Koho se týká whistleblowing zákon?
Každá organizace nad 250 zaměstnanců, větší úřady a ti, kdo se musí řídit zákonem proti praní špinavých peněz, jsou povinni od 1. srpna 2023 zavést a provozovat whistleblowing linku. Jinak řečeno, zavést interní oznamovací systém, který jejich současným i minulým zaměstnanců, dalším spolupracovníků, pracovníkům jejich dodavatelů atd., umožní důvěrně informovat o možném protiprávním jednání dané organizace.
Z čeho tato povinnost vyplývá?
Ze zákona č. 171/2023 Sb., o ochraně oznamovatelů, který byl definitivně schválen. Tento zákon transponuje, provádí, příslušnou legislativu Evropské unie, konkrétně směrnici 2019/1937 ze dne 23. října 2019, o ochraně osob, které oznamují porušení práva Unie.
Organizace, které jsou touto směrnicí a zákonem regulovány, jsou povinny jmenovat příslušnou osobu, whsitleblowing officera, který komunikuje s oznamovateli, prošetřuje jejich podněty a navrhuje nápravná opatření, když jsou podněty oprávněné.
A co ostatní?
I těch se povinnost zavést vnitřní oznamovací systém týká, ale mají trochu více času. Na splnění všech povinností podle zákona o ochraně oznamovatelů, včetně jmenování whistleblowing officera, mají čas "až" do prosince 2023.
Co vše budeme oznamovat
Jaké porušení předpisů bude možné whistleblowing linkou oznamovat? Zákon vymezuje řadu oblastí, právních úprav, jejichž případné porušení bude muset whistleblowing officer prošetřit. Jedná se například o tyto otázky:
Ochrana životního prostředí
Ochrana osobních údajů (GDPR) a kybernetické bezpečnosti
Bezpečnost dopravy a přepravy osob a zboží
Plnění daňových povinností právnických osob
Ochrana vnitřního pořádku a bezpečnosti, života a zdraví
Ochrana soukromí v elektronických komunikacích (ePrivacy)
Ochrana spotřebitele včetně specifických požadavků na různé skupiny výrobků
Ochrana hospodářské soutěže, zadávání veřejných zakázek a veřejných dražeb
Poskytování finančních služeb včetně plnění povinností při předcházení legalizace výnosů z trestné činnosti či financování terorismu (AML)
Whistleblowing Officer vs. Data Protection Officer
Nezbytnou součástí interního whistleblowing procesu bude jmenování Whistleblowing Officera, prošetřovatele oznámení o protiprávním jednání ve výše uvedených oblastech.
Whistleblowing Officer, dikcí zákona příslušná osoba, má silné postavení. Co všechno by měl podle whistleblowing zákona dělat:
Samostatně, nezávisle a bez pokynů vedení organizace posuzovat a hodnotit whistleblowing oznámení
Navrhovat kroky k nápravě zjištěného protiprávního stavu
Komunikovat s oznamovateli, whistleblowery
Chránit identitu oznamovatelů
Evidovat všechna oznámení a navazující informace a opatření
Postavení a role Whistleblowing Officera tak budou do velké míry podobné, jako je tomu o pověřence pro ochranu osobních údajů, Data Protection Officera.
V jejich postavení i agendě však najdeme i rozdíly, Whistleblowing Officer bude například za výkon svých kompetencí osobně odpovědný. V případě, kdy oznámení řádně nevyšetří nebo neoprávněně prozradí identitu oznamovatele, bude přímo on moci dostat pokutu až do výše 100.000,- Kč.
Porovnání role Whistleblowing Officera a DPO:
Whistleblowing Officer | Data Protection Officer | |
Kdo jmenuje v soukromém sektoru | Soukromá společnost nad 50 zaměstnanců. Všechny AML povinné subjekty. | Organizace provádějící pravidelné a systematické monitorování osob. Organizace provádějící rozsáhlé zpracování citlivých údajů |
Kdo jmenuje ve veřejném sektoru | Každý zadavatel veřejných zakázek (kromě malých obcí a malých zadavatelů veřejných zakázek) | Každý veřejnoprávní subjekt včetně krajů a obcí |
Požadavky - Hard Skills | Bezúhonnost, zletilost, svéprávnost | Odborné znalosti práva a praxe zpracování osobních údajů |
Požadavky – Soft Skills | Osobní integrita, znalost procesů, znalost řízení rizik či compliance management systému | Osobní integrita, znalost procesů, znalost řízení rizik či compliance management systému |
Může být funkce vykonávána externě? | Ano (kromě větších organizací a AML povinných subjektů) | Ano |
Mlčenlivost | Je povinen zachovávat mlčenlivost o oznámeních i oznamovatelích | Je povinen zachovávat mlčenlivost o všech skutečnost zjištěných při výkonu funkce |
Nezávislost | Nesmí přijímat ani vyžadovat pokyny týkající se prošetřování jednotlivých oznámení | Nesmí přijímat ani vyžadovat pokyny týkající se výkonu své funkce |
Komu reportuje | Vedení organizace | Vedení organizace |
Hlavní povinnosti | Přijímat oznámení, vyšetřovat oznámení, navrhovat nápravná opatření, evidovat oznámení a výsledky prošetřování | Kontrolovat soulad organizace s požadavky GDPR, navrhovat nápravná opatření v případě nesouladu, poradenství businessu, komunikace s ÚOOÚ |
Odpovědnost | Sankce až do 100.000,- Kč za špatný výkon funkce | Sankce není, možné vymáhání škody ze strany správce nebo zpracovatele |
Přístup k informacím a dokumentům | Musí mít plný přístup k informacím a dokumentům nezbytným k prošetření oznámení | Musí mít plný přístup k informacím a dokumentům nezbytným ke kontrole dodržování GDPR |
Odpovědnost za komunikaci s dotčenými osobami | Ano | Ano |
Povinnost zveřejnit kontakty na webu organizace | Ano | Ano |
Synergie Whistlebowing a GDPR regulace
Požadavky na osobu Whistlebowing Officera a Data Protection Officera jsou do velké míry podobné.
Řadu stejných nebo podobných rysů najdeme i v jejich zařazení do struktury organizace, činností, které mají vykonávat, či požadavků na nezávislost. Oba dva rovněž využijí zkušenosti s řízením rizik, compliance management systémem či zaváděním ISO norem.
Jako efektivní řešení, jak si usnadnit implementaci některých částí whistleblowing procesu, se tak nabízí využití v organizaci již existujících procesů, např. pro zajištění souladu s GDPR.
Stejně tak je možné tuto agendu svěřit již osvědčenému Data Protection Officerovi, který organizaci a interní procesy zná, má důvěru vedení i zaměstnanců a dokáže novou agendu prošetřování oznámení o možném porušení předpisů vhodně skloubit se svojí činností pověřence pro ochranu osobních údajů.
Z pohledu povinné organizace by se jednalo o řešení jednoznačně efektivnější. Řešení by nevyžadovalo náklady na vyhledání nového zaměstnance a pověřenec by svoji novou roli Whistleblowing Officera mohl začít vykonávat prakticky ihned po nezbytném zaškolení.
Sloučení rolí whistleblowing officer a DPO má i svá rizika
Spojení pozice Data Protection Officera a Whistleblowing Officera s sebou však nese i otázky, na které si každá organizace musí odpovědět.
Mezi ty základní patří:
Odpovídá současný systém pro zajištění souladu s GDPR všem požadavkům na whistleblowing proces? Bude potřeba jej posílit?
Jsou na webu povinné organizace dostupné dostatečné informace a kontaktní údaje, nebo je potřeba informace doplnit?
Má Data Protection Officer zajištěn přístup ke všem informacím a dokumentům nezbytným k prošetření whistleblowing oznámení?
Bude mít současný Data Protection Officer k výkonu nové funkce Whistleblowing Officera dostatečné kapacity, zejména časové, nebo bude potřeba jej posílit?
Splňuje současná Data Protection Officer požadavky na bezúhonnost? Má dostatečné soft skills k tomu, aby whistleblowing oznámení důsledně a nestraně prošetřil?
Má již organizace whistleblowing proces popsán ve svých interních předpisech, zahrnuje do něj Data Protection Officera? Pokud ne, je nutné interní předpisy dopracovat a seznámit s nimi všechny zaměstnance.
Jak vyřešit možný střet zájmů, pokud by se whistleblowing oznámení týkalo GDPR agendy, kterou Whistleblowing Officer, tentokrát v roli pověřence, monitoruje a posuzuje? A nyní by tedy měl v roli Whistleblowing Officera vlastně kontrolovat sám sebe?