Küldjön bejelentést a legnagyobb titoktartás mellett

TITOKTARTÁS ÉS ADATBIZTONSÁG

A bejelentő védelmének törvényi háttere

A panasztételről, a közérdekű nyilvánosságra hozatalról, valamint a visszaélések bejelentésére vonatkozó szabályokról szóló 2023. évi XXV. törvény (közismert nevén a bejelentővédelmi törvény) deklarálja a bejelentő védelmére vonatkozó szabályokat.

A bejelentőt semmiféle retorzió, hátrányos megkülönböztetés vagy tisztességtelen bánásmód nem érheti, amennyiben jóhiszeműen járt el. A bejelentőt akkor sem érheti hátrány, ha az általa jóhiszeműen tett bejelentés a vizsgálat során megalapozatlannak bizonyul.

Jogszerűen megtett bejelentés esetén a törvény szerint a bejelentőt védelem illeti meg, ha vele szemben hátrányos intézkedést alkalmaztak és a bejelentett cselekmény bizonyos uniós jogszabályokat és azok megfelelését biztosító nemzeti jogszabályokat sérti.  Ezen jogszabályok a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvényben törvény 1. mellékletben, illetve a 2. mellékletben listázott európai uniós jogi aktusok vagy azok végrehajtását biztosító jogszabályi rendelkezések.

A belső visszaélés-bejelentési rendszerben a személyazonosságát felfedő bejelentő, valamint a bejelentésben érintett személy személyes adatait az erre jogosultakon kívül más nem ismerheti meg. A bejelentést kivizsgáló személyek a vizsgálat lezárásáig vagy a vizsgálat eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyre vonatkozó információkat – a bejelentésben érintett személy tájékoztatásán túl – a foglalkoztató más szervezeti egységével vagy munkatársával a vizsgálat lefolytatásához feltétlenül szükséges mértékben oszthatnak meg.

Ha nyilvánvalóvá vált, hogy a bejelentő rosszhiszeműen, valótlan adatot vagy információt közölt és ezzel bűncselekmény vagy szabálysértés elkövetésére utaló körülmény merül fel, vagy alappal valószínűsíthető, hogy másnak jogellenes kárt vagy egyéb jogsérelmet okozott, személyes adatait az eljárás kezdeményezésére, illetve lefolytatására jogosult szerv vagy személy kérelmére átadásra kerül.

 

A belső visszaélés-bejelentési rendszer keretei között kezelt adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására kizárólag a továbbítás címzettje által tett, a bejelentésre vonatkozó, 2023. évi XXV. törvényben foglalt szabályok betartására irányuló jogi kötelezettségvállalás esetén és a személyes adatok védelmére vonatkozó előírások figyelembevételével kerülhet sor.

 

Infrastruktúra és biztonság

A DigitalPA whistleblowing szoftvere a jogszabályoknak megfelelően a legmagasabb szintű biztonságot garantálja mind a bejelentő, mind az infrastruktúra tekintetében.

A bejelentő és a bejelentés biztonsága

  • Aszimmetrikus titkosítás szöveges tartalmakon és csatolmányokon: a titkosítás nem igényel speciális műveleteket a felhasználóktól. A kriptográfiai rendszer biztosítja, hogy mind az üzeneteket, mind a mellékleteket csak a feladó és a címzett tudja elolvasni, a „nyilvános és privát kriptográfiai kulcs” kombinációjával.
  • Bejelentkezés smart card-al.
  • Az adatvédelmi jogszabályoknak megfelelően szabályozott hozzáférés: a jelentésekhez való hozzáférés csak a hitelesítő adatok megadásával (regisztrált felhasználók) vagy a jelentéshez társított kódok megadásával (nem regisztrált felhasználók) lehetséges.

 

Alkalmazásbiztonság

A visszaélést bejelentő személyazonosságának titkosságát a rendszer biztosítja az adatok megfelelő elkülönítése révén, oly módon, hogy a regisztráció folyamata a bejelentési eljárástól elkülönítetten kerül kezelésre, tehát a bejelentésben valójában nem szerepel a bejelentő neve. A kivizsgálásért felelős személynek lehetősége van arra, hogy – amennyiben szükségesnek ítéli, illetve jogszabályban meghatározott esetekben – elindítsa azt az eljárást, amelyen keresztül a rendszer összekapcsolja a visszaélést bejelentő személyét a bejelentéssel.  Ennek kivitelezéséhez a vizsgálatért feleős személynek meg kell indokolnia a visszaélést bejelentő személyazonosságának felfedésére irányuló kérelmét. A műveletről az alkalmazás automatikusan értesíti a bejelentőt, és rögzíti a rendszernaplókban. Amennyiben a bejelentés megtételére név nélkül került sor erre nincs lehetőség.

  • DigitalPA dedikált szerverek: maximális adatvédelmi és biztonsági szintek mind a DigitalPA, mind a szerverfarm infrastruktúra által garantált, ISO 27001/2014 tanúsítvánnyal rendelkezik.
  • Integrált hardveres és szoftveres tűzfalak: minden platform rendelkezik integrált tűzfallal, szigorú szabályokkal, amelyek a hozzáféréseket és a műveleteket kizárólag azokra a feladatokra korlátozzák, amelyeket a felhasználónak a szoftverrel végre kell hajtania; a különböző tűzfalak integrálása még tovább növeli a biztonságot.
  • SSL-tanúsítvány: a visszaélést bejelentő szoftver kizárólag HTTPS-hozzáférésen (Secure Sockets Layer) keresztül érhető el.
  • Dedikált IP és SSL tanúsítvány minden ügyfél számára.
  • Felhasználói bemenet validálása: a platform a felhasználó bemenetének validálásán alapul. A rendkívül szigorú szabályok révén a felhasználó ellenőrzése kliens és szerver szinten is megtörténik.
  • CSRF megelőzés: a platform által kezelt összes kérést CSRF token védi.