EU Whistleblowing Directive: AB Üye Devletlerine Tanınan 2 Yıllık Uyum Süresi 17 Aralık 2021 Tarihinde Sona Eriyor
09.12.2021
"EU Whistleblowing Directive" olarak da bilinen 2019/1937 sayılı Avrupa Birliği Bildirim Yapanların Korunması Direktifi (EU Directive 2019/1937 on the Protection of Persons who Report Breaches of Union Law) ("Direktif")[1], 16 Aralık 2019 tarihinde yürürlüğe girmiş ve bildirim yapanlara yönelik olarak Avrupa Birliği ("AB") mevzuatı kapsamında ilk defa korunma sağlanmıştı. Bununla birlikte, AB Üye Devletlerinin Direktif kapsamında öngörülen kural ve korumaları içerecek şekilde en geç 17 Aralık 2021 tarihine kadar iç hukuk mevzuatlarına uyarlamaları için süre verilmişti.
250 veya daha fazla çalışanı olan özel sektör tüzel kişilerin 17 Aralık 2021 tarihine kadar Direktif ile uyum sürecini tamamlaması gerekirken; 50-249 arasında çalışanı olan kuruluşların Direktif ile getirilen kurallara uyum sağlamak için 17 Aralık 2023 tarihine kadar ek süresi bulunmaktadır. Uyum süreci için öngörülen sürelerin uzatılmasına ilişkin herhangi bir bilgilendirme yapılmamış olup bu süreler geçerliliğini korumaktadır.
Direktif’in Amacı, Kapsamı ve Uygulama Alanı
Direktif’in amacı, AB mevzuatı ihlallerini bildiren kişilerin – "bildirim yapan" [2] olarak tanımlanmaktadır- yüksek düzeyde korunmasını sağlamak amacıyla asgari standartların belirlenmesidir. Direktif ile getirilen asgari standartların altında olmayacak şekilde, bu hususta yasal düzenleme getirmek AB Üye Devletlerinin kendi iç hukukuna bırakılmıştır.
Direktif’in koruyucu hükümleri, özel sektörde veya kamu sektöründe çalışan ve bildirim yapan kişilere uygulanmaktadır. Bunun yanı sıra Direktif hükümleri, iş temelli bir ilişkinin bitmesine rağmen bu iş ilişki süresince gerçekleşen ihlaller ile ilgili bildirim yapanlara da uygulanabilmektedir.
Direktif kapsamında bildirim yapanların korunmasına ilişkin yükümlülükler ise Avrupa Birliği sınırları içerisinde özel sektörde veya kamu sektöründe faaliyet göstermekte olan tüzel kişileri kapsamaktadır. Buna göre şirketin ölçeği fark etmeksizin, bildirim yapanlar için genel bir koruma getirilmektedir. Genel korumanın yanı sıra Direktif, çalışan sayısı 50’nin üzerinde olan şirketler için etkin ve işlevsel bir iç bildirim kanalına sahip olma yükümlülüğü getirmektedir.
Bildirim Yapanların Korunması ve Şirketlerin Yükümlülükleri
i. Koruma Kapsamında Olan Bildirim Konuları
Direktif uyarınca, korumayı gerektiren bildirim konularına yer verilmektedir. Buna göre, aşağıda yer alan konular kapsamında gerçekleşen hukuka aykırılıkları bildiren kişilerin Direktif hükümlerine göre koruma altına alınması gerekmektedir:
a. Kamu ihaleleri; finansal hizmetler, ürün ve pazarlar, kara para aklama ve terörün finanse edilmesi; ürün güvenliği ve uyumu; nakliye güvenliği; çevrenin korunması; radyasyondan korunma ve nükleer güvenlik; gıda ve yem güvenliği, hayvan sağlığı ve refahı; halk sağlığı; tüketicinin korunması; gizlilik, kişisel verilerin korunması ve bilişim sistemleri güvenliği ile ilgili AB mevzuatının ihlali;
b. AB’nin finansal çıkarlarını etkileyen ihlaller,
c. Rekabet kuralları, devlet desteği ve vergi kurallarının ihlali, AB iç pazarı ile ilgili ihlaller.
Direktif kapsamında belirtilen bildirim konuları dışındaki alanlarda da AB Üye Devletlerinin kendi ulusal hukuklarında koruma sağlama yetkisi bulunmaktadır. Buna göre, Direktif kapsamında koruma altına alınmayan bir alan ile ilgili olarak da AB Üye Devletleri, inisiyatiflerine bağlı olarak iç hukuklarında koruma sağlayabilmektedir.
ii. Bildirim Yapanların Korunmasının Koşulları
Direktif kapsamında öngörülen koruyucu hükümlerden yararlanabilmek için bildirim yapanların da belirli koşulları sağlaması gerekmektedir. Buna göre;
1. Bildirilen ihlalin, bildirim yapıldığı anda gerçek olduğuna ilişkin makul gerekçelerin olması,
2. Bildirilen konuların Direktif kapsamında öngörülmüş olması ve
3. Direktif’te öngörülen bildirim usulüne uygun davranılması gerekmektedir.
iii. Şirketlerin Yükümlülükleri
Direktif uyarınca, Avrupa Birliği’nde faaliyetlerini yürütmekte olan 50 veya daha fazla çalışanı olan tüm tüzel kişiler ile kamu sektöründeki tüzel kişilerin; çalışanlarının AB mevzuatı ihlallerini bildirmelerini sağlamak ve süreci takip etmek amacıyla uygun bildirim kanalları ve prosedürleri oluşturması ve bildirim yapanlara karşı olası misillemeye yönelik koruma sağlaması gerekmektedir. Bunun yanı sıra şirketler, bildirim yapanların kimliğinin gizli tutulmasını sağlamalı ve bununla ilgili gerekli önlemleri almalıdır.
50 ile 249 arasında çalışanı olan özel sektördeki tüzel kişiler, raporların alınması ve yapılacak her türlü soruşturma ile ilgili kaynakları paylaşabilir.
Kuruluşların faaliyetleri, niteliği ve özellikle çevre ve halk sağlığı açısından oluşturduğu risk düzeyini de dikkate alarak uygun bir risk değerlendirmesinin yapılmasını takiben, AB Üye Devletlerinin inisiyatifine bağlı olarak, iç hukuklarında 50’den daha az çalışanı olan özel sektör tüzel kişilerin de iç bildirim kanalları ve prosedürleri oluşturması şartı getirilebilmektedir.
iv. Bildirim Yapanların Korunmasına İlişkin Önlemler
Direktif kapsamında, bildirim yapanlarına korunmasına ilişkin olarak birtakım önlemler alınması ve yaptırımların belirlenmesi öngörülmektedir;
- Misilleme yasağı ve misillemeye karşı koruma önlemleri
AB Üye Devletleri, bildirim yapan kişilere karşı misilleme tehditleri ve girişimleri de dahil olmak üzere her türlü misillemeyi yasaklamak ve misillemeye karşı koruma sağlamak amacıyla gerekli önlemleri almalıdır.
Direktif kapsamında listelenen, bildirim yapanlara karşı misilleme örneklerinden bazıları şu şekildedir; işten çıkarma, iş sözleşmesinin askıya alınması, terfinin düşürülmesi veya durdurulması, işyerinin değiştirilmesi, maaşın düşürülmesi, çalışma saatlerinde değişiklik yapılması, görevlerinin devri, olumsuz performans değerlendirmesi yapılması, olumsuz referans verilmesi, disiplin cezası, kınama veya mali yaptırımların uygulanması, ayrımcılık, yıldırma, dışlama, taciz, haksız muamele, kişinin itibarına zarar verilmesi, kişinin maddi kayba uğratılması, kişinin gelecekte iş bulmasının engellenmesi, mal ve hizmet sözleşmesinin erken feshi.
- Yaptırımlar
Direktif kapsamında, öngörülen kurallara aykırılık nedeniyle hükmedilmesi gereken yaptırım tür ve miktarlarına yer verilmemiştir; etkili ve uygun yaptırımların belirlenmesi AB Üye Devletlerin inisiyatifine bırakılmıştır.
Buna göre, Direktif hükümlerini ulusal mevzuatlarına uyarlama sürecinde AB Üye Devletleri,
a) Bildirimin engellenmesi veya engellemeye çalışılması;
b) Bildirim yapanlara karşı misilleme yapılması;
c) Bildirim yapanlara karşı caydırıcı davalar açılması;
d) Bildirim yapanların kimliğinin gizliliğini koruma yükümlülüğünün yerine getirilmemesi
ihlallerini gerçekleştiren gerçek veya tüzel kişiler için geçerli olacak etkili, orantılı ve caydırıcı yaptırımları düzenlemelidir.
Bildirim Türleri
Genel kural olarak ihlallere ilişkin bildirimler, Direktif’te öngörülen iç bildirim kanalları ve prosedürleri aracığıyla yapılır. Bu kapsamda ihlalin etkin bir şekilde ele alınabileceği ve bildirim yapan kişiye karşı misilleme riskinin bulunmadığını düşündüğü hallerde AB Üye Devletleri, harici bildirim kanalları yerine iç bildirim kanalları aracılığıyla bildirim yapmayı teşvik etmelidir.
İç bildirimin yanı sıra Direktif kapsamında, harici bildirim ile ihlalin doğrudan doğruya kamuya bildirimi de düzenlenmektedir.
i. İç Bildirim Kanalları ve Bildirim Usulü
İç bildirim kanalları, bu amaca özgülenmiş bir kişi veya departman tarafından dahili olarak çalıştırılabileceği gibi harici olarak üçüncü bir tarafça da çalıştırılabilmektedir. Direktif kapsamında bildirim kanalının güvenliğine ilişkin öngörülen gereklilikler, bildirim kanalını işleten üçüncü taraflar için de geçerli olmaktadır.
İç bildirim kanalları, yazılı veya sözlü olarak veya her ikisine de olanak sağlayacak şekilde tasarlanmalıdır. Sözlü bildirim, telefon veya diğer sesli mesaj sistemleri aracılığıyla ve bildirim yapanın talebi üzerine, fiziksel bir toplantı yoluyla mümkün olabilecektir.
Direktif uyarınca, iç bildirim ve süreç takibi prosedürleri aşağıdaki hususları içermelidir:
- Bildirim kanalları kapsamında; i) bildirim yapanın ve bildirimde adı geçen herhangi bir üçüncü kişinin kimliğinin gizliliğinin korunması sağlanmalıdır, ii) yetkisiz kişilerin erişimi engellenmelidir, iii) bu kanallar güvenli bir şekilde tasarlanmalı ve işletilmelidir.
- Bildirim kanalları herkesin kullanımına açık olmalıdır.
- Bildirimin alınmasından itibaren 7 gün içerisinde, bildirimin alındığı ile ilgili bildirim yapana bilgi verilmelidir.
- Bildirimi takip etmeye ve gerektiğinde daha fazla bilgi ve belge istemeye yetkili, bildirim yapan ile iletişimi sürdürecek bir kişi veya departman atanmalıdır.
- Tüm bildirim süreci, atanan yetkili kişi veya departman tarafından özenle takip edilmelidir.
- AB Üye Devletlerinin inisiyatifine bağlı olarak, ulusal hukukta öngörülmesi halinde anonim olarak bildirim yapma süreçlerinin de özenle takip edilmesi gerekmektedir.
- Bildirimin alındığının bildirim yapana bildirilmesi halinde, 3 ayı geçmemek üzere makul bir sürede bildirim yapana geri dönüş sağlanmalıdır. Eğer bildirimin alındığına dair kişiye bilgi verilmemişse, bildirimin yapıldığı tarihten itibaren 7 günlük sürenin bitiminden itibaren en geç 3 ay içerisinde geri dönüş sağlanmalıdır.
ii. Harici Bildirim Kanalları ve Bildirim Usulü
Harici bildirim kanalları uyarınca, iç bildirim yapılması sonrasında veya iç bildirim yapılmaksızın söz konusu ihlalin kolluk kuvvetine ya da yetkili idari makama bildirilmesi de mümkün kılınmıştır.
Bu kapsamda yetki makamlar, ihlaller ile ilgili bildirimleri almak ve işlemek için bağımsız bir bildirim kanalı kurmalıdır. İç bildirim usulünde olduğu gibi, harici bildirim usulünde de bildirimin alınmasıyla birlikte derhal ve her halükarda 7 gün içerisinde bildirimin alındığına dair bildirim yapana bilgi verilmelidir.
3 ayı geçmeyen makul bir süre içinde veya usulüne uygun olarak gerekçelendirilmiş durumlarda 6 ayı geçmeyen makul bir süre içinde bildirim yapan kişiye geri dönüş yapılmalıdır.
Bildirimde yer alan bilgiler, AB mevzuatı veya ulusal hukukta öngörüldüğü takdirde, daha fazla araştırma yapılabilmesi amacıyla AB’nin yetkili kurumlarına, organlarına, ofislerine veya ajanslarına iletilmelidir.
iii. Kamuya Bildirim ve Koşulları
İhlale ilişkin bildirimin doğrudan doğruya kamuya yapılabilmesi de Direktif kapsamına alınmıştır. Kamuya bildirim yapan kişinin Direktif uyarınca öngörülen koruma hükümlerinden yararlanabilmesi için aşağıda belirtilen koşulları sağlaması gerekmektedir:
Kamuya bildirim yapılmadan önce kişinin, iç bildirim ve takiben harici bildirim ya da doğrudan harici bildirim yapmış olması; ancak belirtilen süreler içerisinde bildirime yönelik uygun bir işlemin yapılmamış olması gerekmektedir;
Kamuya bildirim yapan kişinin aşağıdaki hususlardan en az birisine ilişkin makul gerekçelerinin olması gerekmektedir:
- Söz konusu ihlalin, acil durum veya geri dönüşü olmayan bir hasar riski gibi kamu yararına ilişkin yakın ve açık bir tehlike oluşturması ya da
- Harici bildirim durumunda, misilleme riskinin olması veya ihlalin etkili bir şekilde araştırılması ihtimalinin düşük olması (kanıtların gizlenmesi/yok edilmesi veya bir makamın ihlali gerçekleştiren kişi ile gizli anlaşma yapması veya ihlale dahil olması halleri gibi)
Direktif kapsamında öngörülen bu koşullar, AB Üye Devletlerinin ulusal mevzuatı kapsamında ifade ve basın özgürlüğüne ilişkin bir koruma sistemi oluşturulduğu hallerde kişinin doğrudan basına açıklama yapması durumunda uygulanmamaktadır.
Direktif ile Uyum Sürecinde AB Üye Devletlerinde Son Durum[3]
- Danimarka: Direktif’in uyarlanması neticesinde, 24 Haziran 2021 tarihinde bildirim yapanların korunmasına ilişkin yasa kabul edilmiştir.
- Fransa, Almanya, Hollanda, İsveç: Direktif ile uyum süreci devam etmektedir, uyum sağlanması için belirlenen son tarih olan 17 Aralık 2021 tarihinden önce yasal düzenlemenin yürürlüğe girmesi beklenmektedir.
- Finlandiya, Çek Cumhuriyeti, Polonya, İspanya: Direktif ile uyum süreci devam etmektedir, ancak yasal düzenlemenin yürürlük tarihi henüz belli değildir.
- İngiltere, Belçika, İtalya, Macaristan: Direktif ile uyum sağlanmasına ilişkin henüz bir adım atılmamıştır. (İngiltere'de Brexit nedeniyle Direktif uyarlanmayacaktır.)
Avrupa Birliği hukuku uyarınca direktifler, ek düzenlemeye tabi olmadan doğrudan AB Üye Devletlerde yürürlüğe girmemekte ve bu nedenle üye devletin direktife ilişkin iç hukukunda uyarlayıcı mevzuat çıkarması gerekmektedir. Bu nedenle belirlenen tarihe kadar söz konusu Direktif ile uyum sağlanamaması, Direktif’in o üye devlet içerisinde uygulanamayacağı anlamına gelmektedir. Böyle bir durumda, belirlenen tarihe kadar Direktif’i uyarlamayan AB Üye Devletine karşı Avrupa Komisyonu tarafından ihlal prosedürü başlatılması ve AB Adalet Divanı huzurunda yasal işlemlerin başlatılması mümkün olabilecektir.
Direktif ile Uyumluluk için Şirketlerin Yerine Getirmesi Gereken Yükümlülükler
Uluslararası şirketler, özellikle çok sayıda AB yargı bölgesinde faaliyet göstermekte olan şirketler, Direktif ile uyum sağlamak amacıyla aşağıdaki hususlara dikkat etmelidir:
- Davranış kuralları, bildirim kanalları dahil olmak üzere şirketin politika ve prosedürlerinin gözden geçirilerek Direktif ile uyumlu olmasının sağlanması
- Şirket içinde bildirim kanallarının oluşturulması, bildirim usulüne ilişkin politika ve prosedürlerin oluşturulması ya da mevcut politika veya prosedürlerin uyarlanması ve bu kuralların şirket içinde uygulanmasının sağlanması
- Şirket içinde bildirim kanallarına ve bildirim usulüne ilişkin eğitimler verilmesi
- Bildirim yapılması halinde bildirim yapana karşı misillemeyi engellemek amacıyla politika veya prosedürlerin oluşturulması ya da mevcut politika veya prosedürlerin uyarlanması ve bu hususta şirket içinde eğitimler verilmesi
- Bildirim yapanlara karşı misillemeyi engellemek amacıyla yaptırımların öngörülmesi
- Bildirim yapanların kimliğinin gizli tutulması için gerekli önlemlerin alınması
Direktif ile düzenlenen yükümlülüklerin yanı sıra, Direktif’in AB Üye Devletlerin iç hukuklarında uyarlanması neticesinde ulusal mevzuatta öngörülen daha sıkı yasal yükümlülüklere de şirketlerin uyum sağlaması gerekmektedir. Buna göre, şirket tarafından yerine getirilmesi gereken yükümlülükler belirlenirken, faaliyet gösterilen AB Üye Devletlerin ulusal mevzuatı da incelenmeli ve bu hususta yerel hukuk ve uyum desteği alınmalıdır. Şirketin faaliyet gösterdiği ilgili AB Üye Devleti, süresi içerisinde Direktif ile uyum sağlamamış olsa dahi, şirketlerin Direktif doğrultusunda ve Direktif uyarınca çıkarılan diğer AB Üye Devlet mevzuatları ile tutarlı olarak yükümlülüklerini yerine getirmesi gerekmektedir.
[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019L1937 (İngilizce)
[2] İngilizce mevzuatta Whistleblowing ve Whistleblower olarak belirtilen kelimelerinin Tükçe literatürde yeknesak bir çevirisinin bulunmamaktadır. Genel olarak Whistleblowing, “bilgi uçurma, sorun bildirme, bilgi ifşası, ihbar, ihbarcılık, bilgi sızdırma” ; Whistleblower ise “bilgi uçuran, ihbarcı, işbirlikçi, bildirim yapan, ifşacı” şeklinde kullanılmaktadır. Makalemizde Whistleblowing kelimesi “Bildirim”, Whistleblower ise “Bildirim Yapan” olarak ifade edilmektedir.
[3] https://www.twobirds.com/~/media/pdfs/news/articles/2021/eu-whistleblowing-directive---december-2021-final.pdf?la=en&hash=FE360F3A9F62352A666967525F981B205951E25B (İngilizce)
-
Kemal Altuğ Özgün
Managing Partner