epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • COVID-19
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
Konference: Rodina v právu a bezpráví
15. 6. 2020
ID: 111251upozornění pro uživatele

Směrnice EU o whistleblowingu a ochrana osobních údajů

V souvislosti s blížícím se termínem povinnosti transponovat novou směrnici Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie, jež je často označována jako „Směrnice o whistleblowingu“, vyvstává celá řada legislativních a aplikačních nejistot a otázek. K nejvýznamnějším právním souvislostem implementace požadavků Směrnice přitom budou i v České republice bezesporu patřit ty otázky, které jsou spojeny se zpracováním a ochranou osobních údajů, a to jak oznamovatelů, tak i dalších, s oznámením spojených fyzických osob.

Zatím přitom není jasné, zda a jakým způsobem budou tyto otázky zohledněny v českém zákoně o ochraně oznamovatelů, jehož první návrh by měl být již brzy rozeslán do meziresortního připomínkového řízení.

Whistleblowing a zpracování osobních údajů

Úvodem je třeba konstatovat, že již ze samotné funkce whistleblowingu, jakožto nástroje interní a externí komunikace pro oznamování protiprávního jednání a současně i ochrany oznamovatele proti odvetným opatřením, vyplývá, že je tento specifický nástroj v soukromé i veřejné sféře bezprostředně spojen se zpracováním celé řady osobních údajů u poměrně velkého okruhu fyzických osob. V této souvislosti tak i nová unijní Směrnice o whistleblowingu počítá se zpracováním nejen osobních údajů oznamujících osob (oznamovatelů), ale i osobních údajů tzv. dotčených osob, které jsou v oznámení uvedeny jako osoby, jimž se porušení právních předpisů přičítá nebo s ním jsou spojovány, jakož i prostředníků a dalších, s oznámením spojovaných fyzických osob (svědků oznamovaného protiprávního jednání apod.).[1]     

Z těchto důvodů tak bude v soukromé sféře pro obchodní společnosti s 50 a více zaměstnanci povinné zavádění interních kanálů pro oznamování a přijetí souvisejících opatření a postupů poměrně velmi náročné i z hlediska splnění příslušných požadavků na zpracování a ochranu osobních údajů. Půjde přitom „v první linii“ o plnění požadavku na zabezpečení osobních údajů ve vazbě na přísnou povinnost utajení totožnosti oznamujících osob, na které pak budou systémově navazovat další požadavky dle obecného nařízení o ochraně osobních údajů a souvisejících právních předpisů.  

K právní úpravě ochrany osobních údajů ve Směrnici  

Pokud jde o právní úpravu zpracování a ochrany osobních údajů ve vazbě na interní a externí kanály pro oznamování a ochranu oznamovatelů ve Směrnici, tak tato je velmi stručná a v zásadě jen odkazuje na nutnost souladu zpracování s požadavky dotčené právní úpravy ochrany osobních údajů.

V tomto směru jsme tak v zásadě omezeni pouze na dotčená ustanovení recitálu (83) a dále pak článku 17 Směrnice, která obecně požadují, aby veškeré zpracování osobních údajů podle této Směrnice, včetně výměny či předávání osobních příslušnými orgány, bylo prováděno v souladu s obecným nařízením o ochraně osobních údajů[2] a tzv. trestně právní směrnicí.[3] Ve vztahu k výměně nebo předávání informací orgány, institucemi a jiným subjekty Unie pak Směrnice požaduje soulad se zvláštní právní úpravou obsaženou v nařízení Evropského parlamentu a Rady 2018/1725.[4]       

Směrnice tedy neobsahuje ve vztahu ke zpracování osobních údajů žádnou zvláštní anebo doplňující právní úpravu a odkazuje tak výhradně na obecné právní předpisy spojené s ochranou osobních údajů. Pro povinné osoby zejména z podnikatelské sféry však lze považovat za do značné míry indikativní tu skutečnost, že recitál (83) preambule Směrnice v tomto směru výslovně požaduje, aby zvláštní pozornost byla v daných souvislostech věnována zásadám zpracování osobních údajů, jak jsou stanoveny v článku 5 obecného nařízení o ochraně osobních údajů, jakož i zásadě záměrné a standardní ochrany osobních údajů stanovené v článku 25 nařízení.

Zde je přitom třeba poukázat na úzkou provázanost povinností ve vztahu k zachování důvěrnosti a utajení totožnosti oznamujících osob a záznamů s tím spojených podle článků 16 a 18 Směrnice se zásadou integrity a důvěrnosti, upravenou v článku 5 odst. 1 písm. f) a dále pak blíže specifikovanou v článku 32 obecného nařízení o ochraně osobních údajů. 

Tento silný akcent bude muset být náležitě zohledněn v rámci každé implementace interních kanálů pro oznamování a souvisejících opatření na interní podmínky dané povinné osoby. Platí přitom, že právní úprava ochrany osobních údajů se bude v tomto směru uplatňovat vždy a do značné míry bez ohledu na to, zda oznámení bude důvodné či nikoliv a zda budou ve vztahu k oznamující osobě splněny všechny podmínky pro vznik nároku na ochranu dle Směrnice, resp. vnitrostátního zákona o ochraně oznamovatelů jako transpozičního právního předpisu.

Právní základ zpracování osobních údajů u whistleblowingu

Výchozí otázkou pro zpracování osobních údajů v rámci interních kanálů pro oznamování, jakož i jejich prošetřování a ochranu oznamovatelů (whistleblowing) je právní základ, resp. právní důvod (titul) zpracování ve smyslu ustanovení článku 6 obecného nařízení o ochraně osobních údajů.

V tomto směru dosud bylo jako právní titul zpracování využíváno v interních systémech whistleblowingu u naprosté většiny „nefinančních“ obchodních společností takřka výlučně ustanovení článku 6 odst. 1 písm. f) obecného nařízení, tj. právní důvod založený na oprávněném zájmu správce. K tomu je třeba uvést, že použití tohoto právního důvodu je zpravidla spojeno s předchozím provedením tzv. balančního testu (testu proporcionality), tj. předběžného posouzení, zda práva a zájmy subjektů údajů nepřevažují nad oprávněným zájmem správce na zamýšlené zpracování osobních údajů. Ne vždy a ve všech případech prosazování whistleblowingu přitom oprávněné zájmy správce skutečně převažují nad právy a zájmy subjektů osobních údajů, takže v tomto směru i v minulosti vznikaly určité aplikační a výkladové pochybnosti.

S ohledem na to lze konstatovat, že Směrnice EU o whistleblowingu a ji provádějící vnitrostátní právní předpisy členských států nesporně přinesou v tomto směru významnou změnu, když se zpracování osobních údajů v rámci interních kanálů pro oznamování stane pro vybrané subjekty právní povinností a právním titulem zpracování tak nadále bude plnění právních povinností správce podle článku 6 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů.     

Zde je však třeba upozornit na skutečnost, že tomu tak bude pouze v případě, kdy se oznámení bude týkat některé z oblastí věcné působnosti dle článku 2 Směrnice, kterými jsou:

  • porušení práva Unie v taxativně stanovených oblastech: zadávání veřejných zakázek, finančních služeb, produktů a trhů, předcházení praní špinavých peněz a financování terorismu, bezpečnost výrobků a jejich souladu s předpisy, bezpečnost dopravy, ochrana životního prostředí, radiační ochrana a jaderná bezpečnost, bezpečnost potravin a krmiv, veřejné zdraví, ochrana spotřebitele, ochrany soukromí a osobních údajů, bezpečnosti sítí a informačních sítí;
  • porušení ohrožující finanční zájmy Unie podle článku 325 Smlouvy o fungování Evropské unie (SFEU) a blíže upřesněná v příslušných opatřeních Unie;
  • porušení týkající se vnitřního trhu podle článku 26 odst. 2 SFEU, včetně porušení pravidel hospodářské soutěže a státní podpory, jakož i porušení týkající se vnitřního trhu v souvislosti s jednáními, která porušují pravidla týkající se daně z příjmů právnických osob, nebo s mechanismy, jejichž účelem je získání daňové výhody, která maří předmět nebo účel příslušného práva v oblasti daně z příjmů právnických osob.

V případech, kdy bude interní whistleblowing nastaven šířeji a bude se vztahovat i na jiné oblasti protiprávního jednání (např. na obecnou majetkovou trestnou činnost), tak v této dílčí části již bude nutné obhájit jako právní důvod zpracování osobních údajů nikoliv plnění právních povinností, ale opět „jen“ titul oprávněné zájmy správce. Je třeba si navíc uvědomit, že již dnes i celá řada obchodních společností v České republice interní kanály pro oznamování zavedla a provozuje s tím, že předmětem oznámení nemusí být pouze vyloženě protiprávní jednání, ale že oznámení může směřovat i na porušení vnitřních pravidel společnosti, stanovených např. v etickém kodexu anebo compliance programu.       

„GDPR standardy“ pro whistleblowing

Ještě před přijetím Směrnice o whistleblowingu byl v listopadu 2018 vydán německou stálou konferencí úřadů pro ochranu osobních údajů DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) poziční dokument ohledně ochrany osobních údajů v rámci whistleblowingu.[5] 

Prvním vnitrostátním dozorovým úřadem pro ochranu osobních údajů, který se v rámci Evropské unie začal detailně zabývat právními souvislostmi transpozice Směrnice o whistleblowingu, se stal francouzský úřad pro ochranu osobních údajů CNIL (Commission Nationale de l'Informatique et des Libertés), jež 10. prosince 2019 zveřejnil konečnou verzi svého doporučujícího standardu (Referential) pro ochranu osobních údajů v souvislosti s interními kanály pro oznamování.[6] 

Význam tohoto doporučení spočívá především v tom, že se ve své podstatě jedná o první oficiální a ucelený pohled dozorového úřadu v unijním kontextu na to, jaké konkrétní požadavky budou z hlediska ochrany osobních údajů kladeny na interní systémy whistleblowingu zavedené a provozované na základě nové Směrnice a transpozičních právních předpisů, které musí být přijaty nejpozději do prosince roku 2021.

Pokud pomineme skutečnost, že francouzské povinné subjekty musely zavést interní kanály pro oznamování již dříve na základě zákona označovaného jako „SAPIN II“, tak i pro nás významné jsou zejména následující body doporučení CNIL:

  • jakmile bude oznámení prošetřeno, musí být osobní údaje týkající se oznámení vymazány anebo anonymizovány do dvou měsíců od ukončení prošetřování, pokud v dané věci nebyla přijata žádná další opatření;
  • v tomto směru je ale přitom za „další opatření“ považováno nejen uložení disciplinárního opatření anebo podání trestního oznámení či jiné „žaloby“, ale i přijetí nebo změna vnitřních předpisů, reorganizace činností nebo služeb;
  • oznamující osoba musí obdržet informace požadované podle článku 13 obecného nařízení o ochraně osobních údajů hned na počátku přijímání oznámení (např. zobrazením této informace ve formuláři pro příslušnou webovou stránku předtím, než oznamující osoba formulář vyplní);
  • jakmile bylo oznámení podáno, musí oznamující osoba obdržet potvrzení o přijetí, aby mohla využít zvláštní režim ochrany, a to s tím, že toto potvrzení o přijetí musí uvádět datum a čas podání, jakož i shrnující informace o obsahu oznámení a o dokumentech, které byly k oznámení připojeny;
  • doporučení CNIL obsahuje tabulku technických a organizačních bezpečnostních opatření, která jsou považována za nezbytná k ochraně údajů zpracovávaných v souvislosti se systémy oznamování;
  • CNIL i přes novou právní úpravu vycházející ze Směrnice o whistleblowingu nadále v souladu se svou dosavadní praxí požaduje, aby bylo v každém jednotlivém případě zavedení interního kanálu pro oznamování provedeno posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment, DPIA).

Whistleblowing a ochrana osobních údajů v budoucí české právní úpravě

Jak již bylo konstatováno, tak Česká republika musí, stejně jako ostatní členské státy Unie, novou Směrnici o whsitleblowingu transponovat nejpozději do 17. prosince 2021. Je přitom otázkou, zda a do jaké míry se podaří legislativně provázat interní kanály pro oznamování a s nimi spojenou ochranu oznamovatelů s přísnými požadavky na ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů, zákona č. 110/2019 Sb., o zpracování osobních údajů, a dalších právních předpisů. Vzhledem k tomu, že whistleblowing přes omezenou dílčí právní úpravu stále pro většinu z nás zůstává něčím novým a neznámým, tak lze očekávat, že aplikačních a výkladových problémů shora naznačeného propojení s ochranou osobních údajů bude podstatně více než v zemích, ve kterých dozorové úřady již v této oblasti pokročily podstatně dále.


JUDr. Pavel Koukal 
 
advokát / Associate Partner

 

Rödl & Partner_logo


Rödl & Partner, advokáti, v.o.s.

Platnéřská 2 
110 00  Praha 1

Tel.: +420 236 163 111
e-mail: prag‎@‎roedl.cz

 

[1] Blíže viz Definice v článku 5 Směrnice. 

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

[3] Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.

[4] Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES.

[5] „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenaschutz“, DSK, 14.11.2018. K dispozici >>> zde.

[6] K dispozici >>> zde.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


JUDr. Pavel Koukal (Rödl & Partner)
15. 6. 2020
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Dětské dluhy a chystaná novelizace OZ a OSŘ
  • Stravenkový paušál (peněžitý příspěvek na stravování) – právní a daňové aspekty
  • Mateřská dovolená: Ukládá zákoník práce pouze povinnost zaměstnavateli zaměstnankyni mateřskou dovolenou poskytnout, nebo také matce povinnost na mateřskou dovolenou nastoupit?
  • Náhrada škody dle krizového zákona a výklad v neprospěch poškozených provedený Ministerstvem vnitra
  • „Nešvary“ rekognice
  • Rozvod bez účasti manželů nikoliv pouze v době pandemie
  • Úhrada vyšetření na přítomnost antigenu viru SARS –CoV-2 v oblasti poskytování sociální péče
  • Zákon o whistleblowingu na dosah?
  • Lhůta k uplatnění práv z vadného plnění se při výměně spotřebního zboží nebo jeho součásti neobnovuje, ale pokračuje lhůta původní
  • Vybrané kapitoly ze zimních radostí a starostí: namrzlé chodníky a odpovědnost
  • Odzvonilo kvazikasinům?

Související produkty

Online kurzy

  • SVĚŘENSKÉ FONDY (zajímavý nástroj ochrany majetku s velkým ALE)
  • Problematika bytového spoluvlastnictví
  • Společenství vlastníků jednotek
  • Zajištění dluhu v Občanském zákoníku se zvláštním přihlédnutím k zástavnímu právu a zajišťovacímu převodu práva III.
  • Zajištění dluhu v Občanském zákoníku se zvláštním přihlédnutím k zástavnímu právu a zajišťovacímu převodu práva II.
Lektoři kurzů
Mgr. Stanislav Servus,  LL.M.
Mgr. Stanislav Servus, LL.M.
Kurzy lektora
JUDr. et Mgr.  Pavla  Voříšková, Ph.D.
JUDr. et Mgr. Pavla Voříšková, Ph.D.
Kurzy lektora
doc. JUDr. Filip Melzer, LL.M., Ph.D.
doc. JUDr. Filip Melzer, LL.M., Ph.D.
Kurzy lektora
Mgr. František Korbel, Ph.D.
Mgr. František Korbel, Ph.D.
Kurzy lektora
JUDr. Milan Hulmák, Ph.D.
JUDr. Milan Hulmák, Ph.D.
Kurzy lektora
JUDr. Kristýna Faltýnková
JUDr. Kristýna Faltýnková
Kurzy lektora
JUDr. Katarina Maisnerová ml.
JUDr. Katarina Maisnerová ml.
Kurzy lektora
JUDr. Petr Bezouška, Ph.D.
JUDr. Petr Bezouška, Ph.D.
Kurzy lektora
doc. JUDr. Petr Tégl, Ph.D.
doc. JUDr. Petr Tégl, Ph.D.
Kurzy lektora
JUDr. Daniela Kovářová
JUDr. Daniela Kovářová
Kurzy lektora
všichni lektoři

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • Právní ochrana elektronické pošty zaměstnanců
  • Stravenkový paušál (peněžitý příspěvek na stravování) – právní a daňové aspekty
  • Roušky na pracovišti. Jaká jsou rizika?
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Dětské dluhy a chystaná novelizace OZ a OSŘ
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Co je to WHITE-WASH REPORT aneb zpráva o poskytnutí finanční asistence
  • Mateřská dovolená: Ukládá zákoník práce pouze povinnost zaměstnavateli zaměstnankyni mateřskou dovolenou poskytnout, nebo také matce povinnost na mateřskou dovolenou nastoupit?
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Roušky na pracovišti. Jaká jsou rizika?
  • Využití elektronického podpisu pro pracovněprávní dokumentaci
  • Povinnost nošení roušky v kontextu ústavních práv
  • Telička do Vídně, možnost uzavření kapitoly životní prostředí
  • Lhůta k uplatnění práv z vadného plnění se při výměně spotřebního zboží nebo jeho součásti neobnovuje, ale pokračuje lhůta původní
  • Regulace open-source P2P platební sítě Bitcoin
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Regulace open-source P2P platební sítě Bitcoin
  • Náklady řízení
  • Desatero pro výtěžnější oddlužení
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Krácení dovolené nově od 1. 1. 2021
  • Senátní výbory se neshodly, v jaké úpravě vrátit mediální zákon

Pracovní pozice

Soudní rozhodnutí

Předběžné opatření v řízení ve věcech péče soudu o nezletilé

Rozhodne-li soud „obecným“ předběžným opatřením podle § 76 a násl. občanského soudního řádu i za situace, kdy jsou naplněny podmínky pro vydání předběžného opatření podle...

Rozhodnutí o upuštění od výkonu trestu odnětí svobody nebo jeho zbytku za současného vyhoštění podle § 327 odst. 1 písm. b) trestního řádu

Zákonem stanovená možnost neodůvodnit soudní rozhodnutí o upuštění od výkonu trestu odnětí svobody nebo jeho zbytku za současného vyhoštění podle § 327 odst. 1 písm. b) trestního...

Změna volebního systému

1. Při hodnocení ústavnosti volebních zákonů je třeba vycházet nejen z ústavní úpravy voleb a volebního práva, nýbrž i z role, jaká je volbám a volebnímu právu přiřazena v rámci...

Pracovněprávní vztahy

Ustanovení § 19 odst. 3 zák. práce, které stanoví, že neplatnost právního jednání nemůže být zaměstnanci na újmu, nezpůsobil-li neplatnost výlučně sám, je třeba analogicky...

Insolvenční řízení (exkluzivně pro předplatitele)

Věřitel může svoji pohledávku za (bývalým) členem statutárního orgánu obchodní korporace z titulu ručení podle § 68 z. o. k. přihlásit do insolvenčního řízení vedeného na...

Vyhledávání ASPI

ASPI

Hledání v rejstřících

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
AIVD APEK 100 nej
© EPRAVO.CZ, a.s. 1999-2021, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů