabályozás célja olyan minimumszabályok megállapítása a tagállamok számára, amely a közérdeket sértő visszaélést bejelentő személyek védelmét biztosítja, és ezáltal segíti elő az ilyen jogsértések megelőzését, felderítését. A rendelet felsorolja azon területeket (közbeszerzés, építőipari beruházások kivitelezése, élelmiszer biztonság, közlekedés biztonság stb.), amelyben a visszaélés-bejelentő rendszer alkalmazásának kulcsfontosságú szerepet szán, azonban a tagállamok döntésére bízza, hogy mely ágazatokban kívánja bevezetni. A jogszabály kiemeli a vállalkozásoknál dolgozókat, akik első kézből szerezhetnek bizonyítékot a jogsértő gyakorlatra vonatkozóan. Az irányelv ugyanakkor sok más kérdéskör (nemzetbiztonság; minősített adatok védelme; szűkített esetkörben ügyvédi titoktartási kötelezettség és egészségügyi titoktartási kötelezettség stb.) mellett kiveszi a hatálya alól a munkajoggal kapcsolatos jogsértéseket bejelentő munkavállalókat megillető védelmet, így amennyiben a munkáltató által megtett intézkedések és alkalmazott eszközök nem megfelelőek a munkahelyi biztonság és egészségvédelem biztosításához, a munkavállalók, illetve képviselőik az illetékes hatósághoz fordulhatnak.
A bejelentő személyek választásuk szerint igénybe vehetnek belső, külső csatornát és a nyilvánosság számára is közzé tehetnek információkat. Az irányelv empirikus tanulmányokra hivatkozva kijelenti, hogy a legtöbb bejelentés belső (szervezeten belüli) csatornán érkezik, amely azt jelenti, hogy a munkahelyeknek kiemelten kell biztosítania ezen személyek védelmét. A bejelentések névtelensége megfelelő biztonságot nyújthat a retorziótól tartó bejelentő személynek, azonban a szabályozás a tagállamok döntésére bízza, hogy a magánszektorban, közszférában működő szervezetek kötelesek-e ezt elfogadni. Az irányelv alapján védelmet kell biztosítani a külső bejelentést (pl. hatósági bejelentés) tevő személyeknek, illetve az online platformokat igénybe vevő, közvetlenül a nyilvánosság számára hozzáférhetővé tett információkat megosztó személyeknek.
Az irányelv egyértelműen a belső csatornák létrehozását ösztönzi, éppen ezért előírja, hogy a magánszektorban működő jogalanyok a csatornák létrehozására vonatkozó kötelezettsége álljon arányban a méretükkel (hány főt foglalkoztatnak) és tevékenységük közérdekre gyakorolt kockázatának értékelésével. Kockázatértékeléstől függetlenül 2023. december 17-ig a legalább 50 fő munkavállalót foglalkoztató vállalkozás köteles belső bejelentési csatornát létesíteni. A tagállamok ugyanakkor a vállalkozás méretét figyelmén kívül hagyva meghatározhatják a belső csatorna létrehozásának feladatát, pusztán a tevékenységi körből fakadó kockázat értékelésére alapozva. Amennyiben a vállalkozás nem biztosít belső bejelentési csatornát, a bejelentő személyeknek külső csatornát kell biztosítani.
A tagállamok a visszaélés-bejelentési rendszer alkalmazása alól mentesíthetik a 10 000 főnél kevesebb lakosú önkormányzatokat vagy 50 főnél kevesebb munkavállalót foglalkoztató önkormányzati szerveket, illetve más, 50 főnél kevesebb munkavállalót foglalkoztató szervezeteket.
A magánszektorban és közszférában működő szervezetek – a bejelentő személy személyazonosságának bizalmas kezelésére való tekintettel – maguk dönthetik el a csatorna típusát (pl. email, posta, „panaszdoboz”, telefon, online platform), azonban a bejelentő személynek kérésére lehetővé kell tenni a személyes találkozó útján történő bejelentést. A szervezetek dönthetnek úgy, hogy nevükben harmadik személyeket hatalmaznak fel e bejelentések fogadására, kezelésére, akik megfelelő szakismereteikkel tudják biztosítani az irányelvben foglaltakat. A szabályozás a szervezeteken belül példálózó jelleggel sorolja fel azon tisztségeket, beosztásokat (HR vezető, megfelelés ellenőrzési vezető, integritás tanácsadó, adatvédelmi tanácsadó), akik fokozott titoktartás mellett, összeférhetetlenség nélkül tudják kivizsgálni a beérkező jelentéseket.
A belső bejelentések esetében – további külső, nyilvános bejelentések elkerülés érdekében – szükséges, hogy a bejelentő személy tájékoztatást kapjon a bejelentése nyomon követéséről és észszerű időn belüli (legfeljebb 3 hónap) kivizsgálásáról.
A bejelentő személyt elbizonytalaníthatja a bejelentés eredményességébe vetett bizalom hiánya, illetve a megtorlástól való félelem. Ennek okán a szabályozás a tagállamok kötelezettségeként írja elő olyan megfelelő kapacitással, szakértelemmel rendelkező hatóságok kijelölését, akik teljeskörűen el tudnak járni a bejelentésekkel kapcsolatosan. A hatósági ügyintézés – amennyiben az ügy sajátos körülményei indokolják – legfeljebb 6 hónapot vehet igénybe. A hatóságoknak lehetőséget kell adni a bejelentés megítélésére, adott esetben (ismétlődő bejelentés, enyhe jogsértés) az eljárás megszüntetésére. A hatóságoknak olyan csatornákat kell biztosítani, amely felhasználóbarát, biztonságos, garantálja a bizalmas jelleget és lehetővé teszi a bejelentések kivizsgálás, jogérvényesítés céljából történő biztonságos tárolását. E feltételek következtében célszerű a hatóság által eddig a nyilvánosság számára közzétett elérhetőségektől független, könnyen elérhető és érthető kommunikációs csatornát létrehozni. A bejelentő személy személyazonossága csak abban az esetben fedhető fel, ha az a hatósági vizsgálat, bírósági eljárás vagy a személy védelme érdekében szükséges. A hatóságoknak a megtett bejelentésről igazolást kell küldeniük a bejelentő személynek a bejelentés kézhezvételétől számított 7 napon belül.
A tagállamoknak egyénre szabott, pártatlan, bizalmas és ingyenes tanácsadást kell biztosítania a bejelentők számára, amely segít annak eldöntésében, hogy a bejelentést milyen formában kívánják megtenni és amelynek keretében tájékoztatást kaphatnak a védelmi intézkedések garanciáiról. A tagállamok e kötelezettségüket információs központ felállításával, független közigazgatási hatóságok kijelölésével, megbízott civil szervezetek útján is teljesíthetik.
A magánszemélyek jogi és szerződéses kötelezettségeire – például szerződések lojalitási záradékaira vagy bizalmas adatkezelési vagy titoktartási megállapodásokra – hivatkozva nem akadályozható meg a bejelentés, nem tagadható meg a védelem, és nem büntethetők a bejelentő személyek a jogsértésre vonatkozó információk bejelentése vagy a nyilvánosságra hozatal miatt, amennyiben az említett záradékok és megállapodások hatálya alá tartozó információk közlése szükséges a jogsértés feltárásához1 és ezeket jogszerűen szerezték meg.
Az irányelv – a megtorlások elkerülése érdekében – fordított bizonyítási terhet alkalmaz, így a bejelentő személyt ért negatív hátrány esetében az őt foglalkoztató személynek kell bizonyítania, hogy az általa hozott intézkedés nincsen összefüggésben a bejelentéssel.
1 (91) preambulumbekezdés