Whistleblowing má zásadní význam pro společnost, protože umožňuje odhalování nepoctivého / nekalého jednání a přispívá k větší transparentnosti, etice a zodpovědnosti v prostředí organizací / společností. Díky whistleblowingu mohou být odhaleny a řešeny problémy, které by jinak zůstaly skryty.

Terminologie

• Whistleblowing („hvízdání na píšťalku“) – situace, v rámci které současný nebo bývalý zaměstnanec organizace / společnosti upozorní oprávněný orgán či instituci na nekalé, neetické, nebo nezákonné jednání, o kterém se dozvěděl díky svému postavení a interním informacím.
• Vnitřní oznamovací systém – interní systém kontroly organizace / společnosti, jehož prostřednictvím mohou zaměstnanci oznamovat škodlivé jednání (resp. podezření na takové jednání), kterého se dopustil jejich spolupracovník, nadřízený nebo obchodní partner.
• Whistleblower (Oznamovatel) – fyzická osoba, která dává podnět / oznámení o nekalém jednání, o kterém se dozvěděla v souvislosti s vykonávanou prací nebo obdobnou činností. Jedná se např. o současné i bývalé zaměstnance, osoby pracující na základě dohod konaných mimo pracovní poměr, spolupracující OSVČ a jejich zaměstnance či členy orgánů obchodních společností.
• Příslušná osoba (Prošetřovatel) – osoba odpovědná za celý průběh šetření, která se bude podanými oznámeními zabývat, prošetřovat je a dávat zpětnou vazbu v rozsahu podle zákona o ochraně oznamovatelů.
• Nekalé jednání – protiprávní jednání, které má znaky trestného činu, nebo přestupku; jednání, které porušuje zákon o ochraně oznamovatelů; příp. jednání, které porušuje jiný právní předpis nebo právní předpisy Evropské unie v oblastech vymezených zákonem o ochraně oznamovatelů.

Legislativa

• Povinnost whistleblowingu zavádí na evropské úrovni směrnice EU 2019/1937, v českém právním řádu pak zákon č. 171/2023 Sb., o ochraně oznamovatelů.
• Směrnice Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.
• Povinností všech členských států EU bylo Směrnici EU 2019 transponovat do národní legislativy.
• Zákon č. 171/2023 Sb., o ochraně oznamovatelů zavádí novou právní úpravu pravidel o ochraně oznamovatelů v České republice v souladu s evropskou legislativou. Zákon o ochraně oznamovatelů je účinný od 1. srpna 2023.

Povinné subjekty

• Zákon č. 171/2023 Sb., o ochraně oznamovatelů se vztahuje na všechny veřejné instituce (s výjimkou malých obcí s počtem obyvatel pod 10 tisíc a příspěvkových organizací s počtem zaměstnanců pod 50 vč. uzavřených DPP / DPČ), a společnosti zaměstnávající alespoň jednou za rok 50 a více zaměstnanců (a to např. i v období turistické sezóny) a stanoví pro ně následující základní povinnosti:
  • zavedení vnitřního oznamovacího systému pro příjem a správu oznámení,
  • jmenování příslušné osoby (Prošetřovatele / řešitele oznámení),
  • vyhodnocování a prošetřování přijatých oznámení od oznamovatelů (whistleblowerů),
  • informování oznamovatele o přijetí oznámení a o výsledcích šetření ve stanovených lhůtách,
  • archivace oznámení,
  • ochrana identity oznamovatelů před odvetnými opatřeními.
• Většina veřejnoprávních subjektů zavedla systém whistleblowingu již na základě přímého účinku směrnice EU 2019/1937. Ostatní organizace a společnosti mají povinnost systém zavést v souladu se zákonem o ochraně oznamovatelů.
• V prosinci 2021 Ministerstvo spravedlnosti jako gestor oblasti whisleblowingu spustilo externí oznamovací systém (EOS), prostřednictvím kterého mohou podávat oznámení všichni oznamovatelé.

Ochrana osobních údajů

• Důležitým aspektem při zajištění povinností whistleblowingu (ochrany oznamovatelů) plynoucích ze zákona č. 171/2023 Sb., o ochraně oznamovatelů je ochrana osobních údajů osob, které upozorní na protiprávní jednání, ale i osob, jichž se oznámení týká nebo jsou uváděni jako svědci. Je tedy nezbytné zabránit zneužití nebo úniku jejich osobních údajů a odhalení identity dotčených osob.
• V souvislosti s novými pravidly ochrany oznamovatelů je tedy nezbytné dodržovat základní zásady zpracování osobních údajů, tj. zejména:
  • osobní údaje oznamovatele lze shromažďovat pouze za legitimním účelem (zejména k prošetření oznámení) a zároveň pouze v nezbytném rozsahu;
  • osobní údaje oznamovatele nesmí být zavádějící, totožnost oznamovatele by měla být v případě pochybností ověřitelná;
  • od oznamovatele nelze vyžadovat žádné osobní údaje nad rámec naprosto nezbytných údajů pro účely oznámení;
  • oznamovatel má právo na přístup ke svým osobním údajům a může případně žádat jejich opravu vč. úprav obsahu oznámení;
  • osobní údaje oznamovatele musí být uloženy pouze po nezbytně nutnou dobu k prošetření oznámení, příp. dále po dobu nutnou pro související následné kroky, pokud se oznámení ukáže jako opodstatněné;
  • poskytnutí informací o totožnosti oznamovatele třetím osobám musí být vždy podloženo písemným souhlasem;
  • správce osobních údajů, který je příjemcem oznámení, musí oznamovatele transparentně informovat o skutečnostech týkajících se zpracování jeho osobních údajů;
  • povinností správce osobních údajů je přijmout opatření zajišťující anonymitu oznamovatele vůči všem dalším osobám (právo na ochranu identity převyšuje právo třetích osob na přístup ke svým osobním údajům);
  • pokud se v předloženém oznámení objeví osobní údaje třetí strany, musí být respektována účelnost a přesnost zpracovávaných osobních údajů za současného ohledu na ostatní zmíněné zásady;
  • osobní údaje musí být uloženy bezpečně, přístup k nim mají pouze oprávněné osoby.

Vnitřní oznamovací systém

• Zákon č. 171/2023 Sb., o ochraně oznamovatelů ukládá povinnost zavést účinný vnitřní oznamovací systém. S tím samozřejmě souvisí i zajištění ochrany osobních údajů při přijímání, posuzování a evidenci oznámení, především pro zachování důvěrnosti identifikace oznamovatele.
• Při provozování vnitřního oznamovacího systému, který umožňuje zpracovávat data na jednom místě a v případě potřeby je snadno anonymizovat či smazat, je důležité dbát nejen na ochranu soukromí oznamovatelů, ale také na bezpečnost dat organizace / společnosti. Vnitřní oznamovací systém musí zajistit, aby informace poskytnuté oznamovatelem byly chráněny a zpracovávány v souladu s aktuálně platnou legislativou. Využití specializované SW platformy není nutnou podmínkou, může však (především u větších organizací) přinést významné výhody.
• Oznamovatel při podávání oznámení sděluje minimálně jméno, příjmení, datum narození a/nebo jiný údaj, z něhož je možné dovodit identitu oznamovatele. S ohledem na zásadu minimalizace údajů nesmí být oznamovatel nucen sdělovat osobní údaje, které nejsou nezbytné pro dosažení účelu zpracování, tedy k ověření důvodnosti podaného oznámení. Stejně tak sdělené osobní údaje není možné využívat za jiným účelem, než je podání oznámení a jeho následné posouzení a další zpracování. Lhůta pro zpracování a uložení osobních údajů je stanovena na 5 let ode dne jeho přijetí.
• Všechna opatření na ochranu oznamovatelů je samozřejmě nutné uplatnit i na ochranu osobních údajů dalších osob, které oznamovatel uvedl v oznámení (např. údajný pachatel, poškozená osoba či svědek).
• Práva subjektů údajů (oznamovatelů a dotčených osob) však jsou omezena, a to v takových případech, kdy by jejich naplnění mohlo znamenat narušení vyšetřování oznámeného protiprávního jednání a potažmo odhalení totožnosti oznamovatele.
• Při využití SW řešení pro podporu vnitřního oznamovacího systému je nutné také ošetřit případnou roli zpracovatele osobních údajů uzavřením zpracovatelské smlouvy a ošetřit uložení dat v rámci EU (případně ošetřit jejich uložení mimo EU), šifrování dat při přenosu a pseudonymizace.

Záznam o činnostech zpracování

• Zpracování osobních údajů v rámci whisleblowingu musí být evidováno formou Záznamu o činnostech zpracování dle článku 30 Nařízení GDPR.
• Zpracování osobních údajů musí samozřejmě naplňovat všechny parametry zákonnosti zpracování, především minimalizace údajů, omezení účelem, omezení uložení a zpřístupnění osobních údajů, zabezpečení osobních údajů, transparentnost zpracování a právní důvod zpracování.

Přestupky a pokuty

• Nedodržování pravidel ochrany oznamovatelů může vést, kromě neplatnosti některých jednání, též k uložení pokuty. Postihován by měl být ten, kdo brání oznámení, přijme odvetné opatření nebo poruší povinnost zachovávat důvěrnost získaných informací. Na druhé straně může být pokutován i ten, kdo vědomě oznámí či zveřejní nepravdivé informace.
• Pokud instituce nezavede procesy pro ochranu oznamovatelů, nebo podnikne odvetné opatření proti oznamovateli, je vystavena pokutě až do výše 1 mil. Kč nebo 5 % z čistého obratu za poslední účetní období.
• Poskytnutí informací o totožnosti oznamovatele bez jeho souhlasu je přestupkem, za který hrozí příslušné osobě pokuta ve výši až 100 tis. Kč. Přestupkem je také podání vědomě nepravdivého oznámení, za které lze uložit pokutu ve výši až 50 tis. Kč.