Jak postupuje Poslaneckou sněmovnou PČR návrh zákona o ochraně oznamovatelů (právní úprava známá jako „whistleblowing“), začínáme se již soustředit na blížící se implementaci whistleblowingu – přitom bychom neměli ale zapomínat ani na povinnosti vyplývající z GDPR.
Skutečnost, že nelze nyní nechat stranou GDPR, se pak v nedávné době připomněla italské nemocnici v Perugii, ve které italský dozorový orgán pro oblast ochrany osobních údajů kontroloval nastavení procesů spočívajících ve zpracovávání osobních údajů oznamovatelů prostřednictvím softwaru pro správu oznámení užívaného touto nemocnicí.[1]
V rámci shora uvedené kontroly bylo zjištěno větší množství pochybení svědčících o tom, že dotčená nemocnice při implementaci interního oznamovacího systému vůbec nevzala v potaz problematiku ochrany osobních údajů. Například bylo zjištěno, že nemocnice neinformovala subjekty údajů (oznamovatele) o skutečnosti, že při využití tohoto softwaru dochází ke zpracování osobních údajů, a dokonce ani neprovedla posouzení vlivu na ochranu osobních údajů (tzv. DPIA).
Za pozornost však stojí především zjištění, že příslušný software užívaný nemocnicí ukládal informace o přístupu uživatelů v rámci protokolů brány Firewall. Tím tedy bylo umožněno, aby byli sledováni uživatelé tohoto softwaru, což mohlo vést k vyzrazení totožnosti oznamovatelů.
Ačkoli se výše popsaný případ týkal italské nemocnice, je podle našeho názoru použitelný i u nás, neboť obdobně jako v Itálii i v ČR by lokální právní úprava měla vycházet ze stejné právní úpravy, tj. ze směrnice EU o ochraně osob oznamujících porušení práva Unie[2].
A jaká doporučení tedy vyplývají z případu vytýkaného porušení GDPR při implementaci whistleblowingu?
Určitě bychom neměli zapomínat na skutečnost, že při přijímání a dalším zpracování oznámení (o porušení práva EU) bude docházet ke zpracování osobních údajů – proto bychom si měli předem zanalyzovat, ve kterých fázích procesu oznamování bude docházet ke zpracování osobních údajů ve smyslu čl. 4 odst. 2 GDPR[3].
V důsledku toho tak bude nutné aktualizovat informace o zpracování osobních údajů, do nichž bude nutné zakomponovat možné zpřístupňování osobních údajů tzv. příslušným osobám, tedy osobám, které budou mít na starost zpracování a prošetřování podaných oznámení.
Samozřejmě pak nelze opomenout ani plnění povinností na úseku ochrany osobních údajů vůči samotné příslušné osobě, jejíž osobní údaje zřejmě s ohledem na současnou podobu návrhu zákona o ochraně oznamovatelů bude nutné zpracovávat, a kterou má být podle současné podoby návrhu zákona o ochraně oznamovatelů pouze konkrétní fyzická osoba.[4]
A konečně, jak vyplývá z výše popsaného případu italské nemocnice, bychom měli věnovat pozornost nastavení ochrany osobních údajů ve vztahu k technickému (softwarovému) řešení přijímání oznamování od oznamovatelů.
Závěr
Jak je tedy i z italské praxe zřejmé, je nutné při implementaci whistleblowingu zohledňovat i již dříve implementovanou úpravu GDPR, kterou bude nejen třeba aktualizovat (z hlediska nastavení samotných procesů a informační povinnosti vůči subjektům údajů), ale kterou bude třeba brát také do úvahy při nastavení jednotlivých forem přijímání oznámení a jejich dalšího zpracování.
Přestože zmíněné rozhodnutí italského úřadu nemá právní závaznost pro tuzemské správce a zpracovatele, určitě jej můžeme dle našeho pohledu vnímat jako připomínku, že vhodné technické řešení musí být nejen v souladu s právní úpravou whistleblowingu, ale i GDPR (resp. lokální právní úpravy).
Doporučujeme tedy již při výběru technických řešení si s dodavatelem ujasnit např. rozsah zpracovávaných osobních údajů a rovněž nastavení okruhu osob, které budou mít již v průběhu implementace celého systému a zejména při jeho provozování (a případném servisu) přístup k osobním údajům osob, které jej budou užívat – s tím, že následně bude třeba promítnout tato zjištění i do příslušné dokumentace (a dalšího plnění povinností) v oblasti ochrany osobních údajů.
* * *
Budete-li se chtít o problematice whistleblowingu dozvědět více, pak Vás s jejími stěžejními prvky rádi seznámíme na našich dubnových školeních, které pořádáme:
- 24. 2023 v Praze, na které je možné se registrovat ZDE,
- 26. 2023 v Brně, na které je možné se registrovat ZDE,
- 27. 2023 v Ostravě, na které je možné se registrovat ZDE.
Budeme se těšit na viděnou!
_____________________________________________________________________________________________________
[1] Shrnutí případu v anglickém jazyce dostupné na stránkách Evropského sboru pro ochranu osobních údajů dostupné zde: https://edpb.europa.eu/news/national-news/2022/whistle-blowing-without-privacy-italian-sa-fines-hospital-and-it-service_cs Pro italsky hovořící čtenáře jsou na konci tohoto shrnutí dostupné odkazy na úplná znění příslušných rozhodnutí.
[2] Směrnice Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie
[3] Tedy „jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení“.
[4] Takováto právní úprava samozřejmě nevylučuje, aby byla uzavřena smlouva s právnickou osobou, která bude povinným subjektům „dodávat“ fyzické osoby jakožto tzv. příslušné osoby.