Zákon č. 171/2023 Sb., o ochraně oznamovatelů, je často označován za největší compliance novinku od dob GDPR.
V praxi se jedná o dva velké a samostatné systémy s vlastními procesy a povinnostmi. Systémy, které se však spolu prolínají. V rámci plnění povinností podle zákona o ochraně oznamovatelů totiž dochází ke zpracování osobních údajů ve velkém rozsahu, při implementaci proto musí být zohledněna také pravidla ochrany osobních údajů, jak je stanoví GDPR.
Pokuta za porušení GDPR při zavádění whistleblowingu
O tom, že obě oblasti spolu úzce souvisí, svědčí rozhodnutí italského dozorového úřadu ze dne 7. dubna 2022, které se týkalo zavedení vnitřního oznamovacího systému v nemocnici v Perugii.
Kontrola italského úřadu pro ochranu osobních údajů nalezla řadu porušení GDPR:
Systém pro správu whistleblowingu sledoval přístupy k softwaru, kdy připojení k aplikaci pro oznamování byla zaznamenávána a ukládána do protokolů brány firewall. Uživatelé aplikace by tak mohli být sledováni, a to včetně potenciálních oznamovatelů.
Zaměstnancům nebyly poskytnuty žádné informace o zpracování osobních údajů
Nebylo provedeno posouzení vlivu na ochranu osobních údajů (DPIA)
V záznamech o činnostech podle článku 30 GDPR nebyl pro tuto zpracovatelskou činnost nalezen žádný záznam.
Nemocnice pro interní oznamovací kanál využívala nástroj od dodavatelské firmy. Protože IT dodavatel nástroj přímo provozoval, byl v postavení zpracovatele osobních údajů. Nemocnice s ním ovšem neuzavřela zpracovatelskou smlouvu, ani nepřijala žádné další kroky, které pro výběr a využití zpracovatele GDPR ukládá.
Rozhodnutí dozorového úřadu
Dozorový úřad konstatoval, že vnitrostátní právní úprava týkající se whistleblowingu spadá do působnosti „specifičtějších pravidel k zajištění ochrany práv a svobod při zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním“ uvedených v čl. 88 odst. 1 GDPR. Whistleblowing ve skutečnosti znamená zpracování osobních údajů, které se týkají jak informujícího zaměstnance, tak jednotlivců, proti nimž je nahlášeno, svědků a třetích stran a předpokládá se zvláštní režim důvěrnosti na ochranu identity oznamovatele.
Správce (veřejná nemocnice) nestanovil přiměřená technická a organizační opatření k zajištění náležité úrovně zabezpečení s ohledem na specifická rizika vyplývající z předmětného zpracování, což vyžadovalo zavedení systému řízení whistleblowing.
Jak nemocnice, tak IT dodavatel dostali pokutu ve výši 40.000 EUR.
Přesahy GDPR a whistleblowingu
I tento příklad jasně demonstruje, že oba systémy, whistleblowing i pravidla pro zpracování a ochranu osobních údajů, musí být v souladu. Při plnění povinností vyplývajících ze zákona o ochraně oznamovatelů musí být zároveň plněny povinnosti vyplývající z GDPR. Ani jednu z těchto úprav nelze aplikovat či vykládat izolovaně, bez ohledu na ostatní regulace a povinnosti dotčené organizace.
Některé povinnosti plynoucí z pravidel pro zpracování osobních údajů a z regulace whistleblowingu se ale mohou jevit jako protichůdné. Týká se to zejména plnění práv subjektu údajů, konkrétně především práva přístup k osobním údajům podle čl. 15 GDPR a práva na výmaz podle čl. 17 GDPR. Jak tyto žádosti vyřídil v praxi, pokud se týkají údajů zpracovávaných v rámci whistleblowing procesu?
Právo na přístup k osobním údajům
Podle čl. 15 GDPR má subjekt údajů právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány. Pokud správce jeho osobní údaje zpracovává, subjekt údajů má právo získat přístup k těmto osobním údajům a k dalším informacím o zpracování. Subjekt údajů může také žádat kopii zpracovávaných osobních údajů.
Z recitálu č. 63 GDPR vyplývá, že subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl zpracování svých údajů informován a mohl si ověřit jeho zákonnost. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.
Alfou a omegou zákona o ochraně oznamovatelů je ochrana totožnosti oznamovatele. Mezi základní povinnosti organizace v režimu zákona o ochraně oznamovatelů patří zajistit, aby se s podanými oznámeními mohla seznamovat pouze příslušná osoba (§ 9). Ustanovení § 20 zákona o ochraně oznamovatelů uvádí, že příslušná osoba nebo pověřený zaměstnanec neposkytnou informace, které by mohly zmařit nebo ohrozit účel podávání oznámení.
Informace o totožnosti oznamovatele je možné dalším subjektům uvnitř i vně povinné organizace poskytnout jen s písemným souhlasem oznamovatele. Jedinou výjimkou je situace, kdy je příslušná osoba nebo pověřený zaměstnanec povinen tyto informace poskytnout příslušným orgánům veřejné moci podle jiných právních předpisů, např. povinné poskytnutí součinnosti orgánům činným v trestním řízení, dalším kontrolním úřadům atd.
Ochrana oznamovatele vs. transparentnost zpracování osobních údajů
Osoba oznamovatele (whistleblowera) je zákonem silně chráněna. Naproti tomu osoba, jíž se oznámení týká, prakticky nemá šanci při správném postupu při prošetřování oznámení zjistit, kdo oznámení podal. Dá se přitom předpokládat, že právě tato informace bude pro prošetřovanou osobu často ta nejzajímavější.
V praxi si proto lze představit situaci, kdy se osoba, vůči které byl podnět učiněn, bude snažit zjistit informace o autorovi podnětu, a využije k tomu zmíněného práva na přístup k osobním údajům ve smyslu čl. 15 GDPR.
K takovému případu se vyjádřilo ministerstvo spravedlnosti. Ministerstvo v často kladených otázkách k whistlebowingu když uvedlo, že pokud pověřenec pro ochranu osobních údajů či správce osobních údajů obdrží v souladu GDPR žádost o přístup k osobním údajům a informacím, které se týkají agendy ochrany oznamovatelů, nebudou se takovou žádostí zabývat a předají ji k vyřízení příslušné osobě (whistleblowing officerovi).
Příslušná osoba pak vyhodnotí, zda osobní údaje žadatele dle GDPR zpracovává, a následně posoudí, zda je s ohledem na limity stanovené zákonem žadateli možné vyhovět. Příslušná osoba bude muset zejména posoudit, zda by vyhověním žádosti subjektu údajů nemohlo dojít k maření prošetřování oznámení, ztížení přijetí nápravných opatření či odhalení totožnosti oznamovatele. O výsledku posouzení žádosti pak příslušná osoba informuje přímo žadatele, bude-li takový postup adekvátní.
Je doporučení ministerstva plně v souladu s GDPR?
Ministerstvem spravedlnosti navrhovaný postup nepochybně vyhovuje základním principům zákona o ochraně oznamovatelů. Podle názoru autorky však nelze pověřence pro ochranu osobních údajů takto naprosto vyšachovat a ani mu neoznámit výsledek rozhodnutí příslušné osoby.
Proč?
GDPR totiž samo s omezením či vyloučením práva na přístup k osobním údajům nepočítá. V čl. 23 nicméně členským státům umožňuje, aby některá ustanovení, včetně práv subjektů údajů, v určitých případech upravil odlišně či omezil.
Český zákon č. 110/2019 Sb., o zpracování osobních údajů, této možnosti využívá. Ustanovení § 11 ve spojitosti s § 6 odst. 2 zákona výslovně umožňují omezit či vyloučit výkon práv subjektu údajů, zjevně tedy včetně práva na přístup, pokud je to nezbytné mj. pro ochranu veřejného zájmu Evropské unie či členského státu, pro ochranu práv a svobod osob či pro vymáhání soukromoprávních nároků.
S ohledem na charakter a účel whistleblowing procesu lze ve velké většině případů předpokládat, že by výše uvedená žádost o přístup k osobním údajům mohla být právě s odkazem na tuto úpravu odmítnuta. Žadatel by se pak mohl se žádostí o přezkum tohoto rozhodnutí povinné osoby, správce údajů, obrátit na Úřad pro ochranu osobních údajů.
Pověřenec pro ochranu osobních údajů by proto měl být minimálně informován o tom, jak bylo s žádostí o přístup naloženo. Ideální by bylo, pokud by byl v mezích zákona o ochraně oznamovatelů zapojen do rozhodování o vyřízení žádosti. GDPR totiž neumožňuje žádost o přístup k osobním údajům odložit způsobem, který navrhuje ministerstvo spravedlnosti.
Právo na výmaz a whistleblowing
Prošetřovaná osoba, nebo jakákoli osoba, jíž se oznámení týká, se může snažit odstranit stopy po oznámení, prošetřování či po své skutečně protiprávní činnosti uplatněním práva na výmaz.
Článek 17 GDPR stanovuje, že subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů uvedených v tomto ustanovení. Odstavec 3 písm. b) stejného ustanovení obsahuje výjimku – právo nelze uplatnit, pokud je zpracování nezbytné pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
A právě tato výjimka se uplatní na většinu případů týkajících se whistleblowingu.
Ustanovení § 21 zákona o ochraně oznamovatelů jasně požaduje, aby evidence údajů o přijatých oznámeních byla vedena v elektronické podobě, a to v rozsahu:
a) datum přijetí oznámení,
b) jméno, příjmení, datum narození a kontaktní adresa oznamovatele, nebo jiné údaje, z nichž je možné dovodit totožnost oznamovatele, jsou-li jim tyto údaje známy,
c) shrnutí obsahu oznámení a identifikace osoby, proti které oznámení směřovalo, je-li jim její totožnost známa,
d) datum ukončení posouzení důvodnosti oznámení příslušnou osobou nebo pověřeným zaměstnancem a jejich výsledek.
Příslušná osoba je povinna uchovávat oznámení podané prostřednictvím vnitřního oznamovacího systému a dokumenty související s oznámením po dobu 5 let ode dne přijetí oznámení. Ministerstvo spravedlnosti, které provozuje tzv. externí oznamovací kanál, je povinno uchovávat jemu podané oznámení a dokumenty související s oznámením po dobu 5 let ode dne jeho přijetí.
Povinná organizace tedy má zákonnou povinnost po dobu 5 let uchovávat informace získané z oznámení, včetně identifikace osoby, proti které oznámení směřuje. Je tedy vyloučeno údaje související s podaným oznámením vymazat na základě žádosti podané podle čl. 17 GDPR.