V posledních týdnech a měsících je často skloňován pojem whistleblowingu. Oč se jedná, proč je to tak zajímavé a jaký má whistleblowing vztah s právní úpravou zpracování osobních údajů?
Whistleblowing není novinkou
Whistleblowing je, stručně řešeno, proces na zajištění toho, aby zaměstnanci či osoby v obdobně citlivém postavení v rámci svojí organizace (úřadu, soukromé společnosti) důvěrně a v případě dobré víry i beztrestně mohly oznamovat možné porušování předpisů či dalších právních závazků. Aby byl tento proces úplný, musí být zajištěna jak ochrana oznamovatelů, tak i skutečné prošetření učiněných oznámení a přijetí opatření k nápravě, pokud bude porušování práva skutečně zjištěno.
Dva povinné whistleblowing procesy už známe
Ač to tak podle některých veřejných příspěvků nevypadá, v českém právu se o novinku rozhodně nejedná. Již nějakou dobu známe nejméně dva povinné whistleblowing procesy:
- Pro osoby v režimu státní služby je možnost učinit důvěrné oznámení o protiprávním jednání upravena vyhláškou č. 145/2015 Sb., o opatřeních souvisejících s oznamováním podezření ze spáchání protiprávního jednání ve služebním úřadu. Každý služební úřad musí na základě této vyhlášky mj. zřídit fyzickou i elektronickou schránku pro důvěrné či případně anonymní oznámení a pověřit konkrétního státního zaměstnance tím, aby doručená oznámení prošetřoval.
- Druhým sektorem, ve kterém byla tato povinnost již zavedena, jsou finanční služby. Povinné osoby v režimu zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, jsou podle § 6 písm. b) tohoto předpisu již nyní povinny zavést vnitřní oznamovací systém umožňující podávat i anonymní oznámení o porušení tohoto zákona. Zároveň jsou povinny oznamovatele chránit před odvetnými opatřeními. Povinnost zavést whistleblowing linku najdeme i v dalších vyhláškách či metodikách, které na poskytovatele finančních služeb dopadají.
Nové povinnosti od prosince 2021
Proč se tedy téma whistleblowingu nyní dostalo do pozornosti médií i odborné veřejnosti v takovém rozsahu?
Je to jednoduché. Dne 17. prosince 2021 neúspěšně uplynula lhůta, do které měla Česká republika do svého práva převést novou unijní směrnici o whistleblowingu. Plným názvem směrnici Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie.
Tato směrnice ukládá povinnost zavést whistleblowing systém výrazně širšímu okruhu povinných osob než dosavadní sektorové úpravy. Povinnost zavést interní oznamovací kanál, resp. celý whistleblowing systém, směrnice ukládá všem soukromoprávním organizacím s více než 50 zaměstnanci a všem veřejnoprávním subjektům kromě menších obcí. Směrnice rovněž vymezuje 12 oblastí práva, ve kterých je možné oznámení učinit. Jedná se například o zadávání veřejných zakázek, ochranu spotřebitele, ochranu životního prostřední a veřejného zdraví, oblasti finančních služeb či ochranu osobních údajů nebo bezpečnost sítí a informačních systémů.
A právě šíře a komplexnost nové úpravy jsou zjevně důvodem výrazně většího zájmu.
Když hovoříme o whistleblowing procesu, shrňme si alespoň v bodech jeho základní prvky. Povinná organizace musí zejména:
- Nastavit důvěrný kanál pro podávání oznámení; důvěrný v tom smyslu, že identita oznamovatele je chráněna a k oznámení má přístup jen omezený okruh osob.
- Jmenovat tzv. příslušnou osobu, tedy prošetřovatele oznámení, a vymezit její roli, postavení a kompetence, zejména při komunikaci s oznamovatelem a při prověřování oznámení.
- Plnit poměrně rozsáhlou informační povinnost vůči možným oznamovatelům vně i uvnitř organizace.
- Nastavit proces pro ochranu oznamovatele a některých dalších osob před odvetnými opatřeními.
- Zavést evidenci učiněných oznámení a způsobu a výsledku jejich prošetření.
Kdo a proč by měl zavést whistleblowing proces?
I když prosincová lhůta pro transpozici směrnice uplynula a český zákon nemáme, neznamená to, že řada organizací nemusí již nyní whistleblowing řešit. Ministerstvo spravedlnosti, gesční úřad, na základě přímé aplikovatelnosti unijních směrnic dovodilo, že marným uplynutím lhůty se směrnice stává pro veřejnoprávní subjekty účinnou a závaznou. To znamená, že ty organizace, které vykonávají veřejnou moc, jsou přímo ze směrnice povinny plnit všechny související povinnosti. Již v prosinci loňského roku tedy byly povinny zřídit interní oznamovací linky, nastavit proces pro příjem, vyšetřování a evidenci oznámení, jmenovat příslušnou osobu, informovat o zřízení oznamovacího kanálu a plnit další související povinnosti.
Na soukromoprávní subjekty tato povinnost přímo ze směrnice pochopitelně nedopadá. Na druhé straně, pro některé z nich, třeba povinné subjekty podle zmíněného zákona č. 253/2008 Sb., je tato povinnost, byť výrazně stručněji, upravena již dnes. Whistleblowing proces je také nedílnou součástí compliance programů, stejně jako je důležitou součástí opatření sloužících k zamezení spáchání trestného činu právnickou osobou ve smyslu § 8 odst. 5 zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. V dohledné době pak lze očekávat přijetí vnitrostátního zákona o ochraně oznamovatelů, který převede směrnici do českého práva.
Whistleblowing tedy je anebo v blízké budoucnosti bude realitou pro velkou řadu organizací z veřejného i soukromého sektoru.
Bez osobních údajů to nepůjde
V rámci whistleblowing procesu, tedy přijímání, prošetřování a evidování oznámení, bude z podstaty věci docházet ke zpracování osobních údajů. Osobní údaje se budou typicky týkat oznamovatelů, ale i osob, které se mají dle oznámení podílet na protiprávní činnosti, svědků tvrzených skutečností atd. U většiny subjektů se zřejmě nebude jednat o nijak objemově rozsáhlé zpracování. Na druhou stranu, citlivost informací, které budou předmětem oznámení či dalších šetření, bude významná.
Směrnice v čl. 17 odkazuje na to, že veškeré zpracování dat související s whistleblowing procesem musí probíhat v souladu s regulací ochrany osobních údajů. Totéž ustanovení směrnice dodává, že osobní údaje pro potřeby vyřízení oznámení zjevně nepodstatné se neshromažďují a jsou-li náhodou získány, pak je daná organizace povinna zajistit jejich výmaz. Vládní návrh českého zákona obsahoval ještě několik upřesňujících ustanovení, např. určení doby pro uchovávání evidence o přijatých oznámeních (navrženo bylo 5 let).
Z důvodu dosavadní neexistence českého zákona a chybějícího výkladu je však řada hraničních otázek či styčných bodů mezi pravidly pro zpracování osobních údajů a povinným whistleblowing procesem nejasná. Na upřesnění, ať už přijde od gesčního úřadu, Ministerstva spravedlnosti, Úřadu pro ochranu osobních údajů, nebo soudu, si budeme muset ještě nějakou dobu počkat. Přesto v následující části článku zkusíme alespoň základní body či problémy definovat a navrhnout jejich možné řešení.
Účel a právní titul zpracování
Účel zpracování osobních údajů je klíčovým pojmem, protože se od něj mj. odvíjí upřesnění k řadě dalších povinností (rozsah údajů, doba uchování, právní titul ke zpracování dat atd.).
V případě whistleblowingu je účelem souvisejícího zpracování zajistit funkční oznamovací proces, příjem, vyšetření a evidenci učiněných oznámení a ochranu oznamovatele.
U těch organizací, kterým povinnost zavést interní oznamovací linku ukládá přímo právní předpis, tzn. nyní sektorová regulace a směrnice a v brzké budoucnosti transpoziční zákon, bude primárním právním titulem pro nezbytné zpracování osobních údajů plnění právní povinnosti dle čl. 6 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů (GDPR). V některých případech, např. zajištění opatření k nápravě na základě důvodného oznámení či přijetí a prošetření i těch oznámení, která nejsou v režimu směrnice, potažmo budoucího zákona (podá je neoprávněná osoba, případně oznámení bude směřovat k protiprávnímu nebo neetickému jednání, které není předmětem whistleblowing procesu), bude obvykle možné aplikovat právní titul oprávněného zájmu správce ve smyslu čl. 6 odst. 1 písm. f) GDPR. Je totiž zjevně důležitým zájem povinné organizace, aby přijala nezbytná opatření k odstranění zjištěného porušování právních či dalších závazků.
Z jiného úhlu pohledu by bylo možné uvažovat i o aplikaci právního titulu zpracování údajů nezbytných k plnění úkolu ve veřejném zájmu (čl. 6 odst. 1 písm. e) GDPR). Jak směrnice, tak návrh zákona, resp. předkládací zprávy, totiž poměrně jasně formulovaly, že cílem dané úpravy je chránit veřejný zájem na předcházení a odhalování protiprávní činnosti. Podle mého názoru však tento právní titul cílí poněkud jinam, na zajištění určitého konkrétního kroku, úkolu, který je objektivně ve veřejném zájmu, nikoliv na standardní a dlouhodobé plnění právní povinnosti správce. Ačkoliv se tedy při přijímání a prošetřování oznámení, stejně jako ochraně oznamovatelů, o činnost ve veřejném zájmu jistě jedná, tento právní titul bych spíše neaplikoval.
Základní parametry zpracování dat
Směrnice pro základní parametry souvisejícího zpracování, jako je jejich rozsah, doba či způsob uchování atd., žádné konkrétní požadavky neformuluje. V zásadě jen opakuje jeden ze základních principů, že rozsah osobních údajů musí být minimální, tzn. nejmenší možný pro dosažení sledovaného účelu zpracování.
Je možné, že český zákon některé aspekty, např. zmíněnou dobu uchování oznámení, již upraví blíže. V každém případě je ale odpovědností povinných organizací při nastavení a zavedení whistleblowing systému posoudit a definovat právě i parametry souvisejícího zpracování osobních údajů. Kromě povinností plynoucích ze směrnice, a do budoucna ze zákona, je samozřejmě nutné zohlednit i další povinnosti, např. dle předpisů v oblasti archivnictví, či zájmy, typicky v případě sporu s tím, kdo v rámci organizace právní předpisy porušoval, případně s oznamovatelem jako takovým.
Transparentnost? Ano, ale…
Dalším z klíčových principů k zajištění spravedlnosti zpracování osobních údajů je jeho transparentnost. Osoby, jejichž údaje jsou nebo mají být zpracovávány, o tomto zpracování, jeho účelu a svých právech musí být informovány. Tato povinnost se v zásadě rozpadá do dvou kroků:
- Plnění informační povinnost obecně, plošně, vůči všem dotčeným subjektům na začátku zpracování (postup podle čl. 13 GDPR při získávání údajů přímo od subjektu údajů či podle čl. 14 při získání údajů z jiného zdroje).
- Poskytnutí bližších informací o zpracování, vč. případné kopie dat, na žádost dotčené osoby.
Obecné plnění informační povinnosti
Při plnění obecné informační povinnosti lze podle mého názoru doporučit do souvisejících dokumentů (informace o zpracování osobních údajů zaměstnanců či dalších osob) doplnit relativně podrobný popis možného zpracování osobních údajů v rámci whistleblowing procesu. Jinak řečeno, zaměstnanci a další osoby, které budou oprávněny učinit whistleblowing oznámení, by měly být takto předem informovány o tom, jaké jejich osobní údaje, za jakým účelem a jakým způsobem a jak dlouho budou zpracovávány a jak budou chráněny před neoprávněným zpřístupněním dalším osobám. Stejně tak by zaměstnanci měli být v obecné rovině vyrozuměni o tom, že pokud vůči nim bude učiněno oznámení, nebo v případě, kdy organizace jiným způsobem získá věrohodné podezření z toho, že porušují své povinnosti, pracovní smlouvu či obecně závazné právní předpisy, bude toto podezření v nezbytném rozsahu vyšetřeno.
Domnívám se, že osoby, vůči kterým konkrétní oznámení směruje, není nutné o tom jednotlivě informovat. Takovýto postup není podle směrnice ani návrhu zákona nezbytný, naopak by mohl zmařit účel whistleblowing procesu. Z pohledu GDPR pak podle mého soudu postačí obecná informace o tom, že k takovémuto zpracování může dojít, případně, s ohledem na konkrétní okolnosti, lze aplikovat výjimku z informační povinnosti podle čl. 14 odst. 5 písm. c) či d) GDPR.
Poskytování informací na žádost
V praxi si lze představit situaci, kdy se buď oznamovatel bude snažit domoci více informací o výsledku šetření svého podnětu, nebo osoba, vůči které byl podnět učiněn, bude zjišťovat informace o autorovi podnětu, a využijí k tomu zmíněného práva na přístup k osobním údajům ve smyslu čl. 15 GDPR. V obou těchto případech by mohlo dojít k narušení chráněného zájmu. Ať už zájmu organizace chránit důvěrné detailní informace o výsledku vyšetřování a přijatých opatřeních, či zájmu oznamovatele na ochraně důvěrnosti oznámení, resp. identity oznamovatele jako takového.
GDPR samo s omezením či vyloučením práva na přístup k osobním údajům nepočítá. V čl. 23 nicméně členským státům umožňuje, aby některá ustanovení, včetně práv subjektů údajů, v určitých případech upravil odlišně či omezil.
Český zákon č. 110/2019 Sb., o zpracování osobních údajů, této možnosti využívá. Ustanovení § 11 ve spojitosti s § 6 odst. 2 zákona výslovně umožňují omezit či vyloučit výkon práv subjektu údajů, zjevně tedy včetně práva na přístup, pokud je to nezbytné mj. pro ochranu veřejného zájmu Evropské unie či členského státu, pro ochranu práv a svobod osob či pro vymáhání soukromoprávních nároků. S ohledem na charakter a účel whistleblowing procesu lze podle mého názoru ve velké většině případů předpokládat, že by výše uvedená žádost o přístup k osobním údajům mohla být právě s odkazem na tuto úpravu odmítnuta. Žadatel by se pak mohl se žádostí o přezkum tohoto rozhodnutí povinné osoby, správce údajů, obrátit na Úřad pro ochranu osobních údajů.
A co pověřenec?
Vztah pověřence k agendě whistleblowingu obsahuje minimálně dva zajímavé a důležité body.
Prvním z nich je to, že pověřenec, pokud byl v povinné organizaci jmenován, by měl vykonávat dohled, monitorovat soulad s požadavky GDPR a dalších předpisů, i pro zpracování osobních údajů nezbytné pro zajištění whisteblowing proces. Na druhou stranu, s ohledem na přísnou důvěrnost učiněných oznámení, identity jejich odesílatelů a v některých případech či fázích procesu i osob, vůči kterým oznámení směřuje, by pověřenec spíše neměl mít přístup k jednotlivým oznámením či jejich evidenci. Pro posouzení souladu daného zpracování s právem tak bude muset využít jiný přístup, typicky kontrolu samotného procesu, jeho nastavení a zabezpečení bez toho, aby přistupoval ke zpracovávaným datům.
Druhým pak je otázka, jestli pověřenec může zároveň zastávat roli příslušné osoby, tedy prošetřovatele whistleblowing oznámení. Role těchto dvou je v řadě ohledů (nezávislost při výkonu funkce, nezbytné kvalifikační předpoklady, znalost organizace, přístup k vedení organizace atd.) podobná. Zejména z praktického hlediska a řízení kapacit se toto řešení přímo nabízí.
Spojení rolí pověřence a příslušné osoby však skrývá i několik háčků
Na prvém místě se jedná o to, že whistleblowing oznámení může směřovat i proti pověřenci jako takovému, resp. proti způsobu zpracování osobních údajů v dané organizaci. Pověřenec, byť v danou chvíli v roli příslušné osoby, samozřejmě nemůže vyšetřovat sám sebe. Tuto mezeru lze řešit například tak, že oznámení týkající se zpracování osobních údajů, u kterých by takováto osoba byla zjevně ve střetu zájmů, vyšetřovat nebude ona, ale někdo jiný, její nadřízený či zaměstnanec z jiného útvaru. Případně lze potencionální oznamovatele o této skutečnosti a hrozícím riziku informovat a odkázat je rovnou na Úřad pro ochranu osobních údajů, byť se toto řešení z pohledu povinné organizace nemusí jevit jako nejvhodnější.
Druhé téma k řešení spočívá v tom, že příslušná osoba pro zajištění whistleblowing procesu nezbytně zpracovává osobní údaje. A jako pověřenec by měla, či alespoň měla mít možnost, toto zpracování kontrolovat. Jinými slovy, opět hrozí střet zájmů. I tento problém lze řešit. Nabízí se opět přezkum této části zpracování jinou osobou, ať už interní či externí, nebo například zavedení automatických kontrol, které daná osoba zastávající obě funkce nebude moci neoprávněně ovlivnit.
Další upřesnění nás ještě čekají
Cílem tohoto textu bylo popsat jen některé, snad ty nejdůležitější nebo pro praxi nejproblematičtější styčné body mezi whistleblowingem a ochranou osobních údajů. S obnovením legislativního procesu pro transpoziční zákon i s rozvíjením praxe, minimálně u veřejnoprávních subjektů, jistě vyvstanou i otázky další. Na druhou stranu věřme, že rozvíjet se bude i metodická podpora od Ministerstva spravedlnosti[1], případně dalších subjektů. Každopádně otázkám a prvním odpovědím týkajícím se zpracování a ochrany osobních údajů při whistleblowing procesu bude vhodné věnovat pozornost i do budoucna.
František Nonnemann
Autor je právník. Je také členem Výboru Spolku pro ochranu osobních údajů.
[1] Ministerstvo spravedlnost již vydalo, a následně jednou spíše dílčím způsobem aktualizovalo, metodiku k přímé aplikovatelnosti směrnice o whistleblowingu: https://korupce.cz/metodika-k-prime-aplikovatelnosti-smernice-evropskeho-parlamentu-a-rady-eu-2019-1937-ze-dne-23-rijna-2019-o-ochrane-osob-ktere-oznamuji-poruseni-prava-unie/.