Egyéni vállalkozók belső visszaélés-bejelentési rendszere a Panasztörvény alapján

A Panasztörvény elég mostohán bánik a hatálya alá tartozó egyéni vállalkozókkal, akiknek jelentős hányada alkalmazott nélküli önfoglalkoztató. A Panasztörvény egyfelől ugyanúgy kötelezi őket a belső visszaélés-bejelentési rendszer működtetésére, mint a többezer főt foglakoztató multinacionális nagyvállalatokat, másfelől eltiltja őket a lehetséges megoldások alkalmazásától, a maradék szabályokkal pedig lehetetlen feltételeket támaszt számukra.


Jellemzően a pénzmosás elleni törvény hatálya alá tartozó szolgáltatást nyújtó egyéni vállalkozókról van szó. Persze biztosan van olyan egyéni vállalkozó is, aki 50 alkalmazottal dolgozik, ő tevékenységére tekintet nélkül köteles a belső visszaélés-bejelentési rendszer létrehozására és alkalmazására. 

A Panasztörvény szerint a belső visszaélés-bejelentési rendszer működtetésével bejelentővédelmi ügyvéd is megbízható – de csak jogi személy foglalkoztató által. Miután az egyéni vállalkozó nem jogi személy, ebből a lehetőségből ki van zárva. 

Marad a lehetőség, hogy megbízza alkalmazottját, akivel szemben a törvény a pártatlanság követelményét állítja. Ez azt jelenti, hogy az egyéni vállalkozó önmagát nem bízhatja meg, mert ha valaki, akkor ő maga nem lehet pártatlan. 

Így egy alkalmazott nélküli egyéni vállalkozót gyakorlatilag úgy kötelez a törvény a belső visszaélés-bejelentési rendszer létrehozására és működtetésére, hogy a közben az ezt szolgáló jogi eszközök és technikák alkalmazásától eltiltja. 

Ebben a jogilag ellehetetlenített helyzetben álláspontom szerint a törvényes megoldás a következő. 

Egyéni vállalkozók részére álláspontom szerint a Panasztörvény alapján adatvédelmi tisztviselőként lehetőség van a belső visszaélés-bejelentési rendszer működtetésére, ügyvéd által is. 

A Panasztörvény kérdéses rendelkezései szerint: 

19. § (1) A belső visszaélés-bejelentési rendszert – a (2) bekezdésben foglalt kivétellel – a foglalkoztatónál egy erre a célra kijelölt, pártatlan személy vagy szervezeti egység működtetheti.

(2) A belső visszaélés-bejelentési rendszer működtetésével szerződés keretében bejelentővédelmi ügyvéd vagy más külső szervezet is megbízható. Külső szervezet megbízása esetén a külső szervezetre a bejelentővédelmi ügyvédre irányadó összeférhetetlenségi és pártatlansági szabályokat alkalmazni kell. 

Egy vállalkozásnál a GDPR 37. cikk /6/ bekezdése alapján nem alkalmazottként szolgáltatási szerződés alapján van lehetőség az adatvédelmi tisztviselő  tisztség ellátására. 

A jogviszonytól függetlenül az adatvédelmi tisztviselő  jogállása a GDPR 38. cikke alapján a következő:

(2) Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a 39. cikkben említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

(3) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

(4) Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

(5) Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

(6) Az adatvédelmi tisztviselő más feladatokat is elláthat. 

E rendelkezéseket összevetve a Panasztörvénnyel - az adatvédelmi tisztviselő megbízása a belső visszaélés-bejelentési rendszer működtetésével a Panasztörvény 19.§/1/ bekezdésén alapul, nem pedig a 19.§/2/ bekezdésén, tehát e /2/ bekezdésben írt összeférhetetlenségi szabályok fel sem merülnek. 

A Panasztörvény 19. § (1) bekezdése szerint a belső visszaélés-bejelentési rendszert – a (2) bekezdésben foglalt kivétellel – a foglalkoztatónál egy erre a célra kijelölt, pártatlan személy vagy szervezeti egység működtetheti. Ez alapján az egyéni vállalkozónál az adatvédelmi tisztviselő egy erre a célra kijelölt pártatlan személynek minősül, annál is inkább mert a pártatlanságát a GDPR rendelkezései is biztosítják. Az a rendelkezés, hogy az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel - valamint hogy az  érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnakegyértelművé teszi, hogy az adatvédelmi tisztviselőt a "foglalkoztatónál" működő személynek kell tekinteni. A Panasztörvény 19.§ /1/ bekezdése nem tartalmaz előírást arra nézve, hogy a "foglalkoztatónál" működő személynek alkalmazottnak kell lennie. 

Ez az értelmezés egybevág 2019/1937 EU irányelv (56) Preambulum-bekezdésével: "Az, hogy egy magánszektorban működő jogalanyon belül melyik személy vagy részleg a legalkalmasabb arra, hogy a bejelentések fogadására és nyomon követésére illetékesként kijelöljék, a szervezet struktúrájától függ, a feladatkörüknek ugyanakkor minden esetben biztosítania kell a függetlenséget és azt, hogy ne álljon fenn összeférhetetlenség. Kisebb szervezeteknél ez lehet kettős feladatkör, amelyet olyan vállalati vezető láthatna el, aki elég magas beosztásban van ahhoz, hogy közvetlenül a szervezet vezetőjének tudjon jelenteni, így például a megfelelésellenőrzési részleg vezetője vagy HR-vezető, az integritás-tanácsadó, a jogi vagy adatvédelmi tisztviselő, a pénzügyi igazgató, az ellenőrzési igazgató vagy egy igazgatótanácsi tag. 

Persze az Irányelv nem kötelező, viszont a Panasztörvény értelmezéséhez és alkalmazásához támpontokat ad. Ettől függetlenül a Panasztörvényt önmagában értelmezve is arra a következtetésre lehet jutni, hogy adatvédelmi tisztviselőként a belső visszaélés-bejelentési rendszer működtetése a Panasztörvény 19.§ /1/ bekezdése alapján lehetséges, ügyvéd részére is. És miután ez nem bejelentővédelmi ügyvédi megbízás, nem sérül az a törvényi rendelkezés, hogy bejelentővédelmi ügyvédi megbízást csak jogi személy adhat. Amely egyébként érthetetlen okból kizárja az egyéni vállalkozókat a bejelentővédelmi ügyvédi szolgáltatás igénybe vételéből. 

A Panasztörvény alaposan rászolgált a kritikára -  a fentiekben kifejtettek ide sorolhatók.

  1. Dr. Szabó Tibor ügyvéd
    www.drszabotibor.hu 

Vissza az előző oldalra