Zákon č. 171/2023 Sb., o ochraně oznamovatelů (dále jen „Zákon“), nabude účinnosti již 1. 8. 2023 a pro povinné subjekty to mj. znamená povinnost zavést účinný vnitřní oznamovací systém k tomuto dni, přičemž povinné subjekty zaměstnávající ke dni nabytí účinnosti Zákona od 50 do 250 zaměstnanců mají dobu k implementaci delší, a to konkrétně do 15. 12. 2023.
Výzva jménem GDPR
Implementace mechanismů ochrany oznamovatelů přináší množství souvisejících výzev. Jednou z hlavních je nutnost zajištění ochrany osobních údajů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“).
Ochrana oznamovatelů je komplexním tématem přinášejícím řadu nových institutů a procesů, mezi něž patří i přijímání, posuzování a evidence oznámení dle Zákona – to vše zásadně při zachování důvěrnosti identifikace oznamovatele. Právě v souvislosti s podáním oznámení, jeho posouzením a následnou evidencí je nutně spojeno zpracování osobních údajů sdělených ze strany oznamovatele.
Právě této tématice se věnujeme v tomto samostatném článku, který je dalším článkem v sérii věnované ochraně oznamovatelů v České republice.
Osobní údaje oznamovatele
V souvislosti s ochranou oznamovatelů lze za osobní údaje oznamovatele považovat zejména takové osobní údaje, které o sobě oznamovatel sdělí povinnému subjektu – správci osobních údajů v souvislosti s podáním oznámení. Mechanismy ochrany osobních údajů musí být přitom pro oznamovatele důvěryhodné.
Je třeba uvést, že podle Zákona je navíc poskytnutí informací o totožnosti oznamovatele bez jeho souhlasu přestupkem, za který hrozí příslušné osobě pokuta ve výši až 100.000,- Kč a v případě, že bude oznamovatel vystaven v důsledku zveřejnění totožnosti odvetným opatřením, hrozí povinnému subjektu pokuta až 1.000.000,- Kč.
Osobními údaji jsou podle článku 4 GDPR „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“, tedy v zásadě jakýkoliv údaj o fyzické osobě, na základě kterého je možné fyzickou osobu identifikovat. Osobními údaji jsou i pseudonymizované údaje, které jsou sice zašifrované či jinak upravené k prvotní nemožnosti identifikace, ale je možné je použít ke zpětné identifikaci. Za osobní údaje nejsou považovány logicky anonymizované osobní údaje.
Zákon přitom vyžaduje aby oznámení bylo podáno tak, že se oznamovatel při jeho podání identifikuje sdělením svých osobních údajů.
Podávání oznámení anonymně Zákon nepřipouští a oznamovateli anonymního oznámení nepřiznává ochranu, avšak povinné subjekty mohou taková oznámení přijímat a vyřizovat na bázi dobrovolnosti.
Lze tedy uzavřít, že oznamovatel bude při podávání oznámení zpravidla sdělovat své osobní údaje, a to alespoň v takovém rozsahu, jaký předpokládá ustanovení § 2 odst. 2 Zákona, tj. jméno, příjmení, datum narození a/nebo jiný údaj, z něhož je možné dovodit identitu oznamovatele.
Zásady zpracování osobních údajů
I v případě zpracovávání osobních údajů v souvislosti s ochranou oznamovatelů je nutné dodržovat základní zásady zpracovávání, jak jsou tyto vymezeny GDPR, které jsou následující:
(a) zásada zákonnosti zpracování osobních údajů – je nutné vždy stanovit některý ze sedmi právních důvodů zpracování, a to transparentně vůči oznamovateli (nejčastěji bude právním důvodem plnění zákonné povinnosti a/nebo oprávněný zájem);
(b) zásada minimalizace údajů – oznamovatel nesmí být nucen sdělovat osobní údaje, které nejsou nezbytné pro dosažení účelu zpracování, tedy k ověření důvodnosti podaného oznámení;
(c) zásada legitimního účelu zpracování – osobní údaje je možné zpracovávat pouze k dosažení legitimního účelu, tj. podání oznámení a jeho následného posouzení a dalšího zpracování;
(d) zásada omezené doby uložení – oznámení musí příslušná osoba uchovávat po dobu 5 let ode dne jeho přijetí; a
(e) zásada zabezpečení údajů – klíčová zásada, která zaručuje důvěru ve vnitřní oznamovací systém, přičemž je nutné zvolit správné technické prostředky a organizační opatření společně s vhodně nastavenými interními procesy.
Osobní údaje dalších osob
Vedle osobních údajů oznamovatele bude zpravidla docházet také ke zpracovávání osobních údajů jiných osob, pokud tyto oznamovatel uvedl v oznámení (např. údajný pachatel, poškozená osoba či svědek), a které jsou oznámením dotčeny.
Oznamovatel může uvést různé osoby a různé kategorie osobních údajů, které následně budou zpracovávané příslušnou osobou. Aby byl naplněn účel vnitřního oznamovacího sytému je třeba dodržet ochranu osobních údajů i takových osob, a to zejména s ohledem na možnou následnou stigmatizaci související s únikem jejich osobních údajů.
Práva oznamovatelů a dotčených osob
Subjekty údajů mají dle GDPR práva v souvislosti se zpracováváním jejich osobních údajů – zejména právo na informace, právo na přístup k osobním údajům, právo na jejich opravu, právo na jejich výmaz – tzv. právo být zapomenut, právo na přenositelnost údajů, právo vznést proti zpracovávání osobních údajů námitku a další zde neuvedené.
Řádný výkon těchto práv subjektů údajů by v některých případech mohl znamenat narušení vyšetřování oznámeného protiprávního jednání a potažmo odhalení totožnosti oznamovatele, uplatní se tak v těchto zvláštních případech výjimky.
Základním právem subjektu údajů je právo na přístup k osobním údajům (článek 15 GDPR), které jsou o něm zpracovávány. Správce osobních údajů (v kontextu ochrany oznamovatelů jím je povinný subjekt) musí informovat subjekt údajů (v kontextu ochrany oznamovatelů je jím právě oznamovatel a/nebo dotčená osoba) o zpracovávání osobních údajů a případně zajistit jejich předání.
Vzhledem k povaze mechanismů ochrany osobních údajů a jejich smyslu a účelu by takové předání mohlo založit i odpovědnost za přestupek, jelikož by se dotčená osoba a/nebo oznamovatelem označený údajný pachatel protiprávního jednání mohli dozvědět o totožnosti oznamovatele a znemožnit tak účelné vyřešení podaného oznámení. V krajním případě by mohlo být uloženo odvetné opatření, což by mělo za následek právě výše zmíněnou pokutu.
Podobné výjimky se týkají i dalších vybraných garantovaných práv, jako např. práva na výmaz nebo práva na opravu zapsaného údaje, jelikož by změnou/výmazem mohl být zničen důkaz a znemožněno účinné prošetření oznámení.
Logicky bude omezeno i právo na přímé informování subjektů údajů o zpracování jejich osobních údajů, které bude nutné adresovat obecně společně s informacemi o vnitřním oznamovacím systému.
Pozice příslušné osoby
Povinné subjekty mají vedle samotného zavedení vnitřního oznamovacího systému povinnost určit tzv. příslušnou osobu – fyzickou osobu, jež bude přijatá oznámení zpracovávat a vyhodnocovat.
V rámci zajištění souladu vnitřního oznamovacího systému a postupů s GDPR je nutné pamatovat i na vztah s příslušnou osobou a v rámci smluvního vztahu s ní upravit i pravidla zpracování osobních údajů a jejich zabezpečení.
Předávání osobních údajů (nejen do USA)
Mnoho povinných subjektů bude zřízení vnitřního oznamovacího systému řešit prostřednictvím on-line komplexního řešení, především formou softwarového řešení či webové aplikace.
Je nutné věnovat zvýšenou pozornost tomu, kde se shromažďované osobní údaje ukládají, tedy kde poskytovatel řešení, které bude často provozováno jako cloudová služba, ukládá veškerá sbíraná data a informace.
Přesto, že je aktuálně možné předávat osobní údaje do USA na základě nového právního rámce přijatého v nedávné době Evropskou komisí, je obecně doporučováno ukládat osobní údaje i metadata v datových centrech v členských státech EU.
Nicméně je možné americkým společnostem, které se právního rámce účastní a jsou zapsány v seznamu dostupném na webu zde, osobní údaje předávat bezpečně a již prakticky bez omezení. Na druhou stranu nezapsaným společnostem je předání umožněno na základě standardních smluvních doložek, přičemž již nemusí být zkoumána úroveň zabezpečení osobních údajů, jak tomu bylo doposud. Kromě technických opatření, kterými jsou vedle ukládání osobních dat v datových centrech členských států EU také šifrování dat při přenosu a pseudonymizace, by mělo dojít k zajištění organizačního opatření, tj. školení a implementace řádné compliance dokumentace.
Zavedení souladu s GDPR
Při zavádění vnitřního oznamovacího systému povinný subjekt musí nutně pamatovat na princip a povinnost stanovené GDPR označovaný jako Privacy by Design, který stanoví povinnost při zavádění jakéhokoli nového procesu zpracování pamatovat na ochranu osobních údajů a posuzovat její naplnění ještě před zahájením zpracování.
Obecně je pak nutné adresovat zejména následující témata:
- splnění informační povinnosti vůči oznamovateli a dotčeným subjektům údajů,
- zavedení vnitřních pravidel a procesů ochrany osobních údajů, včetně záznamů o zpracování,
- zajištění technického zabezpečení osobních údajů, či
- nastavení vztahů s příslušnou osobou a dalšími poskytovateli služeb v rámci ochrany osobních údajů.
Závěr
Ochrana osobních údajů je jedním z pilířů ochrany oznamovatelů, zejména proto, že důvěra v celý vnitřní oznamovací systém je klíčem k jeho řádnému fungování a pokud by se oznamovatel domníval, že může dojít ke zveřejnění jeho totožnosti, oznámení si v takovém případě spíše rozmyslí a obrátí se na vnější oznamovací systém vedený Ministerstvem spravedlnosti.
Stejně významnou je také transparentnost zpracovávání osobních údajů, spočívající zejména v řádném informování svých zaměstnanců o možnosti podání oznámení.
Většina povinných subjektů se s ohledem na výše uvedené nevyhne nutným úpravám interní dokumentace související se zpracováváním osobních údajů.
V případě potřeby jsme Vám v PEYTON legal v souvislosti s ochranou osobních údajů a problematikou ochrany oznamovatelů k dispozici.
Mgr. Jakub Málek, managing partner– malek@plegal.cz
Mgr. Tomáš Maux, advokátní koncipient – maux@plegal.cz
Tereza Benešová, právní asistentka – benesova@plegal.cz
25. 7. 2023