Už je to více než pět let od účinnosti nařízení, které způsobilo revoluci v oblasti ochrany osobních údajů. Od té doby bylo GDPR několikrát „podrobeno zkoušce“. Například v době covid-19 se ukázalo, jak jsou společnosti připraveny na zpracování zvláštních kategorií osobních údajů. V minulém roce se společnosti musely začít prát se soubory cookies, které prostě, chtě nechtě, s GDPR souvisí.
Od 1. srpna 2023 přichází další zkouška, která otestuje funkčnost GDPR v mnoha organizacích. Tou je nový zákon č. 171/2023 Sb., o ochraně oznamovatelů. Zákon o whistleblowingu. Předpis, který důvěrnost a důraz na soukromí staví na první místo. Na co myslet při implementaci whistleblowingu z pohledu GDPR? Tady je shrnutí toho nejdůležitějšího.
Jak spolu whistleblowing a GDPR souvisí?
Zákon o ochraně oznamovatelů zavádí povinnost vytvořit vnitřní oznamovací systém u společností nad 50 zaměstnanců, veřejných zadavatelů, obcí, orgánů veřejné moci a dalších subjektů uvedených v § 8 daného zákona. Pod pojmem vnitřní oznamovací systém si nemusíte představovat software, nýbrž souhrn procesních pravidel, která zajistí, že každý oznamovatel může v klidu a bezpečí oznámit protiprávní jednání na pracovišti.
Zákon zavádí také novou pozici příslušné osoby, neboli řešitele oznámení, který má za úkol oznámení přijímat, vyřizovat a navrhovat společnosti opatření.
Každý oznamovatel tak musí být chráněn, pokud učiní oznámení o trestném činu, přestupku nad 100 000 Kč, porušení předpisů v oblasti životního prostředí, ochrany spotřebitele apod. Ochrana spočívá v zajištění, že nebudou vůči oznamovateli přijata žádná odvetná opatření a že se bude společnost jeho oznámením zabývat a provede nápravu.
To tedy v praxi znamená, že každá povinná společnost musí přijmout interní předpisy, jmenovat řešitele oznámení, informovat oznamovatele a zajistit další procesní oblasti spojené s whistleblowingem.
Oblast ochrany oznamovatelů s sebou přináší základní povinnosti související s ochranou osobních údajů. Český zákon o ochraně oznamovatelů se vydal cestou, kdy jsou chráněna jen oznámení, ve kterých je oznamovatel identifikován. Z tohoto důvodu se budou ve společnostech hromadit evidence, které z povahy věci budou obsahovat osobní údaje pracovníků – oznamovatelů. Co si musí tedy společnosti pohlídat?
- Poučení všech pracovníků o pravidlech nakládání s osobními údaji ve společnosti
- Informování subjektů údajů o zavedeném vnitřním oznamovacím systému
- Vytvoření záznamu o činnosti zpracování
- Vyřešení procesních otázek práva na přístup k osobním údajům
- Uložení záznamů v souvislosti s whistleblowingem
Poučení všech pracovníků o pravidlech nakládání s osobními údaji ve společnosti
Jednou z oblastí, na kterou se vztahuje zákon o ochraně oznamovatelů, je porušení pravidel v oblasti ochrany osobních údajů, soukromí a bezpečnosti sítí elektronických komunikací. Jinými slovy, oznamovatelé jsou chráněni také v případě, že učiní oznámení v souvislosti s tímto odvětvím.
Pokud je tak například zaměstnanec na pracovišti svědkem situace, v rámci které jiný zaměstnanec zasílá obchodní sdělení na všechny zákazníky – fyzické osoby, může o tom učinit oznámení podle zákona a zaměstnavatel se tím musí zabývat.
Z tohoto důvodu by si společnosti měly zopakovat základní pravidla nakládání s osobními údaji, aby vše probíhalo v souladu s právními předpisy.
Informování subjektů údajů o zavedeném vnitřním oznamovacím systému
Oznámení obsahuje údaje o jménu, příjmení a datu narození, nebo jiné údaje, z nichž je možné dovodit totožnost oznamovatele. Tak zní ustanovení § 2 odst. 2 zákona o ochraně oznamovatelů. Zákon tedy nepřikládá ochranu anonymním oznámením a dá se předpokládat, že mnoho společností se vydá cestou rozsahu zákona a bude přijímat pouze identifikovaná oznámení.
Tak jako tak je zřejmé, že bude docházet ke zpracování osobních údajů. V podstatě dojde k rozšíření osobních údajů, které budou zaměstnavatelé zpracovávat na základě plnění právních povinností. Společnosti by tak neměly zapomenout na aktualizaci poučení o zpracování osobních údajů vůči oznamovatelům.
Zejména by se společnosti měly zaměřit na uváděný rozsah zpracovávaných údajů v rámci plnění povinností dle zákona o ochraně oznamovatelů, příjemce osobních údajů (pokud je do zpracování zapojený externí řešitel nebo software, který zajišťuje příjem oznámení) a vyřizování práv subjektů údajů. V právech je potřeba zaměřit se zejména na otázku spojenou s vyřízením práva na přístup. To bude totiž specifické v případech, kdy o přístup požádá osoba, u které by vyhovění znamenalo zmaření nebo ohrožení podávaného oznámení. K tomuto viz dále v tomto článku.
Vytvoření záznamu o činnostech zpracování
Jelikož má docházet ke zpracování osobních údajů, bude potřeba také aktualizovat záznamy o činnostech zpracování. V této aktualizaci by neměl být žádný problém. Účelem zpracování bude řešení jednotlivých oznámení o možném porušení stanovených předpisů. Právním základem plnění zákonných povinností dle čl. 6 odst. 1 písm. c) GDPR. Důležité je také popsat všechny příjemce osobních údajů. Každý správce by se měl v záznamech zaměřit také na dobrý popis technických a bezpečnostních opatření, která budou, v souvislosti se zachováním důvěrnosti oznámení, velmi důležitým faktorem dobře nastaveného oznamovacího systému.
Specifika práva na přístup k osobním údajům
Představte si následující příklad. Problémový zaměstnanec se obrátí na řešitele oznámení dle zákona o ochraně oznamovatelů (například interního pracovníka, který dostal tuto agentu na starost) a požádá ho o přístup k osobním údajům, které se týkají jeho osoby. Zároveň v souvislosti s chováním tohoto zaměstnance přišlo v minulosti již několik oznámení, tudíž společnost bezesporu zpracovává osobní údaje o této osobě.
Otázkou tedy je: „Musí společnost žádosti vyhovět?“
Nemusí. Řešitel oznámení v tomto případě musí vyhodnotit, zda by vyhověním práva nedošlo k maření prošetřování oznámení, ztížení přijetí nápravných opatření či odhalení totožnosti oznamovatele. Zajímavý závěr přineslo Ministerstvo spravedlnosti na své osvětové stránce k whistleblowingu, kde uvedlo: „O výsledku posouzení žádosti pak příslušná osoba informuje přímo žadatele, bude-li takový postup adekvátní.“
Z tohoto závěru tak vyplývá, že v některých případech nemusí příslušná osoba (řešitel oznámení) informovat o odmítnutí žádosti ani samotného žadatele, pokud by tím byl zmařen účel. Například by tím vyšlo najevo, že je aktuálně projednáváno oznámení v souvislosti s tímto žadatelem. Jde ale o oblast, která prozatím nebyla konzultována s Úřadem pro ochranu osobních údajů, a lze předpokládat, že ten se k celé problematice v budoucnu ještě vyjádří.
Pokud by žádost o vyřízení tohoto práva přišla přímo pověřenci pro ochranu osobních údajů, nesmí se touto žádostí DPO zabývat a musí ji postoupit přímo řešiteli oznámení. Důvodem je, že k oznámením má přístup pouze tento řešitel a nikdo jiný. Proto ani fakticky DPO nemůže takovou žádost vyřídit.
Uložení záznamů v souvislosti s whistleblowingem
Jednou z dalších oblastí, kterou musí každá povinná osoba řešit, je nastavení doby uložení dokumentace související s podanými oznámeními. Odpověď na otázku, jak dlouho dokumentaci uchovávat, upravuje § 21 odst. 2 zákona o ochraně oznamovatelů.
Lhůta je nastavena na pět let ode dne přijetí oznámení. Po tuto dobu tedy musí každá povinná společnost uchovávat veškerou dokumentaci a oznámení. Pokud se tedy na společnost obrátí bývalý zaměstnanec, který dostal na základě podaného oznámení výpověď, s žádostí o výmaz svých osobních údajů, nemusí zaměstnavatel této žádosti vyhovět také v rozsahu zákona o ochraně oznamovatelů.
Další specifika k zamyšlení
Dalšími oblastmi, které uvádíme k zamyšlení pro všechny, kteří mají na starost kontrolu implementace whistleblowingu ve společnosti, jsou bezesporu zpracovatelské smlouvy s poskytovateli software pro řešení oznámení. Externí poskytovatelé takových software zajišťují minimálně uložení osobních údajů. Další specifickou oblastí, která bude mít dopad na ochranu osobních údajů, jsou externí řešitelé oznámení. Z povahy věci musí být řešitelé oznámení nestranní a nemohou dostávat pokyny pro svou funkci, které by mohly ohrozit vyřizování oznámení. Z tohoto důvodu vidíme jako velmi problematické postavení externího řešitele oznámení jako zpracovatele osobních údajů. Spíše se domníváme, že budou v pozici samostatného správce, protože pro zpracování osobních údajů budou určovat vlastní účely a prostředky zpracování. Existují však také přesně opačné názory ze strany odborné veřejnosti, kdy externí řešitel oznámení bude v pozici zpracovatele osobních údajů, neboť svou činnost vykonává právě pro povinnou osobu, která je správcem osobních údajů. Nezbývá, než vyčkat, zda nebude vydáno oficiální stanovisko ze strany dozorového orgánu.
Zákon o ochraně oznamovatelů tak bude velkým milníkem pro společnosti s 50 a více zaměstnanci. Zároveň bude znamenat také výzvu pro ochranu osobních údajů. Pokud působíte ve společnosti jako pověřenci pro ochranu osobních údajů, nezapomeňte správce náležitě poučit a vysvětlit, jaká specifika whistleblowing přináší.
Jiří Hradský
Autor je advokát v SEDLAKOVA LEGAL, s. r. o.