Co Vás zrovna
zajímá.

Whistleblowing ve světle ochrany osobních údajů

Členské státy Evropské unie musí do 17. prosince 2021 transponovat směrnici Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie (tzv. směrnici o whistleblowingu) (dále jen „Směrnice“). S ohledem na uvedené a na navrhovaný český zákon o ochraně oznamovatelů, o nichž jsme již blíže diskutovali v našich předešlých článcích (zde a zde), vyvstává i otázka týkající se vztahu mezi právními předpisy na ochranu oznamovatelů, které budou na české úrovní zejména představovány zákonem o ochraně oznamovatelů, a právními předpisy na ochranu osobních údajů, které jsou představovány zejména Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) a zákonem č. 110/2019 Sb, o zpracování osobních údajů.

Na problematiku whistleblowingu se v souvislosti s ochranou osobních údajů nahlíží různými způsoby. Jedná se o nástroj pro řízení rizik v rámci „GDPR compliance“ společností, nebo spíše o samostatný proces, který musí být sám o sobě v souladu s GDPR? Či jde případně o kombinaci obou těchto přístupů? Jakým způsobem dojde k souhře problematiky ochrany osobních údajů a oznamovacího systému v rámci ochrany oznamovatelů při whistleblowingu?

Obecně

Whistleblowing neboli oznamování protiprávních jednání, zejména ze strany zaměstnanců, je hlavním předmětem úpravy přijaté Směrnice. Směrnice se vztahuje na osoby pracující jak ve veřejném, tak i v soukromém sektoru, které získaly informace o porušení práva Evropské unie v rámci kontextu jejich vztahu k zaměstnavateli či jinému nadřízenému orgánu.

Tzv. whistleblowers mají podle Směrnice právo na ochranu tehdy, pokud (i) měli dle Směrnice pro oznámení oprávněné důvody, (ii) případ spadal do předmětu úpravy Směrnice a (iii) měli za to, že informace byly v době oznámení pravdivé. Pracovníci mohou podat oznámení interně v souladu s článkem 7 a externě v souladu s článkem 10 Směrnice, nebo informace zpřístupnit přímo externě nebo veřejně v souladu s článkem 15 Směrnice.

Členské státy mají na základě Směrnice výslovně povoleno zavést nebo zachovat ta ustanovení vnitrostátního práva, která jsou pro práva oznamujících osob příznivější než ustanovení obsažená ve Směrnici.

Na úrovni České republiky je nyní v legislativním procesu návrh zákona o ochraně oznamovatelů (nutno podotknout, že byl navrhnut již před přijetím Směrnice), který rozsah úpravy Směrnic rozšiřuje, zejména pokud jde o předmět chráněných zájmů, tedy rozsah oblastí, v rámci kterých mohou oznamovatelé v chráněném režimu činit svá oznámení.

Whistleblowing a ochrana osobních údajů

Obecně je možné říct, že právní úprava v oblasti whistleblowingu je nyní v České republice nedostatečná. Jedná se tak de facto o nové právní odvětví, a zejména proto může v budoucnu docházet ke konfliktu mezi ochranou osobních údajů whistleblowera (oznamovatele), případně i obviněné fyzické osoby, a jejich práv a povinností v rámci právní úpravy whistleblowingu.

V rámci oznamovacího procesu může být na zpracování osobních údajů obecně nahlíženo dvěma způsoby. Prvním z nich je případ, kdy se jedná o zpracování osobních údajů whistleblowera (oznamovatele) předkládajícího oznámení (v případě, že toto nebylo učiněno anonymně). Ve druhém případě můžeme mluvit o osobních údajích třetích stran – fyzických osob, které se objeví v oznámení předloženém whistleblowerem (oznamovatelem).

Je třeba upozornit, že o osobních údajích hovoříme pouze tehdy, kdy se týkají jimi identifikovatelné fyzické osoby – jedince.

O zpracování osobních údajů pak nehovoříme mj. v případě, kdy s osobními údaji nakládá fyzická osoba – jedinec – pro vlastní potřebu (tedy zpravidla whistleblower).

V zásadě lze tedy uzavřít, že to budou právě dotčené organizace (zaměstnavatelé a instituce), jejichž pracovník jim předloží oznámení o protiprávním jednáním podle pravidel whistleblowingu, které se v tu chvíli stanou příjemci a správci osobních údajů fyzických osob, jež budou v takovém oznámení identifikovány. Pro tyto organizace pak dle našeho názoru budou platit standardní pravidla ochrany osobních údajů v rámci tohoto nového „procesu“ zpracování osobních údajů – přijetí, zpracování a vyřízení přijatého oznámení o údajném porušení právních předpisů podle pravidel whistleblowingu.

Osobní údaje oznamovatele

Oznamovatel má v rámci oznamovacího procesu při podání oznámení dvě možnosti:

  • podat oznámení svým jménem, nebo
  • předložit zprávu anonymně.

V případě podávání oznámení svým jménem je třeba v prvé řadě, jelikož tu dochází ke zpracování osobních údajů oznamovatele, pamatovat na základní zásady ochrany osobních údajů a s tím související povinnosti příjemce oznámení, tedy správce osobních údajů.

Zde máme na mysli zejména:

  • zákonnost, korektnost, transparentnost – je třeba stanovit alespoň jeden právní důvod zpracování a činit tak vůči oznamovateli (subjektu údajů) transparentně – zásadní je zde informování oznamovatele (subjektu údajů) o všech rozhodných skutečnostech zpracování osobních údajů (informační povinnost při zadání oznámení);
  • účelové omezení – osobní údaje musí být shromažďovány pouze pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely;
  • minimalizace údajů – získávané osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány – interní systémy musí být nastaveny tak, aby oznamovatel zadával o sobě jen opravdu nezbytně nutné údaje;
  • přesnost – osobní údaje musí být přesné – je třeba zavést jednoduchý a bezpečný postup ověření totožnosti oznamovatele – např. potvrzovací e-mail, unikátní kód a heslo apod.;
  • omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány – stanovení standardní doby od vyřešení oznámení;
  • integrita a důvěrnost – je třeba zavést technické a organizační zabezpečení osobních údajů – v případě whistleblowingu je tato otázka ještě více důležitá a naprosto zásadní.

V případě anonymního podání by tu nemělo docházet v žádném úseku daného procesu ke zpracování osobních údajů. Veškeré interní systémy oznamování by měly být nastaveny tak, aby ani (byť i externí správce) těchto systémů nebyl schopen stanovit a určit, kdo dané oznámení do systému zadal.

Poskytnutí informací o totožnosti oznamovatele třetím osobám by dle návrhu zákona mělo být možné jen pouze s písemným souhlasem oznamovatele, a to i v případě, kdy oznamovatel nepožádal o utajení své totožnosti.

Osobní údaje osob identifikovaných v oznámení

Oznamovatel může v rámci oznamovacího procesu identifikovat předem neurčitelný okruh osob, a to do různé míry detailu a v různém rozsahu údajů.

V tomto případě třeba přistupovat k oznámení tak, aby byly co nejvíce, avšak v proveditelné míře, respektovány zásady ochrany osobních údajů, a to zejména transparentnost (obecné informační dokumentace a memoranda), striktní účelové omezení, přesnost údajů a jejich oprava po ověření a integrita a důvěrnost, ač i ostatní nevyjmenované zásady je třeba brát v potaz.

Ucelená dokumentace a proces

Výše uvedené zásady ochrany osobních údajů a obecně veškeré povinnosti vyplývající z úpravy GDPR by měly být v rámci organizací již nyní zavedeny a dodržovány v rámci obecný pravidel osobních údajů, které by měly obsahovat i postupy při zavádění nových procesů zpracování osobních údajů v organizaci (analýza rizik, DPIA, privacy by design a privacy by default).

Ve vztahu k procesům týkající se whistleblowingu je dle našeho názoru třeba klást důraz na osvětu, informovanost potenciálních oznamovatelů v organizaci a zajištění integrity a důvěrnosti celého procesu.K tomu organizacím zpravidla vhodně poslouží ucelený systém dokumentace (obecné směrnice a memoranda, informační dokumenty, dokumentace usnadňující výkon práv apod.), nástrojů (oznamovací rozhraní či software se zajištěním bezpečnosti a diskrétnosti) a činností (školení, kontroly, revize procesů apod.).

DPIA

Pokud by zpracování osobních údajů mohlo mít za následek vysoké riziko ohrožení práv a svobod fyzických osob, je dle Směrnice správce (organizace, resp. příjemce oznámení) povinen provést posouzení vlivu na ochranu osobních údajů (DPIA).

Některé vnitrostátní orgány evropských států přímo vymezily, v jakých případech se jedná o zpracování s vysokým rizikem, a proto potřebují úplné DPIA – v tomto případě musí informace splňovat dvě kritéria:

  • z povahy citlivé údaje nebo údaje vysoce osobní povahy, které zahrnují údaje týkající se odsouzení za přestupky nebo trestné činy, a
  • data týkající se zranitelných subjektů údajů – to se týká situací, kdy subjekty údajů nemohou snadno souhlasit se zpracováním svých údajů nebo se proti nim vyjádřit, nebo uplatnit svá práva, včetně zaměstnanců.

Zpracování DPIA lze doporučit zejména u větších organizací či organizací působících v sektorech průmyslu s vyšším požadavky na bezpečnost, integritu a kontinuitu činností (zejm. kritická infrastruktura, státní orgány, banky apod.).

Práva oznamovatelů

Osoba, která oznámí protiprávní jednání, má právo na ochranu, která spočívá především v tom, aby totožnost oznamující osoby nebyla sdělena bez jejího výslovného souhlasu nikomu s výjimkou oprávněných pracovníků příslušných k přijímání oznámení nebo následných opatření. Totéž se vztahuje i na jakékoli další informace, z nichž by mohla být přímo či nepřímo vyvozena totožnost oznamující osoby.

Může však dojít k výjimce, pokud se bude jednat o nezbytnou a přiměřenou povinnost vyplývající z unijního či vnitrostátního práva v souvislosti s vyšetřováním nebo soudním řízením vedeným vnitrostátními orgány, včetně zachování práva dotčené osoby na obhajobu. V tomto případě však musí být osoba informována o zveřejnění její totožnosti před tím, než k němu dojde, ledaže by tyto informace ohrozily související vyšetřování nebo soudní řízení. Při informování oznamujících musí příslušné orgány zaslat písemné odůvodnění, v němž vysvětlí důvody pro zveřejnění dotčených důvěrných údajů.

Členské státy musí při transponování zajistit, aby příslušné orgány, které obdrží informace o porušení, jež obsahují obchodní tajemství, tato obchodní tajemství nepoužijí či nezveřejní pro jiné než nezbytné účely pro vhodná následná opatření.

Ochrana bude spočívat i v zákazu odvetných opatřeních, jejichž provedení mají na starost členské státy. Jedná se například o dočasné zproštění výkonu služby, odvolání, propuštění či rovnocenná opatření, převedení na nižší pozici nebo nepovýšení, nátlak, zastrašování či obtěžování apod.

S výše uvedeným úzce souvisí i ochrana osobních údajů a soukromí oznamovatelů, které musejí být zachovány po celou dobu šetření oznámení i po něm.

Rozsah a doba zpracování

V rámci přípravy na přicházející právní regulaci whistleblowingu u nás, a tedy i transpozici nové Směrnice je potřeba definovat přiměřené doby pro uchovávání osobních údajů zpracovávaných v rámci oznamování, a to v závislosti na povahu a postup zpracovávání každého případu.

Osobní údaje, které nejsou pro proces zpracování relevantní, by neměly být dále zpracovávány a měly by být zlikvidovány.

Pokud by se došlo hned v počátečním posouzení k závěru, že daný případ nespadá do oblasti problematiky oznamovatelů, mělo by dojít k okamžitému výmazu osobních údajů a uchování oznámení pouze v anonymizované či pseudonymizované formě pro evidenční účely. Osobní údaje by měly být vymazány neprodleně a obvykle do dvou měsíců od dokončení předběžného posouzení.

V určitých případech se však období uchování osobních údajů a všech dalších údajů týkajících se hlášení v rámci whistleblowingu může lišit, a to v závislosti na složitosti prošetřování. Z důvodu, že stanovené retenční období není vždy použitelné, měli by být oznamovatelé upozorněni, že jejich údaje budou uchovány až do uzavření případu a vyřešení oznámení a měla by být stanovena vodítka postupu s ohledem na vývoj řešení každého oznámení, jak je naznačeno výše.

Závěr

Whistleblowing zůstává i nadále významnou oblastí v ochraně osobních údajů, kdy právě ochrana osobních údajů zvyšuje zásadu důvěrnosti, která je rozhodující pro spolehlivý mechanismus whistleblowingu. Je nutné podotknout, že právní úprava whistleblowingu je v České republice prozatím nedostatečná z důvodu novosti právního odvětví jako takového. Z důvodu nedostatečné právní úpravy by bylo vhodné, aby došlo k příhodnějšímu zakotvení whitstleblowingu v rámci problematiky GDPR, případně k vyjasnění souhry těchto dvou právních odvětví.

Než právní úprava ochrany osobních údajů zareaguje na problematiku spjatou s whistleblowingem či naopak, doporučujeme, aby ve světle ochrany osobních údajů oznamovatelé svá oznámení činili anonymně. Zároveň upozorňujeme, že tento krok může mít za následek ztížení samotného vyšetřování porušení práva Evropské unie v rámci kontextu jejich vztahu k zaměstnavateli či jinému nadřízenému orgánu.

O nadcházejícím legislativním vývoji v České republice v oblasti whistleblowingu Vás budeme dále informovat.

 

V případě jakýchkoli dotazů k tomuto tématu Vám jsme k dispozici.

 

 

Tereza Pšenčíková, LL.B., LL.M., právník – psencikova@plegal.cz

Mgr. Jakub Málek, partner – malek@plegal.cz

 

 

 

www.peytonlegal.cz

 

 

30. 09. 2020

 

 

Zpět na články