Zatím přitom není jasné, zda a jakým způsobem budou tyto otázky zohledněny v českém zákoně o ochraně oznamovatelů, jehož první návrh by měl být již brzy rozeslán do meziresortního připomínkového řízení.

Whistleblowing a zpracování osobních údajů

Úvodem je třeba konstatovat, že již ze samotné funkce whistleblowingu, jakožto nástroje interní a externí komunikace pro oznamování protiprávního jednání a současně i ochrany oznamovatele proti odvetným opatřením, vyplývá, že je tento specifický nástroj v soukromé i veřejné sféře bezprostředně spojen se zpracováním celé řady osobních údajů u poměrně velkého okruhu fyzických osob. V této souvislosti tak i nová unijní Směrnice o whistleblowingu počítá se zpracováním nejen osobních údajů oznamujících osob (oznamovatelů), ale i osobních údajů tzv. dotčených osob, které jsou v oznámení uvedeny jako osoby, jimž se porušení právních předpisů přičítá nebo s ním jsou spojovány, jakož i prostředníků a dalších, s oznámením spojovaných fyzických osob (svědků oznamovaného protiprávního jednání apod.).[1]     

Z těchto důvodů tak bude v soukromé sféře pro obchodní společnosti s 50 a více zaměstnanci povinné zavádění interních kanálů pro oznamování a přijetí souvisejících opatření a postupů poměrně velmi náročné i z hlediska splnění příslušných požadavků na zpracování a ochranu osobních údajů. Půjde přitom „v první linii“ o plnění požadavku na zabezpečení osobních údajů ve vazbě na přísnou povinnost utajení totožnosti oznamujících osob, na které pak budou systémově navazovat další požadavky dle obecného nařízení o ochraně osobních údajů a souvisejících právních předpisů.  

K právní úpravě ochrany osobních údajů ve Směrnici  

Pokud jde o právní úpravu zpracování a ochrany osobních údajů ve vazbě na interní a externí kanály pro oznamování a ochranu oznamovatelů ve Směrnici, tak tato je velmi stručná a v zásadě jen odkazuje na nutnost souladu zpracování s požadavky dotčené právní úpravy ochrany osobních údajů.

V tomto směru jsme tak v zásadě omezeni pouze na dotčená ustanovení recitálu (83) a dále pak článku 17 Směrnice, která obecně požadují, aby veškeré zpracování osobních údajů podle této Směrnice, včetně výměny či předávání osobních příslušnými orgány, bylo prováděno v souladu s obecným nařízením o ochraně osobních údajů[2] a tzv. trestně právní směrnicí.[3] Ve vztahu k výměně nebo předávání informací orgány, institucemi a jiným subjekty Unie pak Směrnice požaduje soulad se zvláštní právní úpravou obsaženou v nařízení Evropského parlamentu a Rady 2018/1725.[4]       

Směrnice tedy neobsahuje ve vztahu ke zpracování osobních údajů žádnou zvláštní anebo doplňující právní úpravu a odkazuje tak výhradně na obecné právní předpisy spojené s ochranou osobních údajů. Pro povinné osoby zejména z podnikatelské sféry však lze považovat za do značné míry indikativní tu skutečnost, že recitál (83) preambule Směrnice v tomto směru výslovně požaduje, aby zvláštní pozornost byla v daných souvislostech věnována zásadám zpracování osobních údajů, jak jsou stanoveny v článku 5 obecného nařízení o ochraně osobních údajů, jakož i zásadě záměrné a standardní ochrany osobních údajů stanovené v článku 25 nařízení.

Zde je přitom třeba poukázat na úzkou provázanost povinností ve vztahu k zachování důvěrnosti a utajení totožnosti oznamujících osob a záznamů s tím spojených podle článků 16 a 18 Směrnice se zásadou integrity a důvěrnosti, upravenou v článku 5 odst. 1 písm. f) a dále pak blíže specifikovanou v článku 32 obecného nařízení o ochraně osobních údajů. 

Tento silný akcent bude muset být náležitě zohledněn v rámci každé implementace interních kanálů pro oznamování a souvisejících opatření na interní podmínky dané povinné osoby. Platí přitom, že právní úprava ochrany osobních údajů se bude v tomto směru uplatňovat vždy a do značné míry bez ohledu na to, zda oznámení bude důvodné či nikoliv a zda budou ve vztahu k oznamující osobě splněny všechny podmínky pro vznik nároku na ochranu dle Směrnice, resp. vnitrostátního zákona o ochraně oznamovatelů jako transpozičního právního předpisu.

Právní základ zpracování osobních údajů u whistleblowingu

Výchozí otázkou pro zpracování osobních údajů v rámci interních kanálů pro oznamování, jakož i jejich prošetřování a ochranu oznamovatelů (whistleblowing) je právní základ, resp. právní důvod (titul) zpracování ve smyslu ustanovení článku 6 obecného nařízení o ochraně osobních údajů.

V tomto směru dosud bylo jako právní titul zpracování využíváno v interních systémech whistleblowingu u naprosté většiny „nefinančních“ obchodních společností takřka výlučně ustanovení článku 6 odst. 1 písm. f) obecného nařízení, tj. právní důvod založený na oprávněném zájmu správce. K tomu je třeba uvést, že použití tohoto právního důvodu je zpravidla spojeno s předchozím provedením tzv. balančního testu (testu proporcionality), tj. předběžného posouzení, zda práva a zájmy subjektů údajů nepřevažují nad oprávněným zájmem správce na zamýšlené zpracování osobních údajů. Ne vždy a ve všech případech prosazování whistleblowingu přitom oprávněné zájmy správce skutečně převažují nad právy a zájmy subjektů osobních údajů, takže v tomto směru i v minulosti vznikaly určité aplikační a výkladové pochybnosti.

S ohledem na to lze konstatovat, že Směrnice EU o whistleblowingu a ji provádějící vnitrostátní právní předpisy členských států nesporně přinesou v tomto směru významnou změnu, když se zpracování osobních údajů v rámci interních kanálů pro oznamování stane pro vybrané subjekty právní povinností a právním titulem zpracování tak nadále bude plnění právních povinností správce podle článku 6 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů.     

Zde je však třeba upozornit na skutečnost, že tomu tak bude pouze v případě, kdy se oznámení bude týkat některé z oblastí věcné působnosti dle článku 2 Směrnice, kterými jsou:

• porušení práva Unie v taxativně stanovených oblastech: zadávání veřejných zakázek, finančních služeb, produktů a trhů, předcházení praní špinavých peněz a financování terorismu, bezpečnost výrobků a jejich souladu s předpisy, bezpečnost dopravy, ochrana životního prostředí, radiační ochrana a jaderná bezpečnost, bezpečnost potravin a krmiv, veřejné zdraví, ochrana spotřebitele, ochrany soukromí a osobních údajů, bezpečnosti sítí a informačních sítí;

• porušení ohrožující finanční zájmy Unie podle článku 325 Smlouvy o fungování Evropské unie (SFEU) a blíže upřesněná v příslušných opatřeních Unie;

• porušení týkající se vnitřního trhu podle článku 26 odst. 2 SFEU, včetně porušení pravidel hospodářské soutěže a státní podpory, jakož i porušení týkající se vnitřního trhu v souvislosti s jednáními, která porušují pravidla týkající se daně z příjmů právnických osob, nebo s mechanismy, jejichž účelem je získání daňové výhody, která maří předmět nebo účel příslušného práva v oblasti daně z příjmů právnických osob.

V případech, kdy bude interní whistleblowing nastaven šířeji a bude se vztahovat i na jiné oblasti protiprávního jednání (např. na obecnou majetkovou trestnou činnost), tak v této dílčí části již bude nutné obhájit jako právní důvod zpracování osobních údajů nikoliv plnění právních povinností, ale opět „jen“ titul oprávněné zájmy správce. Je třeba si navíc uvědomit, že již dnes i celá řada obchodních společností v České republice interní kanály pro oznamování zavedla a provozuje s tím, že předmětem oznámení nemusí být pouze vyloženě protiprávní jednání, ale že oznámení může směřovat i na porušení vnitřních pravidel společnosti, stanovených např. v etickém kodexu anebo compliance programu.       

„GDPR standardy“ pro whistleblowing

Ještě před přijetím Směrnice o whistleblowingu byl v listopadu 2018 vydán německou stálou konferencí úřadů pro ochranu osobních údajů DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) poziční dokument ohledně ochrany osobních údajů v rámci whistleblowingu.[5] 

Prvním vnitrostátním dozorovým úřadem pro ochranu osobních údajů, který se v rámci Evropské unie začal detailně zabývat právními souvislostmi transpozice Směrnice o whistleblowingu, se stal francouzský úřad pro ochranu osobních údajů CNIL (Commission Nationale de l'Informatique et des Libertés), jež 10. prosince 2019 zveřejnil konečnou verzi svého doporučujícího standardu (Referential) pro ochranu osobních údajů v souvislosti s interními kanály pro oznamování.[6] 

Význam tohoto doporučení spočívá především v tom, že se ve své podstatě jedná o první oficiální a ucelený pohled dozorového úřadu v unijním kontextu na to, jaké konkrétní požadavky budou z hlediska ochrany osobních údajů kladeny na interní systémy whistleblowingu zavedené a provozované na základě nové Směrnice a transpozičních právních předpisů, které musí být přijaty nejpozději do prosince roku 2021.

Pokud pomineme skutečnost, že francouzské povinné subjekty musely zavést interní kanály pro oznamování již dříve na základě zákona označovaného jako „SAPIN II“, tak i pro nás významné jsou zejména následující body doporučení CNIL:

• jakmile bude oznámení prošetřeno, musí být osobní údaje týkající se oznámení vymazány anebo anonymizovány do dvou měsíců od ukončení prošetřování, pokud v dané věci nebyla přijata žádná další opatření;
• v tomto směru je ale přitom za „další opatření“ považováno nejen uložení disciplinárního opatření anebo podání trestního oznámení či jiné „žaloby“, ale i přijetí nebo změna vnitřních předpisů, reorganizace činností nebo služeb;
• oznamující osoba musí obdržet informace požadované podle článku 13 obecného nařízení o ochraně osobních údajů hned na počátku přijímání oznámení (např. zobrazením této informace ve formuláři pro příslušnou webovou stránku předtím, než oznamující osoba formulář vyplní);
• jakmile bylo oznámení podáno, musí oznamující osoba obdržet potvrzení o přijetí, aby mohla využít zvláštní režim ochrany, a to s tím, že toto potvrzení o přijetí musí uvádět datum a čas podání, jakož i shrnující informace o obsahu oznámení a o dokumentech, které byly k oznámení připojeny;
• doporučení CNIL obsahuje tabulku technických a organizačních bezpečnostních opatření, která jsou považována za nezbytná k ochraně údajů zpracovávaných v souvislosti se systémy oznamování;
• CNIL i přes novou právní úpravu vycházející ze Směrnice o whistleblowingu nadále v souladu se svou dosavadní praxí požaduje, aby bylo v každém jednotlivém případě zavedení interního kanálu pro oznamování provedeno posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment, DPIA).

Whistleblowing a ochrana osobních údajů v budoucí české právní úpravě

Jak již bylo konstatováno, tak Česká republika musí, stejně jako ostatní členské státy Unie, novou Směrnici o whsitleblowingu transponovat nejpozději do 17. prosince 2021. Je přitom otázkou, zda a do jaké míry se podaří legislativně provázat interní kanály pro oznamování a s nimi spojenou ochranu oznamovatelů s přísnými požadavky na ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů, zákona č. 110/2019 Sb., o zpracování osobních údajů, a dalších právních předpisů. Vzhledem k tomu, že whistleblowing přes omezenou dílčí právní úpravu stále pro většinu z nás zůstává něčím novým a neznámým, tak lze očekávat, že aplikačních a výkladových problémů shora naznačeného propojení s ochranou osobních údajů bude podstatně více než v zemích, ve kterých dozorové úřady již v této oblasti pokročily podstatně dále.

JUDr. Pavel Koukal   
advokát / Associate Partner

Rödl & Partner, advokáti, v.o.s.

Platnéřská 2 
110 00  Praha 1

Tel.: +420 236 163 111
e-mail: prag‎@‎roedl.cz