Whistleblowing a ochrana osobních údajů

Výzva jménem GDPR

Implementace mechanismů ochrany oznamovatelů přináší množství souvisejících výzev. Jednou z hlavních je nutnost zajištění ochrany osobních údajů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“).

Ochrana oznamovatelů je komplexním tématem přinášejícím řadu nových institutů a procesů, mezi něž patří i přijímání, posuzování a evidence oznámení dle Zákona – to vše zásadně při zachování důvěrnosti identifikace oznamovatele. Právě v souvislosti s podáním oznámení, jeho posouzením a následnou evidencí je nutně spojeno zpracování osobních údajů sdělených ze strany oznamovatele.

Právě této tématice se věnujeme v tomto samostatném článku, který je dalším článkem v sérii věnované ochraně oznamovatelů v České republice.

Osobní údaje oznamovatele

V souvislosti s ochranou oznamovatelů lze za osobní údaje oznamovatele považovat zejména takové osobní údaje, které o sobě oznamovatel sdělí povinnému subjektu – správci osobních údajů v souvislosti s podáním oznámení. Mechanismy ochrany osobních údajů musí být přitom pro oznamovatele důvěryhodné.

Je třeba uvést, že podle Zákona je navíc poskytnutí informací o totožnosti oznamovatele bez jeho souhlasu přestupkem, za který hrozí příslušné osobě pokuta ve výši až 100.000,- Kč a v případě, že bude oznamovatel vystaven v důsledku zveřejnění totožnosti odvetným opatřením, hrozí povinnému subjektu pokuta až 1.000.000,- Kč.

Osobními údaji jsou podle článku 4 GDPR „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“, tedy v zásadě jakýkoliv údaj o fyzické osobě, na základě kterého je možné fyzickou osobu identifikovat. Osobními údaji jsou i pseudonymizované údaje, které jsou sice zašifrované či jinak upravené k prvotní nemožnosti identifikace, ale je možné je použít ke zpětné identifikaci. Za osobní údaje nejsou považovány logicky anonymizované osobní údaje.

Zákon přitom vyžaduje aby oznámení bylo podáno tak, že se oznamovatel při jeho podání identifikuje sdělením svých osobních údajů.

Podávání oznámení anonymně Zákon nepřipouští a oznamovateli anonymního oznámení nepřiznává ochranu, avšak povinné subjekty mohou taková oznámení přijímat a vyřizovat na bázi dobrovolnosti.

Lze tedy uzavřít, že oznamovatel bude při podávání oznámení zpravidla sdělovat své osobní údaje, a to alespoň v takovém rozsahu, jaký předpokládá ustanovení § 2 odst. 2 Zákona, tj. jméno, příjmení, datum narození a/nebo jiný údaj, z něhož je možné dovodit identitu oznamovatele.

Zásady zpracování osobních údajů

I v případě zpracovávání osobních údajů v souvislosti s ochranou oznamovatelů je nutné dodržovat základní zásady zpracovávání, jak jsou vymezeny GDPR, které jsou následující:

1. zásada zákonnosti zpracování osobních údajů – je nutné vždy stanovit některý ze sedmi právních důvodů zpracování, a to transparentně vůči oznamovateli (nejčastěji bude právním důvodem plnění zákonné povinnosti a/nebo oprávněný zájem);
2. zásada minimalizace údajů – oznamovatel nesmí být nucen sdělovat osobní údaje, které nejsou nezbytné pro dosažení účelu zpracování, tedy k ověření důvodnosti podaného oznámení;
3. zásada legitimního účelu zpracování – osobní údaje je možné zpracovávat pouze k dosažení legitimního účelu, tj. podání oznámení a jeho následného posouzení a dalšího zpracování;
4. zásada omezené doby uložení – oznámení musí příslušná osoba uchovávat po dobu 5 let ode dne jeho přijetí; a
5. zásada zabezpečení údajů – klíčová zásada, která zaručuje důvěru ve vnitřní oznamovací systém, přičemž je nutné zvolit správné technické prostředky a organizační opatření společně s vhodně nastavenými interními procesy.