Whistleblowing Regulations

NIX Tech Korlátolt Felelősségű Társaság Visszaélés-bejelentési szabályzata

I. Bevezetés

Az Országgyűlés Magyarország korrupció elleni fellépésével összhangban vállalt nemzetközi jogi és európai uniós jogi kötelezettségeire figyelemmel, biztosítva a bejelentők minél teljesebb védelme érdekében szükséges intézkedéseket, a bejelentések jelentőségét a magánszektorban is elismerve megalkotta a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvényt (a továbbiakban: Panasztörvény), ezzel a NIX Tech Korlátolt Felelősségű Társaság (a továbbiakban: Társaság) számára is kötelezővé téve belső visszaélés-bejelentési rendszer (továbbiakban: Visszaélés-bejelentési rendszer) létrehozását.

A Társaság számára eddig is kiemelkedő fontosságú volt az, hogy foglalkoztatóként kollégáitól és partnereitől első kézből értesüljön arról, hogy a Társaságnál milyen problémák, visszaélések, érdek- és jogsérelmek fordulnak elő. A panaszok és közérdekű bejelentések megfelelő indikátorai lehetnek a Társaságon belüli folyamatok tökéletesítésének, fejlesztésének, valamint a visszaéléseket lehetővé tevő helyzetek kiküszöbölésének, megelőzésének. Belső és külső munkatársaink a visszaélés- bejelentési rendszer létrehozásával és a bejelentővédelmi intézkedésekkel gyors és hatékony jogvédelmet kaphatnak, panaszaik megfelelően kivizsgálásra kerülhetnek, így azok hatékony kezelése hozzájárulhat a kiegyensúlyozott, partnerségre épülő családias munkahelyi kultúra megőrzésében.

II. Fogalommeghatározások

1. 1. Panasz: A panasz olyan kérelem, amely egyéni jog- vagy érdeksérelem megszüntetésére irányul, és elintézése nem tartozik más – így különösen bírósági, közigazgatási – eljárás hatálya alá. A panasz javaslatot is tartalmazhat;
2. 2. Közérdekű bejelentés: A közérdekű bejelentés olyan körülményre hívja fel a figyelmet, amelynek orvoslása vagy megszüntetése a közösség vagy az egész társadalom érdekét szolgálja. A közérdekű bejelentés javaslatot is tartalmazhat;
3. 3. Bejelentés: Panaszt vagy Közérdekű bejelentés tartalmazó szóbeli vagy írásos közlés, amelyet bejelentő személy a Visszaélés-bejelentési rendszerben a címzetthez eljuttat;
4. 4. Bejelentő: az a személy, aki Bejelentést a Visszaélés-bejelentési rendszerben megteszi;
5. 5. Bejelentésben érintett személy: a Bejelentésben érintett természetes személy, illetve jogi személy;
6. 6. Foglalkoztatásra irányuló jogviszony: minden olyan jogviszony, amelyben a foglalkoztatott a foglalkoztató részére és annak irányítása alatt ellenérték fejében tevékenységet végez vagy önmaga foglalkoztatását végzi.
7. 7. Foglalkoztató: aki természetes személyt foglalkoztatásra irányuló jogviszony keretében foglalkoztat.
8. 8. Foglalkoztatott: az a természetes személy, aki a Foglalkoztató számára és annak irányítása alatt Foglalkoztatásra irányuló jogviszony keretében, ellenérték fejében tevékenységet végez, vagy önmaga foglalkoztatását végzi.

III. A Visszaélés-bejelentési rendszer

A Társaság által működtetett Visszaélés-bejelentési rendszerben jogellenes vagy jogellenesnek feltételezett cselekményre vagy mulasztásra, illetve egyéb visszaélésre vonatkozó információt lehet bejelenteni.

A Visszaélés-bejelentési rendszert a Társaság megbízása alapján a Panasztörvény 50.§-ban foglaltaknak megfelelően Dr. Kertész Kata bejelentővédelmi ügyvéd működteti.

A bejelentővédelmi ügyvéd elérhetőségei:

• Telefon: +36 70 7333008
• Munkanapokon 8-17 óráig
• E-mail: [email protected]

A Társaság Visszaélés-bejelentési rendszerében Bejelentést tehet:

a) a Társaság által Foglalkoztatott;
b) az a Foglalkoztatott, akinek a Társaságnál fennálló foglalkoztatásra irányuló jogviszonya megszűnt;
c) a Társasággal foglalkoztatásra irányuló jogviszonyt létesíteni kívánó olyan személy, aki esetében e jogviszony létesítésére vonatkozó eljárás megkezdődött;
d) az egyéni vállalkozó, az egyéni cég, ha a Társasággal szerződéses kapcsolatban áll;
e) a Társaságban tulajdonosi részesedéssel rendelkező személy, valamint a Társaság ügyvezetéséhez tartozó személy;
f) a Társasággal szerződéses kapcsolat létesítésére vonatkozó eljárást megkezdett, szerződéses kapcsolatban álló vagy szerződéses kapcsolatban állt vállalkozó, alvállalkozó, beszállító, illetve megbízott felügyelete és irányítása alatt álló személy;
g) a Társaságnál tevékenységet végző gyakornok és önkéntes;
h) a Társasággal az d), e) vagy g) pont szerinti jogviszonyt vagy szerződéses kapcsolatot létesíteni kívánó olyan személy, aki esetében e jogviszony vagy szerződéses kapcsolat létesítésére vonatkozó eljárás megkezdődött, és
i) az a személy, akinek a d), e) vagy g) pont szerinti jogviszonya vagy szerződéses kapcsolata a Társasággal megszűnt.

IV. A Bejelentés módjai

1. 1. A Bejelentést szóban vagy elektronikus úton, e-mail útján írásban lehet megtenni. A szóbeli Bejelentést telefonon vagy személyesen lehet megtenni. A személyes bejelentés megtételére előzetes időpontegyeztetést követően a bejelentővédelmi ügyvéd székhelyén (1115 Budapest, Etele út 42/A 9. em. 57.) van mód munkanapokon.
2. 2. A bejelentővédelmi ügyvéd a telefonon hozzá érkező szóbeli Bejelentést írásba foglalja és – annak ellenőrzésére, helyesbítésére, aláírással történő elfogadására vonatkozó lehetőség biztosítása mellett – a Bejelentő számára másodpéldányban átadja.
3. 3. Ha a Bejelentő személyesen teszi meg a Bejelentését, a bejelentővédelmi ügyvéd a szóbeli bejelentést a személyes adatok védelmére vonatkozó előírások szerint megtett tájékoztatást (1. számú melléklet) követően
   a) tartós és visszakereshető formában rögzíti, vagy
   b) írásba foglalja és – annak ellenőrzésére, helyesbítésére, aláírással történő elfogadására vonatkozó lehetőség biztosítása mellett – a bejelentő számára másodpéldányban átadja.
4. 4. A bejelentővédelmi ügyvéd a szóbeli Bejelentés írásba foglalása során teljes és pontos jegyzőkönyvet köteles készíteni.
5. 5. Szóbeli bejelentés esetén a bejelentővédelmi ügyvéd a Bejelentő figyelmét felhívja a rosszhiszemű bejelentés következményeire, a Bejelentés kivizsgálására irányadó eljárási szabályokra (2. számú melléklet) és arra, hogy a Bejelentő személyazonosságát – ha az annak megállapításához szükséges adatokat megadja – a Bejelentés kivizsgálás valamennyi szakaszában bizalmasan kezelik.
6. 6. Írásbeli Bejelentés esetén a bejelentővédelmi ügyvéd az írásbeli Bejelentés kézhezvételétől számított 7 (hét) napon belül a Bejelentés megtételéről elektronikus visszaigazolást küld a Bejelentő számára e-mail útján. A visszaigazolás keretében a Bejelentő részére általános tájékoztatást kell nyújtani az eljárási és adatkezelési szabályokról. (1. számú és 2. számú melléklet)

V. A Bejelentés kivizsgálása

1. 1. A bejelentővédelmi ügyvéd a hozzá érkezett Bejelentésben foglaltakat a lehető legrövidebb időn belül, de legfeljebb a Bejelentés beérkezésétől számított 30 (harminc) napon belül kivizsgálja. Ezt a határidőt különösen indokolt esetben, a Bejelentő egyidejű tájékoztatása mellett lehet meghosszabbítani. A Bejelentőt ebben az esetben a kivizsgálás várható időpontjáról és a kivizsgálás meghosszabbításának okairól röviden e-mail útján tájékoztatni kell. A Bejelentés kivizsgálásának és a Bejelentő tájékoztatásának határideje a meghosszabbítás esetén sem haladhatja meg a 3 (három) hónapot.
2. 2. A Bejelentés kivizsgálása során a bejelentővédelmi ügyvéd kapcsolatot tart a Bejelentővel, ennek keretében a Bejelentés kiegészítésére, pontosítására, a tényállás tisztázására, valamint további információk rendelkezésre bocsátására hívhatja fel a Bejelentőt.
3. 3. A Bejelentés kivizsgálása mellőzhető, ha a) a Bejelentést azonosíthatatlan Bejelentő tette meg (azonosíthatatlan a Bejelentő, ha a Bejelentő személyére vonatkozóan – az erre vonatkozóan tett ésszerű erőfeszítések dacára – nem áll a bejelentővédelmi ügyvéd számára elegendő információ); b) a Bejelentést nem a jelen Szabályzat III. pontjában meghatározott, a Bejelentés megtételére jogosult személy tette meg; c) a Bejelentés ugyanazon Bejelentő által tett ismételt, a korábbi bejelentéssel azonos tartalmú bejelentés, illetve d) a közérdek vagy a nyomós magánérdek sérelme a Bejelentésben érintett személy jogainak a Bejelentés kivizsgálásából eredő korlátozásával nem állna arányban.
4. 4. Ha a Bejelentés kivizsgálása jelen Szabályzat V.3. pontja szerint mellőzhető, a bejelentővédelmi ügyvédnek ezen tény megállapításáig el kell végeznie a Bejelentés fogadásával, rögzítésével, valamint a Bejelentéssel összefüggő tájékoztatások megadásával kapcsolatos feladatokat.
5. 5. A Bejelentés kivizsgálása során értékelni kell a Bejelentésben foglalt körülmények helytállóságát, és meg kell hozni azokat az intézkedéseket, amelyek alkalmasak a jogellenes vagy jogellenesnek feltételezett cselekmények vagy mulasztások, illetve egyéb visszaélések orvoslására.
6. 6. Ha a Bejelentés tartalma alapján büntetőeljárás kezdeményezése indokolt, akkor intézkedni kell a büntető feljelentés megtételéről.
7. 7. A bejelentővédelmi ügyvéd a Bejelentés kivizsgálásáról vagy annak mellőzéséről és a mellőzés indokáról, a Bejelentés kivizsgálásának az eredményéről, a megtett vagy tervezett intézkedésekről a Bejelentőt írásban tájékoztatja. Az írásbeli tájékoztatás kizárólag akkor mellőzhető, ha a bejelentővédelmi ügyvéd a Bejelentőt szóban tájékoztatta, aki a tájékoztatást – utólag is igazolható módon – kifejezetten tudomásul vette.
8. 8. A bejelentővédelmi ügyvéd világos és könnyen hozzáférhető információt nyújt a Visszaélés-bejelentési rendszer működésére, a Bejelentéssel kapcsolatos eljárásra, valamint a Visszaélés-bejelentési rendszerekre és eljárásokra vonatkozóan. (2. számú melléklet)

A bejelentéssel kapcsolatos adatkezelés szabályai

1. 1)A Visszaélés-bejelentési rendszer keretei között
   a) a Bejelentőnek,
   b) annak a személynek, akinek a magatartása vagy mulasztása a Bejelentésre okot adott, és
   c) annak a személynek, aki a Bejelentésben foglaltakról érdemi információval rendelkezhet, a Bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatai kizárólag a Bejelentés kivizsgálása és a Bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezelhetők.
2. 2) A Visszaélés-bejelentési rendszer keretei között kezelt adatok közül haladéktalanul törölni kell a VI.1. pont hatálya alá nem tartozó személyes adatokat.
3. 3) A Bejelentő személyes adatai – a nyilvánvalóan rosszhiszemű, valótlan adatokat, információkat közlő Bejelentő adatainak kivételével – csak a Bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező állami szerv vagy hatóság részére adhatók át, ha ezen állami szerv vagy hatóság az adatok kezelésére törvény alapján jogosult, vagy az adatai továbbításához a Bejelentő hozzájárult. A Bejelentő személyes adatai kifejezett hozzájárulása nélkül nem hozhatók nyilvánosságra.
4. 4) Ha nyilvánvalóvá vált, hogy a Bejelentő rosszhiszeműen, valótlan adatot vagy információt közölt és
   a) ezzel összefüggésben bűncselekmény vagy szabálysértés elkövetésére utaló körülmény merül fel, a Bejelentő személyes adatait az eljárás lefolytatására jogosult állami szerv, hatóság vagy személy részére át kell adni,
   b) megalapozottan valószínűsíthető, hogy másnak jogellenes kárt vagy egyéb jogsérelmet okozott, személyes adatait az eljárás kezdeményezésére, illetve lefolytatására jogosult állami szerv, hatóság vagy személy kérelmére át kell adni.
5. 5) Ha a Bejelentés természetes személyre vonatkozik, az e természetes személyt megillető, a személyes adatok védelmére vonatkozó előírások szerinti, a tájékoztatáshoz és hozzáféréshez való joga gyakorlása során a Bejelentő személyes adatai nem tehetők megismerhetővé a tájékoztatást kérő személy számára.
6. 6) A Visszaélés-bejelentési rendszer keretei között kezelt adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására kizárólag a továbbítás címzettje által tett, a Bejelentésre vonatkozó, a Panasztörvényben foglalt szabályok betartására irányuló jogi kötelezettségvállalás esetén és a személyes adatok védelmére vonatkozó előírások figyelembevételével kerülhet sor.
7. 7) A személyazonosságát felfedő Bejelentő, a Bejelentésben érintett személy, illetőleg az a személy, aki a Bejelentésben foglaltakról érdemi információval rendelkezhet, személyes adatait az erre jogosultakon kívül más nem ismerheti meg. A Bejelentést kivizsgáló személyek a vizsgálat lezárásáig vagy a vizsgálat eredményeképpen történő formális felelősségre vonás kezdeményezéséig a Bejelentés tartalmára és a Bejelentésben érintett személyre vonatkozó információkat – a Bejelentésben érintett személy tájékoztatásán túl – a Társaság más szervezeti egységével vagy munkatársával a vizsgálat lefolytatásához feltétlenül szükséges mértékben oszthatják meg.
8. 8) A Bejelentésben érintett személyt és azt a személyt, aki a Bejelentésben foglaltakról érdemi információval rendelkezhet, a vizsgálat megkezdésekor részletesen tájékoztatni kell a Bejelentésről, a személyes adatai védelmével kapcsolatban őt megillető jogairól, valamint az adatai kezelésére vonatkozó szabályokról. A tisztességes eljárás követelményének megfelelően biztosítani kell, hogy a Bejelentésben érintett, illetőleg a Bejelentésben foglaltakról érdemi információval rendelkező személy a Bejelentéssel kapcsolatos álláspontját jogi képviselője útján is kifejtse, és azt bizonyítékokkal támassza alá. A Bejelentésben érintett illetőleg a Bejelentésben foglaltakról érdemi információval rendelkező személy tájékoztatására kivételesen, indokolt esetben később is sor kerülhet, ha az azonnali tájékoztatás meghiúsítaná a Bejelentés kivizsgálását.

VI. A Bejelentők védelme

1. 1. Minden, a Bejelentő számára hátrányos intézkedés,
   a) amelyre a Bejelentés jogszerű megtétele miatt kerül sor és
   b) amelyet a III. fejezetben meghatározott jogviszonnyal vagy kapcsolattal összefüggésben valósítanak meg, jogellenesnek minősül akkor is, ha egyébként jogszerű lenne.
2. 2. Hátrányos intézkedésnek minősül a Bejelentő számára hátrányos cselekmény vagy mulasztás, különösen
   a) a felfüggesztés, a csoportos létszámcsökkentés, a felmondás vagy ezekkel egyenértékű intézkedések;
   b) a munkaköri feladatok átruházása, a munkavégzés helyének megváltoztatása, a bércsökkentés, a munkaidő megváltoztatása;
   c) a képzés megtagadása;
   d) a negatív teljesítményértékelés vagy munkareferencia;
   e) a foglalkoztatásra irányuló jogviszonyára vonatkozó törvény szerinti bármely hátrányos jogkövetkezmény – így különösen fegyelmi intézkedés, megrovás, pénzügyi szankció – alkalmazása;
   f) a kényszerítés, a megfélemlítés, a zaklatás vagy a kiközösítés;
   g) a hátrányos megkülönböztetés, hátrányos vagy tisztességtelen bánásmód;
   h) a határozott idejű foglalkoztatásra irányuló jogviszony határozatlan idejűvé átalakításának elmulasztása, ha a Foglalkoztatott jogszerű elvárása az volt, hogy foglalkoztatásra irányuló jogviszonyát határozatlan idejűvé változtatják;
   i) a határozott idejű munkaszerződés megújításának elmulasztása vagy annak idő előtti megszüntetése;
   j) a károkozás, amely magában foglalja a személy jóhírnevének megsértését vagy a pénzügyi veszteséget, beleértve az üzleti lehetőség elvesztését és a bevételkiesést is;
   k) az olyan intézkedés, amelynek eredményeképpen okkal következik, hogy az adott személy a jövőben foglalkoztatásra irányuló jogviszonyt a foglalkoztatásra irányuló jogviszonya szerinti ágazatban nem létesíthet;
   l) az egészségügyi alkalmassággal összefüggő vizsgálat előírása;
   m) az áru- vagy szolgáltatási szerződés idő előtti megszüntetése vagy felmondása, és
   n) az engedély visszavonása.
3. 3. A VI.2. pont szerinti hátrányos intézkedéssel összefüggő hatósági vagy bírósági eljárás során – ha a Bejelentő a Bejelentés megtételének jogszerűségét bizonyítja –
   a) vélelmezni kell, hogy a hátrányos intézkedésre a Bejelentés jogszerű megtétele miatt került sor, és
   b) a hátrányos intézkedést hozó személyt terheli annak bizonyítása, hogy a hátrányos intézkedés megtételére alapos indokkal és nem a Bejelentés jogszerű megtétele miatt került sor.
4. 4. A Bejelentés jogszerű megtétele esetén a Bejelentő nem tekinthető a törvény által védett titok nyilvánosságra hozatalával összefüggő korlátozást vagy más, az információfelfedésre vonatkozó jogszabályi korlátozást megszegőnek, és az ilyen Bejelentés tekintetében nem terheli felelősség, ha a Bejelentő alapos okkal feltételezte azt, hogy a Bejelentés szükséges volt a Bejelentéssel érintett körülmények feltárásához.
5. 5. A Bejelentés jogszerű megtétele esetén a Bejelentőt nem terheli felelősség a Bejelentésben szereplő információk megszerzése vagy az azokhoz való hozzáférés tekintetében, kivéve, ha a Bejelentő az információk megszerzésével vagy az azokhoz való hozzáféréssel bűncselekményt követett el. A Bejelentő a Bejelentés jogszerű megtételéért nem vonható felelősségre, ha a Bejelentő alapos okkal feltételezte azt, hogy a Bejelentés szükséges volt a Bejelentéssel érintett körülmények feltárásához. A Bejelentő az VI.4.-5. pontban foglaltakra valamennyi hatósági vagy bírósági eljárás során – a Bejelentés megtétele jogszerűségének bizonyítása mellett – hivatkozhat.
6. 6. A Bejelentés megtétele jogszerű, ha
   a) a Bejelentő a bejelentését a Visszaélés-bejelentési rendszerben, a jelen Szabályzatban, illetve
   a Panasztörvényben meghatározott szabályok szerint tette meg;
   b) a Bejelentő a Bejelentéssel érintett körülményekre vonatkozó, bejelentett információt a munkavégzéssel kapcsolatos tevékenységével összefüggésben szerezte, és
   c) a Bejelentő alapos okkal vélelmezte, hogy a Bejelentéssel érintett körülményekre vonatkozó, bejelentett információ a Bejelentés időpontjában valós volt.
7. 7. A Bejelentőre vonatkozó védelemben részesül, aki
   a) a jogszerű Bejelentést tevő Bejelentő részére segítséget nyújt a Bejelentés megtétele során,
   b) a jogszerű Bejelentést tevő Bejelentővel kapcsolatban álló olyan személy – így különösen a bejelentő munkatársa vagy családtagja -, akit a VI.2. pont szerinti hátrányos intézkedés érhet.
8. 8. Vegyes rendelkezések
   1. Ha a bejelentővédelmi ügyvédhez tévedésből a Társaság által gyártott vagy forgalmazott termékeivel, szolgáltatásaival kapcsolatos minőségi Bejelentés érkezik, a bejelentővédelmi ügyvéd köteles azt haladéktalanul a Társaság illetékes szervezeti egységéhez továbbítani.
   2. A jelen Szabályzatban részletesen nem szabályozott kérdésekben a Panasztörvényben foglaltak az irányadók.
   3. Jelen Szabályzat rendelkezéseit 2023. december 01. napjától kell alkalmazni.

1. Számú melléklet a NIX Tech Korlátolt Felelősségű Társaság Visszaélés-bejelentési szabályzatához

A BEJELENTŐ TÁJÉKOZTATÁSA A SZEMÉLYES ADATOK VÉDELMÉRŐL

ADATKEZELÉSI TÁJÉKOZTATÓ

A BELSŐ VISSZAÉLÉS-BEJELENTÉSI RENDSZER KERETEI KÖZÖTT ELENGEDHETETLENÜL SZÜKSÉGES SZEMÉLYES ADATOK KEZELÉSE VONATKOZÁSÁBAN

1. 1. Adatkezelő
   • Adatkezelő: NIX Tech Korlátolt Felelősségű Társaság
   • székhely: 1138 Budapest, Föveny utca 4-6. 5. emelet
   • képviseli: Dr. Málik Benjámin Lajos ügyvezető
   • e-mail: [email protected]
   • honlap: https://nixstech.com/

   (a továbbiakban: az „Adatkezelő”)

2. 2. Belső visszaélés-bejelentési rendszer (továbbiakban: Visszaélés-bejelentési rendszer) keretei között elengedhetetlenül szükséges személyes adatok.
   A Visszaélés-bejelentési rendszerben jogellenes vagy jogellenesnek feltételezett cselekményre vagy mulasztásra, illetve egyéb visszaélésre vonatkozó információt lehet bejelenteni. A bejelentő, azaz Ön a bejelentést írásban vagy szóban teheti meg. A belső visszaélés-bejelentési rendszerben adatkezelésre kerül a bejelentő személyes adatai, valamint annak a személyes adatai, akinek a magatartása vagy mulasztása okot adott a bejelentésre, továbbá akinek érdemi információja van a bejelentéssel kapcsolatosan. A bejelentési rendszerből minden más – az előzőekben meghatározottakhoz nem tartozó – személyes adat haladéktalanul törlésre kerül.
   Az adatkezelés jogalapja: Jogi kötelezettség teljesítése. [GDPR 6. cikk (1) bek. c.) pont] A bejelentést a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény értelmében kötelesek vagyunk kivizsgálni és kezelni.
   Az adatkezelés célja: Kizárólag a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése.
   Az adatkezelés időtartama: A fentebb meghatározott cél megvalósításáig őrizzük meg az adatokat.
   Címzetti kör: A bejelentő személyes adatai csak a bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező állami szerv és hatóság részére adhatók át, ha ezen állami szerv és hatóság annak kezelésére törvény alapján jogosult, vagy az adatai továbbításához a bejelentő hozzájárult. A bejelentő személyes adatai hozzájárulása nélkül nem hozhatóak nyilvánosságra. Ha nyilvánvalóvá vált, hogy a bejelentő rosszhiszeműen, valótlan adatot vagy információt közölt, a személyes adatait az erre vonatkozó eljárás kezdeményezésére, illetve lefolytatására jogosult szervnek vagy személynek kérelmére át kell adni.
   Harmadik országba vagy nemzetközi szervezet részére történő továbbítás: Kizárólag jogi kötelezettségvállalás esetén és a személyes adatok védelmére vonatkozó előírások figyelembevételével kerülhet sor.
3. 3. Bejelentő jogai
   Az adatkezelés kapcsán Önt az alábbi 3.1.-3.4. pontokban részletezett jogok illetik meg. Amennyiben élni szeretne valamelyikkel, kérjük, hogy kérését írja meg nekünk az alábbi elérhetőségek egyikére:
   • Cím: 1138 Budapest, Föveny utca 4-6. 5. emelet
   • E-mail cím: [email protected]

   Azonosítás
   A kérése teljesítése előtt minden esetben azonosítanunk kell az Ön személyazonosságát. Ha nem tudjuk Önt azonosítani, sajnos nem teljesíthetjük a kérését.
   A kérés megválaszolása
   Az azonosítást követően írásban, elektronikusan, vagy az – Ön kérésére – szóban nyújtunk tájékoztatást a kéréssel kapcsolatban. Kérjük, vegye figyelembe, hogy ha Ön elektronikus úton nyújtotta be a kérelmet, mi elektronikus úton fogunk válaszolni. Természetesen ebben az esetben is van lehetősége más módot kérni.
   Ügyintézési határidő
   Legkésőbb a kérés beérkezésétől számított 1 (egy) hónapon belül tájékoztatjuk Önt a kérése nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további 2 (két) hónappal meghosszabbítható, amiről még az 1 (egy) hónapos ügyintézési határidőn belül tájékoztatjuk Önt. Kötelesek vagyunk Önt az intézkedés elmaradásáról is tájékoztatni az egy hónapos ügyintézési határidőn belül. Ez ellen panaszt nyújthat be a NAIH-nál (4.1. pont), és élhet bírósági jogorvoslati jogával (4.2. pont).
   Az ügyintézés díja
   A kért tájékoztatás és intézkedés díjmentes. Kivételt képez az az eset, ha a kérés egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó. Ebben az esetben díjat számolhatunk fel, vagy megtagadhatjuk a kérés teljesítését.

   1. 3.1. Tájékoztatást (hozzáférést) kérhet
      Ön tájékoztatást kérhet arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen:
      • Mi a célja?
      • Pontosan milyen adatok kezeléséről van szó?
      • Kinek továbbítjuk ezeket az adatokat?
      • Meddig tároljuk ezeket az adatokat?
      • Önnek milyen jogai és jogorvoslati eszközei vannak ezzel kapcsolatban?
      • Kitől kaptuk az Ön adatait?
      • Hozunk-e automatizált döntést Önre vonatkozóan az Ön személyes adatai felhasználásával? Ilyen esetekben arról is kérhet tájékoztatást, hogy milyen logikát (módszert) alkalmazunk, és arról, hogy az ilyen adatkezelés milyen jelentőséggel bír, milyen várható következményekkel jár.
      • Ha azt tapasztalta, hogy adatait nemzetközi szervezet, vagy harmadik ország (nem uniós tagállam) felé továbbítottuk, úgy kérheti annak bemutatást, hogy mi garantálja személyes adatai megfelelő kezelését.
      • Kérhet másolatot a kezelt személyes adatairól (A további másolatokért az adminisztratív költségeken alapuló díjat számíthatunk fel.)
   2. 3.2. Helyesbítést kérhet
      Ön kérheti, hogy javítsuk, illetve egészítsük ki az Ön pontatlanul, vagy hiányosan rögzített személyes adatát.
   3. 3.3. Kérhet személyes adatai törlését („elfeledtetését”)
      Ön kérheti, hogy töröljük az Ön személyes adatait amennyiben:
      • A személyes adatokra már nincs szükség abból a célból, amelyből azokat kezeltük;
      • A pusztán az Ön hozzájárulása alapján végzett adatkezelések esetén;
      • Ha tiltakozása eredményes;
      • Ha megállapításra kerül, hogy a személyes adatokat jogellenesen kezeljük;
      • Uniós vagy hazai jogszabály előírja.

      A személyes adatokat nem törölhetjük, amennyiben azokra szükség van:

      • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
      • a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami

      jog szerinti kötelezettség teljesítése, illetve közérdekből;

      • a népegészségügy területét érintő közérdek alapján
      • közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
      • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
   4. 3.4. Kérheti, hogy korlátozzuk az adatkezelést
      Ön kérheti, hogy korlátozzuk az adatkezelést, ha az alábbiak valamelyike teljesül:
      • Ön vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, ellenőrizzük a személyes adatok pontosságát;
      • Az adatkezelés jogellenes, de Ön ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
      • Már nincs szükségünk a személyes adatokra az adatkezelés céljából, de Ön igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
      • Ön tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Ön jogos indokaival szemben.

      Korlátozás esetén a személyes adatokat a tárolás kivételével csak az Ön hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. A korlátozás esetleges feloldásáról előzetesen tájékoztatjuk Önt.

4. 4. Jogorvoslati lehetőségek
   1. 4.1. Panaszt tehet a NAIH-nál
      Amennyiben Ön szerint az Önre vonatkozó személyes adatok kezelése ellentétes az Adatvédelmi Rendelet előírásaival, úgy Ön jogosult panaszt tenni Nemzeti Adatvédelmi és Információbiztonsági Hatóságnál (NAIH).
      NAIH
      • Elnök: dr. Péterfalvi Attila
      • Levelezési cím: 1363 Budapest, Pf. 9.
      • Cím: 1055 Budapest, Falk Miksa utca 9-11.
      • Telefon: +36 (1) 391-1400
      • Fax: +36 (1) 391-1410
      • Web: http://naih.hu
      • E-mail: [email protected]
   2. 4.2. Bírósághoz fordulhat
      Amennyiben Ön szerint az Önre vonatkozó személyes adatok kezelése ellentétes az Adatvédelmi Rendelet előírásaival és ezzel megsértették az Ön Adatvédelmi Rendeletben foglalt jogait, úgy Ön jogosult bírósághoz fordulni. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat. A bírósági eljárásra az Adatvédelmi Rendeletben foglaltakon túl a Polgári Törvénykönyvről szóló 2013. évi V. törvény Második Könyv, harmadik rész, XII. Címében (2:51. § – 2:54. §) foglaltak, valamint az egyéb a bírósági eljárásra vonatkozó jogszabályi előírások irányadók.
   3. 4.3. Kártérítés és sérelemdíj
      Ha az Adatkezelő az érintett adatainak jogellenes kezelésével kárt okoz, vagy az érintett személyiségi jogát megsérti, az Adatkezelőtől sérelemdíj követelhető. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
5. 5. Adatbiztonság
   Mindent megteszünk annak érdekében, hogy figyelembe véve a tudomány és technológia mindenkori állását, a megvalósítás költségeit, továbbá az adatkezelés jellegét, valamint a természetes személyek jogaira és szabadságaira jelentett kockázat a megfelelő technikai és szervezési intézkedéseket hajtsuk végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljuk.
   A személyes adatokat mindig bizalmasan, korlátozott hozzáféréssel, titkosítással és az ellenálló képesség lehetséges maximalizálásával, probléma esetén visszaállíthatóság biztosításával kezeljük. Rendszerünket rendszeresen teszteljük a biztonság garantálása érdekében. A biztonság megfelelő szintjének meghatározásakor figyelembe vesszük az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
   Megteszünk mindent annak biztosítása érdekében, hogy az irányításunk alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személyek kizárólag a mi utasításunknak megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
   Fizikai biztonsági intézkedésként beléptető- és kamerarendszert alkalmazunk, logikai biztonsági intézkedéseket a következők szerint alkalmazunk: tűzfal, vírusvédelmi és biztonsági szoftverek alkalmazása (munkaállomások-, fájl szerverek védelme, webfelügyelet, eszközfelügyelet, alkalmazásfelügyelet, patch kezelés, WSUS, NAC), szoftverek frissítése, mentések készítése, hozzáférések szabályozása, eszközök automatikusan zárolása hordozható eszközök titkosítása, biztonságos távoli hozzáférés VPN-kapcsolaton keresztül. A weboldal esetén: SSL titkosítás-, CDN, WAF (Web Application Firewall) szolgáltatást használunk.
6. 6. Egyéb
   Az Adatkezelő bármikor jogosult jelen Adatkezelési Tájékoztatóban foglaltakat módosítani. Az esetleges módosítás a honlapon való megjelenéssel egyidejűleg lép hatályba, a változásról a honlapon felugró ablakban hívjuk fel a figyelmet.

2. Számú melléklet a NIX Tech Korlátolt Felelősségű Társaság Visszaélés-bejelentési
szabályzatához

A BEJELENTŐ TÁJÉKOZTATÁSA AZ ELJÁRÁSI SZABÁLYOKRÓL

INFORMÁCIÓ A BELSŐ VISSZAÉLÉS-BEJELENTÉSI RENDSZER MŰKÖDÉSÉRE, A BEJELENTÉSSEL KAPCSOLATOS ELJÁRÁSRA, VALAMINT A PANASZTÖRVÉNY SZERINTI VISSZAÉLÉS-BEJELENTÉSI RENDSZEREKRE ÉS ELJÁRÁSOKRA VONATKOZÓAN

Tisztelt Bejelentő!

A panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő 2023. évi XXV. törvény (továbbiakban: Panasztörvény) és a NIX Tech Korlátolt Felelősségű Társaság Visszaélés-bejelentési szabályzata (továbbiakban: Szabályzat) alapján a következő tájékoztatást adom Önnek.

1. Tájékoztatás a Panasztörvény szerinti belső visszaélés-bejelentési rendszerekre és eljárásokra vonatkozóan.

A Panasztörvény szerint Ön a bejelentését több csatornán is megteheti. Az első lehetőség, ha panaszát, közérdekű bejelentését az állami szerveknél, helyi önkormányzatoknál teszi meg. Közérdekű bejelentését a közérdekű bejelentések védett elektronikus rendszerében (https://www.ajbh.hu/kozerdeku-bejelentes-benyujtasa) saját nevében, vagy akár azonosítás nélkül is megteheti. A közérdekű bejelentések megtételére és nyilvántartására szolgáló elektronikus rendszer üzemeltetéséről az alapvető jogok biztosa gondoskodik.

Ugyancsak az „első körös” lehetőségek közé tartozik, ha a bejelentést a foglalkoztatójánál teszi meg. A Panasztörvény szerint a bejelentésre a foglalkoztatóval jogviszonyban álló személyek széles köre jogosult. A foglalkoztatónál történő bejelentés eljárási szabályairól jelen Tájékoztató II. pontjából informálódhat.

A Panasztörvény 32. § (1) bekezdése meghatározza azokat az állami szerveket, amelyek elkülönített visszaélés-bejelentési rendszert hoznak létre. Ezekbe az elkülönített visszaélés- bejelentési rendszerekbe is bárki tehet bejelentést.

A Panasztörvény kiemelt figyelmet fordít a visszaélés-bejelentők védelmére. Minden, a bejelentő számára hátrányos intézkedés, amelyre a bejelentés jogszerű megtétele miatt kerül sor és amelyet a foglalkoztatóval meghatározott jogviszonnyal vagy kapcsolattal összefüggésben valósítanak meg, jogellenesnek minősül akkor is, ha egyébként jogszerű lenne.

A bejelentés megtétele jogszerű, ha a bejelentő a bejelentését a Visszaélés-bejelentési rendszerek valamelyikén, a Panasztörvényben meghatározott szabályok szerint tette meg, a bejelentő a bejelentéssel érintett körülményekre vonatkozó, bejelentett információt a munkavégzéssel kapcsolatos tevékenységével összefüggésben szerezte, és a bejelentő alapos okkal vélelmezte, hogy a bejelentéssel érintett körülményekre vonatkozó, bejelentett információ a bejelentés időpontjában valós volt.

2. Szóbeli bejelentő tájékoztatása az eljárási szabályokról

A NIX Tech Kft. saját belső visszaélés-bejelentési rendszerét a társaság megbízása alapján a Panasztörvény 50.§-ban foglaltaknak megfelelően bejelentővédelmi ügyvéd közreműködésével működteti.

A bejelentővédelmi ügyvéd a bejelentésben foglaltakat a lehető legrövidebb időn belül, de legfeljebb a bejelentés beérkezésétől számított 30 (harminc) napon belül kivizsgálja. Ezt a határidőt különösen indokolt esetben, a bejelentő egyidejű tájékoztatása mellett lehet meghosszabbítani. A bejelentőt ebben az esetben a kivizsgálás várható időpontjáról és a kivizsgálás meghosszabbításának okairól tájékoztatni kell. A bejelentés kivizsgálásának és a bejelentő tájékoztatásának határideje a meghosszabbítás esetén sem haladhatja meg a három hónapot.

A bejelentés kivizsgálása során a bejelentővédelmi ügyvéd kapcsolatot tart a bejelentővel, ennek keretében a bejelentés kiegészítésére, pontosítására, a tényállás tisztázására, valamint további információk rendelkezésre bocsátására hívhatja fel a bejelentőt.

A bejelentést a Panasztörvényben és a Szabályzatban meghatározott okok alapján a bejelentővédelmi ügyvédnek nem kell kivizsgálnia. Ilyen ok, ha a bejelentést azonosíthatatlan bejelentő tette meg, ha olyan személy tette meg, aki a NIX Tech Kft.-vel kapcsolatosan nem jogosult bejelentés megtételére, ugyanaz a személy, ugyanazt, a korábban már megtett bejelentést teszi meg, ismételten vagy ha a közérdek vagy a nyomós magánérdek sérelme a bejelentésben érintett természetes személy, illetve jogi személy jogainak a bejelentés kivizsgálásából eredő korlátozásával nem állna arányban.

A bejelentés kivizsgálása során értékelni kell a bejelentésben foglalt körülmények helytállóságát, és meg kell hozni azokat az intézkedéseket, amelyek alkalmasak a jogellenes vagy jogellenesnek feltételezett cselekmények vagy mulasztások, illetve egyéb visszaélések orvoslására.Ha a bejelentés alapján büntetőeljárás kezdeményezése indokolt, akkor intézkedni kell a büntető feljelentés megtételéről.A bejelentővédelmi ügyvéd a bejelentés kivizsgálásáról vagy annak mellőzéséről és a mellőzés indokáról, a bejelentés kivizsgálásának az eredményéről, a megtett vagy tervezett intézkedésekről a bejelentőt írásban tájékoztatja. Az írásbeli tájékoztatás akkor mellőzhető, ha a bejelentővédelmi ügyvéd a bejelentőt szóban tájékoztatta, aki a tájékoztatást – utólag is igazolható módon – kifejezetten tudomásul vette.

NIX Tech Limited Liability Company Whistleblowing Regulations

I. Introduction

Taking into account Hungary’s obligations under international and EU law in line with its anti-corruption efforts, and ensuring the necessary measures to protect whistleblowers as fully as possible, the Parliament, recognizing the importance of whistleblowing in the private sector as well, adopted Act XXV of 2023 on Complaints, Whistleblowing in the Public Interest and Rules Related to Whistleblowing (hereinafter referred to as the “Complaints Act”), thereby obliging NIX Tech Limited Liability Company (hereinafter referred to as the “Company”) to establish an internal whistleblowing system (hereinafter referred to as the “Whistleblowing System”).

It has always been of paramount importance for the Company, as an employer, to receive first-hand information from its colleagues and partners about problems, abuses, breaches of interests and rights that occur at the Company. Complaints and whistleblowing can be good indicators for improving and developing processes within the Company and for eliminating and preventing situations that could lead to abuse. By setting up a Whistleblowing System and whistleblower protection measures, our internal and external employees can obtain prompt and effective redress and have their complaints properly investigated, so that they can be effectively dealt with and contribute to maintaining a balanced, partnership-based family work culture.

II. Definitions

1. 1. Complaint: a complaint is a request for the redress of an individual’s rights or interests which is not subject to any other procedure, in particular judicial or administrative. A complaint may also contain a proposal;
2. 2. Public interest report: a public interest report draws attention to a circumstance the remedying or removal of which is in the interest of the community or society as a whole. A public interest report may also include a proposal;
3. 3. Report: an oral or written communication containing a Complaint or a Public interest report that is made by the person making the report to the recipient in the Whistleblowing system;
4. 4. Whistleblower: the person who makes a report in the Whistleblowing system;
5. 5. Person concerned by the report: a natural person or legal entity concerned by the Report;
6. 6. Employment relationship: any legal relationship in which an employed person performs an activity for and under the direction of an employer for remuneration or for self-employment.
7. 7. Employer: a person who employs a natural person under an employment relationship.
8. 8. Employee: a natural person who performs an activity for and under the direction of the Employer within the framework of an employment relationship for remuneration or who performs an activity for his/her own account.

III. Whistleblowing system

Information about an unlawful or suspected unlawful act or omission or other misuse may be reported through the Company’s Whistleblowing system. The Whistleblowing system is operated by Dr. Kata Kertész, a whistleblower protection lawyer, on behalf of the Company in accordance with Section 50 of the Complaints Act. Contact details of the whistleblower protection lawyer:

• Phone: +36 70 7333008
• Working days 8-17 hours
• E-mail: [email protected]

Reports in the Company’s Whistleblowing system may be made by the following persons:

a) Employees of the Company;
b) an Employee who has ceased to be employed by the Company;
c) a person who wishes to establish an employment relationship with the Company and for whom the procedure for establishing such a relationship has been initiated;
d) an individual entrepreneur, an individual company, if it has a contractual relationship with the Company;
e) any person who has an ownership interest in the Company and any person who is a member of the management of the Company;
f) a contractor, subcontractor, supplier or person under the supervision and control of an agent who has initiated a procedure for establishing a contractual relationship with the Company, or who is or has been in a contractual relationship with the Company;
g) trainees and volunteers working for the Company;
h) a person who wishes to establish a legal or contractual relationship with the Company pursuant to points d), e) or g) and in respect of whom the procedure for the establishment of such legal or contractual relationship has been initiated, and
i) a person whose legal or contractual relationship with the Company as referred to in points d), e) or g) has ceased.

IV. Means of reporting

1. 1. Reports can be made orally or electronically, in writing by e-mail. An oral Report may be made by telephone or in person. Personal filings can be made by appointment at the headquarters of the whistleblower protection lawyer (H-1115 Budapest, Etele út 42/A, 9th floor, No. 57) on working days.
2. 2. The whistleblower protection lawyer shall record in writing the oral Report received by telephone and shall provide the whistleblower with a copy of the Report, with the possibility to verify, correct and sign it.
3. 3. If the Whistleblower makes the Report in person, the whistleblower protection lawyer will, after having been informed of the oral Report in accordance with the provisions on the protection of personal data (Annex 1) a) record it in a durable and retrievable form; or b) put it in writing and, subject to the possibility of verification, correction and acceptance by signature, will deliver it in a duplicate to the Whistleblower.
4. 4. The whistleblower protection lawyer must make a full and accurate record of the oral report when it is put in writing.
5. 5. In the case of an oral Report, the whistleblower protection lawyer shall draw the Whistleblower’s attention to the consequences of making a report in bad faith, the procedural rules governing the investigation of the Report (Annex 2) and the fact that the identity of the Whistleblower, if he/she provides the information necessary to establish it, will be kept confidential at all stages of the investigation of the report.
6. 6. In the case of a written Report, the whistleblower protection lawyer will send an electronic confirmation of the Report to the Whistleblower by e-mail within 7 (seven) days of receipt of the written Report. The confirmation shall include general information to the Whistleblower on the procedural and data management rules (Annexes 1 and 2)

V. Investigation of the Report

1. 1. The whistleblower protection lawyer shall investigate the allegations contained in the Report received by him/her as soon as possible, but not later than thirty (30) days from the date of receipt of the Report. This time limit may be extended in particularly justified cases, subject to the simultaneous notification of the Whistleblower. In this case, the Whistleblower shall be informed of the expected date of the investigation and the reasons for the extension of the investigation by a short e-mail. The time limit for investigating the Report and informing the Whistleblower shall not exceed 3 (three) months even in the case of an extension.
2. 2. During the investigation of the Report, the whistleblower protection lawyer will keep in contact with the Whistleblower, and may invite the Whistleblower to supplement or clarify the Report, to clarify the facts and to provide further information.
3. 3. An investigation of a Report may be waived if a) the Report was made by an unidentified Whistleblower (an unidentified Whistleblower is one for whom, despite reasonable efforts to do so, the whistleblower protection lawyer does not have sufficient information to identify the Whistleblower); b) the Report was not made in accordance with the provisions of Clause III of these Regulations. c) the Report is a repeat report by the same Whistleblower with the same contents as the previous notification, or d) the breach to the public interest or overriding private interest would not be proportionate to the restriction of the rights of the person concerned by the Report resulting from the investigation of the Report.
4. 4. If the investigation of the Report may be waived pursuant to Clause V.3 of these Rules, the whistleblower protection lawyer shall, pending the determination of that fact, perform the tasks related to the receipt and recording of the Report and the provision of information related to the Report.
5. 5. The investigation of a Report shall include an assessment of the relevance of the circumstances set out in the Report and the taking of appropriate measures to remedy the acts or omissions or other abuses that are or are suspected to be unlawful.
6. 6. If the contents of the Report justify the initiation of criminal proceedings, a criminal report should be made.
7. 7. The whistleblower protection lawyer shall inform the Whistleblower in writing of the investigation or non-investigation of the Report and the reasons for the non-investigation, the outcome of the investigation of the Report, and the action taken or planned. Written information may be waived only if the whistleblowing protection lawyer has informed the Whistleblower orally and the latter has expressly taken note of the information, which may be verified subsequently.
8. 8. The whistleblower protection lawyer provides clear and easily accessible information on the operation of the Whistleblowing system, the Whistleblowing process, and the Whistleblowing systems and procedures (Annex 2).

Rules on data processing in relation to the Report

1. 1) Within the framework of the Whistleblowing system
   a) the Whistleblower,
   b) the person whose conduct or omission gave rise to the Report; and
   c) personal data of a person who may have information relevant to the subject matter of the Report which are indispensable for the investigation of the Report may be processed solely for the purpose of investigating the Report and remedying or stopping the conduct that is the subject of the Report.
2. 2) Personal data not covered by Clause VI.1 shall be deleted without delay from the data processed within the framework of the Whistleblowing system.
3. 3) The personal data of the Whistleblower – with the exception of the data of the Notifier who has provided obviously malicious or false information – may be disclosed only to the public body or authority competent to conduct the proceedings initiated on the basis of the Report, if such public body or authority is entitled to process the data by law or if the Whistleblower has consented to the disclosure of his/her data. The personal data of the Whistleblower shall not be disclosed without his/her explicit consent.
4. 4) If it has become apparent that the Whistleblower has, in bad faith, provided false data or information and
   a) in this context, if there are indications that a criminal offence or irregularity has been committed, the personal data of the Whistleblower must be disclosed to the public body, authority or person entitled to conduct the proceedings,
   b) there are reasonable grounds to believe that he or she has caused unlawful damage or other legal harm to another person, his or her personal data must be disclosed at the request of the public authority, agency or person entitled to initiate or conduct the proceedings.
5. 5) If the Report concerns a natural person, in the exercise of that natural person’s right to information and access under the provisions on the protection of personal data, the personal data of the Whistleblower shall not be disclosed to the person requesting the information.
6. 6) The transfer of data processed under the Whistleblowing system to a third country or an international organisation may only take place if the recipient of the transfer has given a legal undertaking to comply with the rules on reporting set out in the Complaints Act and subject to the provisions on the protection of personal data.
7. 7) The identity of the Whistleblower disclosing his/her identity, the person concerned by the Report or the person who may have substantial information about the facts contained in the Report, shall not be disclosed to any person other than the authorized persons. Pending the conclusion of the investigation or the initiation of formal charges, as a result of the investigation, the persons investigating the Report may share information about the content of the Report and the person concerned by the Report with other departments or employees of the Company to the extent strictly necessary for the conduct of the investigation, in addition to informing the person concerned by the Report.
8. 8) The person concerned by the Report and any person who may have material information about the facts contained in the Report shall be informed in detail about the Report, his or her rights regarding the protection of his or her personal data and the rules on the processing of his or her data when the investigation is opened. In accordance with the requirement of a fair hearing, it should be ensured that the person concerned by a Report or in possession of material information about the facts contained in a Report can express his views on the Report through his legal representative and that he/she can provide evidence in support of his/her views. Exceptionally, and in duly justified cases, the person concerned by the Report or the person who has factual knowledge of the facts of the Report may be informed at a later stage if immediate information would impede the investigation of the Report.

VI. Protection of Whistleblowers

1. 1. Any action that is detrimental to the Whistleblower,
   a) which is the result of the lawful making of the Report; and
   b) which is carried out in the context of a legal relationship or connection as defined in Chapter III, is unlawful even if it was otherwise lawful.
2. 2. An adverse action is an act or omission that is detrimental to the Whistleblower, in particular
   a) suspension, collective redundancies, dismissal or equivalent measures;
   b) transfer of duties, change of place of work, reduction of wages, change of working hours;
   c) refusal to provide training;
   d) a negative performance appraisal or job reference;
   e) the application of any adverse legal consequence under the law applicable to his/her employment, in particular disciplinary measures, reprimands or financial penalties;
   f) coercion, intimidation, harassment or ostracism;
   g) discrimination, unfavourable or unfair treatment;
   h) failure to convert a fixed-term employment into an employment of indefinite duration, if the Employee had a legitimate expectation that his/her employment would be converted into an employment relationship of indefinite duration;
   i) failure to renew or early termination of a fixed-term employment contract;
   j) damage, which includes damage to the person’s reputation or financial loss, including loss of business opportunity and loss of income;
   k) a measure as a result of which it is reasonable to conclude that the person concerned will not
   be able to take up future employment in the sector in which he or she is employed;
   l) the requirement to undergo a medical fitness test;
   m) early termination or cancellation of a contract for goods or services; and
   n) the withdrawal of the authorization.
3. 3. In the course of official or judicial proceedings relating to an adverse action under Clause VI.2, if the Whistleblower proves that the Report is lawful, the following information is available.
   a) the adverse action must be presumed to have been taken as a result of the lawful making of the Report; and
   b) the person who took the adverse action shall bear the burden of proving that the adverse action was taken for a legitimate reason and not because the report was lawfully made.
4. 4. Where a Report is lawfully made, the Whistleblower shall not be deemed to have breached any restriction on disclosure of a legally protected secret or any other legal restriction on disclosure of information and shall not be liable in respect of such Report if the Whistleblower had reasonable grounds to believe that the Report was necessary to disclose the circumstances to which the Report relates.
5. 5. Where a Report is lawfully made, the Whistleblower shall not be liable for obtaining or accessing the information contained in the Report, unless the Whistleblower has committed a criminal offence by obtaining or accessing the information. A Whistleblower shall not be held liable for lawfully making a report if the Whistleblower had reasonable grounds to believe that the report was necessary to disclose the circumstances to which it relates. The Whistleblower may invoke the provisions of Clauses VI.4 to VI.5 in all official or judicial proceedings, in addition to proving that the Report was lawful.
6. 6. It is lawful to make a Report if.
   a) the Whistleblower made the Report in the Whistleblowing system, in accordance with the rules set out in these Regulations or the Complaints Act;
   b) the Whistleblower obtained the reported information concerning the circumstances to which the Report relates in the context of his or her employment-related activities; and
   c) the Whistleblower had reasonable grounds to believe that the information reported concerning the circumstances to which the Report relates was true at the time of the Report.
7. 7. The protection applicable to a Whistleblower shall apply to a person who
   a) assists the lawful Whistleblower in making the Report,
   b) a person related to the lawful Whistleblower making the Report, in particular an associate or family member of the Whistleblower, who may be subject to adverse action under Clause VI.2.
8. 8. Miscellaneous provisions
   1. If the whistleblower protection lawyer receives a quality complaint concerning products or services produced or distributed by the Company by mistake, the whistleblower protection lawyer shall immediately forward it to the competent department of the Company.
   2. In matters not regulated in detail in these Regulations, the provisions of the Complaints Act shall prevail.
   3. The provisions of these Regulations shall apply from 01 December 2023.

Annex 1 to the Whistleblowing Regulations of NIX Tech Limited Liability Company

INFORMING THE WHISTBLOWER ABOUT THE PROTECTION OF PERSONAL DATA

DATA PROCESSING INFORMATION

IN RELATION TO THE PROCESSING OF PERSONAL DATA STRICTLY NECESSARY IN THE CONTEXT OF THE INTERNAL WHISTLEBLOWING SYSTEM

1. 1. Data Controller
   • Data Controller: NIX Tech Korlátolt Felelősségű Társaság
   • Registered office: H-1138 Budapest, Föveny utca 4-6. 5. emelet
   • Represented by Dr Benjámin Lajos Málik, Managing Director
   • E-mail: [email protected]
   • Website: https://nixstech.com/

   (hereinafter referred to as the “Data Controller”)

2. 2. Personal data necessary for the purposes of the internal whistleblowing system (hereinafter: Whistleblowing system)
   Information about illegal or suspected illegal acts or omissions or other misconduct can be reported to the Whistleblowing system. The Whistleblower, i.e. you, can make the report in writing or orally. The internal Whistleblowing system will process the personal data of the Whistleblower and the personal data of the person whose conduct or omission gave rise to the Report and who has relevant information in relation to the Report. All other personal data not covered by the foregoing shall be deleted from the Whistleblowing system without delay.
   Legal basis for data processing: to fulfil a legal obligation. [Article 6(1) c) GDPR] We are obliged to investigate and process the Report under Act XXV of 2023 on Complaints, Whistleblowing in the Public Interest and Rules Related to Whistleblowing.
   Purpose of processing: only to investigate the Report and to remedy or stop the conduct that is the subject of the Report.
   Duration of processing: we will keep the data until the purpose specified above has been achieved.
   Recipients: the personal data of the Whistleblower may be disclosed only to the public body or authority competent to conduct the procedure initiated on the basis of the Report, if that public body or authority is entitled to process the data by law or if the Whistleblower has consented to the disclosure of the data. Personal data of the Whistleblowershall not be disclosed without his/her consent. Where it has become apparent that the Whistleblower has communicated false data or information in bad faith, his or her personal data shall be disclosed, upon request, to the body or person entitled to initiate or conduct the relevant proceedings.
   Forwarding to third countries or international organizations: only in the case of a legal obligation and subject to the rules on the protection of personal data.
3. 3. Rights of the Whistleblower
   In relation to the processing of your data, you have the rights detailed in Clauses 3.1.-3.4 below. If you wish to exercise any of these rights, please write to us using one of the contact details below:
   • Address: H-1138 Budapest, Föveny utca 4-6. 5. emelet
   • E-mail address: [email protected]

   Identification
   In all cases, we will need to identify you before we can fulfil your request. If we cannot identify you, we will unfortunately not be able to fulfil your request.
   Reply to the request
   Once identified, we will provide you with information about your request in writing, electronically or orally at your request. Please note that if you have submitted your request electronically, we will respond electronically. You will of course have the option to request another method in this case.
   Deadline for taking action
   At the latest within one (1) month of receiving your request, we will inform you of the action we have taken in response to your request. If necessary, and taking into account the complexity of the request and the number of requests, this period may be extended by further two (2) months, and you will be informed within the one (1) month time limit.
   We are also obliged to inform you of any failure to take action within the one-month time limit. You can lodge a complaint with the NAIH (Hungarian National Authority for Data Protection and Freedom of Information) (Clause 4.1) and exercise your right to a judicial remedy (Clause 4.2).
   Administration fee
   The information and action requested is free of charge. An exception is made if the request is clearly unfounded or excessive, in particular because of its repetitive nature. In this case, we may charge a fee or refuse to comply with the request.

   1. 3.1. You may request information (access)
      You can request information on whether your personal data are being processed and if so:
      • What is the purpose?
      • What exactly is the processing of data?
      • To whom do we transfer the data?
      • How long do we keep the data?
      • What rights and remedies do you have in this regard?
      • Who gave us your details?
      • Do we make automated decisions about you using your personal data? In such cases, you may also request information about the logic (method) we use and the significance and likely consequences of such processing.
      • If you have found that your data have been transferred to an international organisation or a third country (non-EU country), you can ask us to show you how we guarantee the fair processing of your personal data.
      • You may request a copy of your personal data processed. (Additional copies may be charged based on administrative costs.)
   2. 3.2. You can request a correction
      You may ask us to correct or complete personal data that is inaccurate or incomplete.
   3. 3.3. You may request the deletion (“blocking”) of your personal data
      You can ask us to delete your personal data if:
      • The personal data are no longer necessary for the purposes for which they were processed;
      • For processing based solely on your consent;
      • If your protest is successful;
      • If we are found to be unlawfully processing your personal data;
      • EU or national law requires.
      We may not delete personal data if they are needed:
      • to exercise the right to freedom of expression and information;
      • to comply with an obligation under Union or Member State law that requires the controller to process personal data or in the public interest;
      • on grounds of public interest in the field of public health
      • for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, where deletion would be likely to render impossible or seriously impair such processing;
      • to bring, enforce or defend legal claims.
   4. 3.4. You may request that we restrict the processing
      You may request that we restrict processing if one of the following conditions is met:
      • You contest the accuracy of the personal data; in which case the restriction applies for the period of time that allows us to verify the accuracy of the personal data;
      • The processing is unlawful, but you oppose the erasure of the data and instead request the restriction of their use;
      • We no longer need your personal data for the purposes of processing, but you need it to establish, exercise or defend legal claims;
      • You have objected to the processing; in this case, the restriction applies for the period until it is established whether the legitimate grounds of the Controller prevail over your legitimate grounds.

      In the case of restriction, personal data may be processed, except for storage, only with your consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for important public interests of the Union or of a Member State. You will be informed in advance of any lifting of the restriction.

4. 4. Remedies
   1. 4.1. You can complain to the NAIH
      If you believe that the processing of personal data about you is in breach of the provisions of the Data Protection Regulation, you have the right to lodge a complaint with the Hungarian National Authority for Data Protection and the Freedom of Information (NAIH).
      NAIH
      • President: Dr Attila Péterfalvi
      • Address for correspondence: 1363 Budapest, Pf. 9.
      • Address: 1055 Budapest, Falk Miksa utca 9-11.
      • Phone: +36 (1) 391-1400
      • Fax: +36 (1) 391-1410
      • Web: http://naih.hu
      • E-mail: [email protected]
   2. 4.2. You can contact the court
      If you believe that the processing of your personal data is in breach of the provisions of the Data Protection Regulation and that your rights under the Data Protection Regulation have been infringed, you have the right to take legal action.
      The court has jurisdiction to hear the case. The action may also be brought, at the option of the person concerned, before the court of the place of residence or domicile of the person concerned. A person who does not otherwise have legal capacity may be a party to the proceedings. The Authority may intervene in the proceedings in order to ensure that the person concerned is successful.
      In addition to the provisions of the Data Protection Regulation, the court proceedings shall be governed by the provisions of Act V of 2013 on the Civil Code, Book II, Part Three, Title XII (§ 2:51 – § 2:54) and other legal provisions applicable to court proceedings.
   3. 4.3. Compensation and damages
      If the Data Controller causes damage or infringes the personal rights of the data subject by unlawful processing of the data subject, the Data Controller may be liable to pay compensation. The Controller shall be exempted from liability for the damage caused and from the obligation to pay damages if he/she proves that the damage or the infringement of the data subject’s personality rights was caused by an unforeseeable cause outside the scope of the processing.
5. 5. Data security
   We will make every effort to implement appropriate technical and organisational measures to ensure a level of data security appropriate to the level of risk, taking into account the state of the art, the cost of implementation, the nature of the processing and the risk to the rights and freedom of natural persons.
   Personal data will always be treated confidentially, with limited access, encryption and to the maximum extent possible resilience, ensuring recoverability in the event of a problem. Our systems are regularly tested to ensure security. In determining the appropriate level of security, we take into account the risks arising from the processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of or access to personal data transmitted, stored or otherwise processed.
   We will do our utmost to ensure that persons acting under our control who have access to personal data are only allowed to process that data in accordance with our instructions, unless they are required to do otherwise by EU or Member State law.
   Physical security measures include access control and camera systems, logical security measures include firewalls, anti-virus and security software (workstation protection, file server protection, web monitoring, device monitoring, application monitoring, patch management, WSUS, NAC), software updates, backups, access control, automatic locking of devices, encryption of portable devices, secure remote access via VPN connection. For the website: SSL encryption, CDN, WAF (Web Application Firewall).
6. 6. Other
   The Data Controller is entitled to amend the provisions of this Privacy Notice at any time. Any changes will take effect at the same time as they are posted on the website, and will be announced in a pop-up window on the website.

Annex 2 to the Whistleblowing Regulations of NIX Tech Limited Liability Company

INFORMING THE WHISTLEBLOWER OF THE PROCEDURAL RULES

INFORMATION ON THE OPERATION OF THE INTERNAL WHISTLEBLOWING SYSTEM, THE WHISTLEBLOWING PROCESS, AND THE WHISTLEBLOWING SYSTEMS AND PROCEDURES UNDER THE COMPLAINTS ACT

Dear Reporting Party,

Pursuant to Act XXV of 2023 on Complaints, Whistleblowing in the Public Interest and Rules Related to Whistleblowing (hereinafter: the Complaints Act) and the NIX Tech Limited Liability Company’s Whistleblowing Regulations (hereinafter: the Regulations), I hereby provide you with the following information.

1. Information on the internal whistleblowing systems and procedures under the Complaints
Act.
Under the Complaints Act, you can report through several channels. The first is to lodge your complaint or public interest report with public bodies or local authorities. You can file a public interest report in your own name or without identification through the secure electronic system for public interest reports (https://www.ajbh.hu/kozerdeku-bejelentes-benyujtasa). The Commissioner for Fundamental Rights is responsible for the operation of the electronic system for submitting and registering reports of public interest.
It is also a “first-round” option if you make the Report to your employer. Under the Complaints Act, a wide range of persons in a legal relationship with the employer are entitled to make a complaint. For information on how to file a complaint with your employer, please refer to Clause II of this Information.
Section 32(1) of the Complaints Act specifies the public bodies that shall establish a separate whistleblowing system. Anyone may also report to these separate whistleblowing systems.
The Complaints Act pays particular attention to the protection of whistleblowers. Any measure which is detrimental to the whistleblower, which is taken because the whistleblowing is lawful and which is taken in the context of a specific legal relationship or relationship with the employer, is unlawful even if it would otherwise be lawful.
A whistleblowing report is lawful if the whistleblower made the report through one of the whistleblowing schemes in accordance with the rules set out in the Complaints Act, the whistleblower obtained the reported information about the circumstances covered by the report in the context of his or her work-related activities, and the whistleblower had reasonable grounds to believe that the reported information about the circumstances covered by the report was true at the time of the report.

2. Informing the oral applicant of the procedural rules
NIX Tech Ltd. operates its own internal whistleblowing system with the assistance of a whistleblower protection lawyer on behalf of the company in accordance with Section 50 of the Complaints Act.
The whistleblower protection lawyer shall investigate the facts contained in the Report as soon as possible, but not later than thirty (30) days from the date of receipt of the Report. This time limit may be extended in particularly justified cases, after informing the applicant. The Whistleblower shall in that case be informed of the expected date of the investigation and the reasons for the extension. The time limit for investigating the Report and informing the Whistleblower shall not exceed three months in the case of an extension.
In the course of the investigation of the Report, the whistleblower protection lawyer will keep in contact with the Whistleblower, and may invite the Whistleblower to complete or clarify the Report, to clarify the facts and to provide further information. The whistleblower protection lawyer is not required to investigate the complaint on the grounds set out in the Complaints Act and the Regulations. Such grounds are if the Report was filed by an unidentified whistleblower, if it was filed by a person who is not entitled to file a Report in relation to NIX Tech Ltd., if the same person files the same Report as previously filed, if it is filed again, or if the harm to the public interest or to an overriding private interest would be disproportionate to the restriction of the rights of the natural person or legal entity concerned by the Report resulting from the investigation of the Report.
The investigation of the Report shall include an assessment of the relevance of the circumstances set out in the Report and the taking of appropriate measures to remedy the acts or omissions or other abuses which are unlawful or suspected of being unlawful.
If the Report justifies the initiation of criminal proceedings, arrangements must be made for criminal charges to be brought.
The whistleblower protection lawyer shall inform the Whistleblower in writing of the examination or non-examination of the Report and the reasons for the non-examination, the outcome of the examination of the Report, and the action taken or planned. Written information may be dispensed with if the whistleblower protection lawyer has informed the applicant orally and the applicant has expressly taken note of the information in a manner which can be verified subsequently.