Zavedení a užívání etické linky určené pro oznamování protiprávního jednání uvnitř organizace bude nevyhnutelně zahrnovat zpracování osobních údajů. Proto každá společnost zavádějící ať už dobrovolně nebo povinně whistleblowing bude muset toto zpracování zohlednit také ve své interní[1] a externí[2] dokumentaci upravující nakládání s osobními údaji. Směrnice (EU) 2019/1937 o ochraně osob, které oznamují porušení práva předpokládá, že zpracování osobních údajů bude prováděno v souladu s právními předpisy EU, především s GDPR[3], které však neobsahuje žádná konkrétní ustanovení, která by řešila ochranu osobních údajů v rámci specifických systémů whistleblowingu. Při hledání pravidel je tedy nutné prostudovat širší prameny[4], které se touto problematikou zabývají.
Obecně lze shrnout, že zpracování osobních údajů v rámci whistleblowingu je specifické v tom, že je zde vysoká míra rizika pro oznamujícího, ale i pro ostatní osoby oznámením dotčené jakou jsou svědci, poškozené osoby nebo údajný pachatel. Zatímco u oznamovatele jde o riziko prozrazení jeho identity, která má být důsledně chráněná za účelem prevence odvetných opatření, u osob označených jako potenciální pachatelé jde především o riziko stigmatizace a viktimizace. Sám zákon o ochraně oznamovatele výslovně vyžaduje zavedení postupů, které budou osobní údaje zahrnovat jako např. pořizování nahrávek ústních oznámení, uchovávání oznámení nebo vedení evidence údajů o přijatých oznámení. A proto povinná osoba zavádějící whistleblowing musí splnit veškeré povinnosti, které jí jako správci osobních údajů ukládá GDPR.
Základní principy zpracování osobních údajů zůstávají stejné, ale pravda je, že v některých případech bude nutné více akcentovat individuální posouzení konkrétního případu, aby nedošlo ke změření účelu, ke kterému má whistleblowing sloužit:
- Právní základ zpracování – půjde o zákonnou povinnost v případě, že na správce tato dopadá; v případě dobrovolného zavedení whistleblowingu bude zpracování realizováno na základě oprávněného zájmu, se všemi z toho plynoucími povinnostmi, především ve vztahu k posouzení váhy oprávněného zájmu (alespoň základní balanční test) a odpovídajícího nastavení procesu uplatnění práv subjektů údajů.
- Minimalizace osobních údajů – zpracování by mělo být omezeno na údaje, které jsou nezbytné k ověření důvodnosti přijatého oznámení. Požadovaný nebo předpokládaný rozsah údajů, které by oznámení měla obsahovat, je žádoucí vhodně regulovat např. v interních pokynech nebo v samotných oznamovacích dotaznících, které bude povinná osoba při implementaci whistleblowingu zavádět.
- Omezená doba zpracování – dle návrhu zákona by oznámení měla být uchována po dobu 5 let od jejich přijetí. Kromě toho, je povinná osoba povinna vést evidenci údajů o přijatých oznámeních v zákonem stanoveném rozsahu, a to včetně výsledku posouzení důvodnosti oznámení, ovšem zde již zákonodárce dobu retence nestanovil.
- Plnění informační povinnosti – všechny dotčené osoby (potenciální oznamovatelé, ale i potenciální osoby uvedené v oznámení) by měly být o zpracování osobních údajů v rámci whistleblovingu důsledně a prokazatelně informovány. V případě potenciálních oznamovatelů půjde zpravidla o poučení při implementaci whistleblowingu do společnosti nebo při zahájení spolupráce. Obecně platí, že do jednoho měsíce od přijetí oznámení by pak měl správce osobních údajů také informovat všechny osoby, na které obsah tohoto oznámení dopadá, a to včetně svědků a údajných pachatelů. Pokud však existuje podstatné riziko, že by tyto informace mohly ohrozit schopnost správce účinně prošetřit oznámená obvinění nebo shromáždit potřebné důkazy, poskytnutí oznámení těmto osobám může být odloženo. O odkladu poskytnutí informací by mělo být rozhodováno vždy případ od případu na základě vyhodnocení konkrétních okolností.
- Práva subjektů údajů – také v případě whistleblowingu je nezbytné zajistit dodržování práv subjektů údajů dle GDPR. V závislosti na konkrétním případu však může být výkon těchto práv omezen tak, aby byla zajištěna možnost prošetření ohlášení a oprávněná ochrana všech, kterých se ohlášení týká. Právo na přístup nesmí být zneužito k získání informace o totožnosti oznamovatele nebo svědků a výkon práva na opravu nesmí vést k úpravě prvků obsažených v oznámení.
- Zabezpečení osobních údajů – hlavním organizačním bezpečnostním opatřením bude v tomto případě především omezení přístupu k osobním údajům (včetně těch v papírové podobě) a nastavení interních procesů prostřednictvím závazných předpisů; za hlavní technické opatření lze označit zabezpečení všech IT systémů, ve kterých mohou být zprávy ohlašovatelů a související data zpracovávána před neoprávněným přístupem a kybernetickými hrozbami. Pokud správce používá zpracovatele, který mu pomáhá s provozováním systému whistleblowingu (typicky provozovatel platformy nebo telefonní linky), musí s ním uzavřít smlouvu o zpracování osobních údajů, která splňuje všechny požadavky GDPR.
Mgr. Ing. Jana Duchková
[1] Standardně se jedná o interní směrnici upravující nakládání s osobními údaji, poučení pro zaměstnance a spolupracující osoby, záznamy o činnostech zpracování.
[2] Např. zásady zpracování osobních údajů, které jsou většinou umístěné na webových stránkách správce osobních údajů.
[3] Obecné nařízení o ochraně osobních údajů (EU) 2016/679.
[4] Vodítkem shrnujícím současnou best practice mohou být pokyny ke zpracování osobních údajů v rámci whistleblowingového řízení orgánů, institucí a agentur EU, které vydal evropský komisař pro ochranu osobních údajů v prosinci 2019, dostupné zde.
Komplexní materiál k problematice zpracování osobních údajů v rámci procesů whistleblowingu vypracoval také francouzský dozorový úřad CNIL, dostupné zde.