Whistleblowing Officer: nová příležitost pro GDPR Pověřence?
- Datum: 19.05.2021
- Autor: František Nonnemann
Povinnost zavést whistleblowing se blíží. V předchozím článku jsme řešili kdo to vlastně je a co dělá Whistleblower, takže jen ve zkratce: jednoduše to je ten, kdo upozorní na nezákonné, neetické, či korupční praktiky uvnitř organizace. Z EU směrnice vychází i zákon na ochranu whistleblowerů, který chrání zaměstnance, jenž upozornil na podezřelé jednání, nebo trestný čin.
Kdo, jak a proč musí řešit Whitsleblowing
Povinnost většiny soukromých i veřejných subjektů zavést whistleblowing proces se blíží. Návrh českého zákona o ochraně oznamovatelů, který do našeho práva převádí příslušnou směrnici EU č. 2019/1937, postoupil v polovině května do druhého čtení v Poslanecké sněmovně.
Soukromé organizace s více než 25 zaměstnanci a všichni zadavatelé veřejných zakázek s výjimkou malých obcí budou od přelomu roku 2021 a 2022 povinni zavést whistleblowing proces.
Pokud tak neudělají nebo některou ze součástí whistleblowing procesu neimplementují, bude jim hrozit pokuta až do výše 1 milionu korun nebo 5 % z čistého obratu za poslední účetní období.
Oblasti, ve kterých musíte přijímat whistleblowing oznámení
Všechny povinné subjekty budou muset na prvém místě zřídit tzv. interní oznamovací kanál, který jejich zaměstnanců, externím spolupracovníkům či pracovníkům jejich dodavatelů umožní podávat důvěrná oznámení o možném porušené práva zejména v následujících oblastech:
- Ochrana životního prostředí
- Ochrana osobních údajů (GDPR)
- Bezpečnost dopravy a přepravy osob a zboží
- Plnění daňových povinností právnických osob
- Ochrana vnitřního pořádku a bezpečnosti, života a zdraví
- Ochrana soukromí v elektronických komunikacích (ePrivacy)
- Ochrana spotřebitele včetně specifických požadavků na různé skupiny výrobků
- Ochrana hospodářské soutěže, zadávání veřejných zakázek a veřejných dražeb
- Poskytování finančních služeb včetně plnění povinností při předcházení legalizace výnosů z trestné činnosti či financování terorismu (AML)
Whistleblowing Officer vs Data Protection Officer
Nezbytnou součástí interního whistleblowing procesu bude jmenování Whistleblowing Officera, tedy prošetřovatele oznámení učiněných ve všech výše uvedených oblastech.
Whistleblowing Officer, dikcí zákona příslušná osoba, bude mít silné postavení, oznámení bude prověřovat samostatně a bez pokynů vedení organizace, bude odpovědný za komunikaci s oznamovateli i za evidenci všech prošetřovaných případů.
Postavení a role Whistleblowing Officera tak budou do velké míry podobné, jako je tomu o pověřence pro ochranu osobních údajů, Data Protection Officera.
V jejich postavení i agendě však najdeme i rozdíly, Whistleblowing Officer bude například za výkon svých kompetencí osobně odpovědný. V případě, kdy oznámení řádně nevyšetří nebo neoprávněně prozradí identitu oznamovatele, bude přímo on moci dostat pokutu až do výše 100.000,- Kč.
Společné body i rozdíly mezi právní úpravou těchto rolí
...
Whistleblowing Officer
Data Protection Officer
Kdo jmenuje v soukromém sektoru
Soukromá společnost nad 25 zaměstnanců
Organizace provádějící pravidelné a systematické monitorování osob Organizace provádějící rozsáhlé zpracování citlivých údajů
Kdo jmenuje ve veřejném sektoru
Každý zadavatel veřejných zakázek (kromě malých obcí
Každý veřejnoprávní subjekt včetně krajů a obcí
Požadavky na kandidáta – Hard Skills
Bezúhonnost, zletilost, svéprávnost
Odborné znalosti práva a praxe zpracování osobních údajů
Požadavky na kandidáta – Soft Skills
Osobní integrita, znalost procesů, znalost řízení rizik či compliance management systému
Osobní integrita, znalost procesů, znalost řízení rizik či compliance management systému |
Může být role vykonávána externě?
Ano
Ano
Mlčenlivost
Je povinen zachovávat mlčenlivost o oznámeních i oznamovatelích
Je povinen zachovávat mlčenlivost o všech skutečnost zjištěných při výkonu funkce
Nezávislost
Nesmí přijímat ani vyžadovat pokyny týkající se prošetřování jednotlivých oznámení
Nesmí přijímat ani vyžadovat pokyny týkající se výkonu své funkce
Komu reportuje
Vedení organizace
Vedení organizace
Hlavní povinnosti
Přijímat oznámení, vyšetřovat oznámení, navrhovat nápravná opatření, evidovat oznámení a výsledky prošetřování
Kontrolovat soulad organizace s požadavky GDPR, navrhovat nápravná opatření v případě nesouladu, poradenství businessu, komunikace s ÚOOÚ
Osobní odpovědnost
Sankce až do 100.000,- Kč za špatný výkon funkce
Sankce není, možné jen vymáhání škody ze strany správce nebo zpracovatele
Přístup k informacím v organizaci
Musí mít plný přístup k informacím a dokumentům nezbytným k prošetření oznámení
Musí mít plný přístup k informacím a dokumentům nezbytným ke kontrole dodržování GDPR
Odpovědnost za komunikaci s dotčenými osobami?
Ano
Ano
Povinnost zveřejnit kontakty na webu organizace?
Ano
Ano
Synergie Whistlebowing a GDPR
Požadavky na osobu Whistlebowing Officera a Data Protection Officera jsou do velké míry podobné.
Řadu stejných nebo podobných rysů najdeme i v jejich zařazení do struktury organizace, činností, které mají vykonávat, či požadavků na nezávislost. Oba dva rovněž využijí zkušenosti s řízením rizik, compliance management systémem či zaváděním ISO norem.
Jako efektivní řešení, jak si usnadnit implementaci některých částí whistleblowing procesu, se tak nabízí využití v organizaci již existujících procesů, např. pro zajištění souladu s GDPR.
Stejně tak je možné tuto agendu svěřit již osvědčenému Data Protection Officerovi, který organizaci a interní procesy zná, má důvěru vedení i zaměstnanců a dokáže novou agendu prošetřování oznámení o možném porušení předpisů vhodně skloubit se svojí činností pověřence pro ochranu osobních údajů.
Z pohledu povinné organizace by se jednalo o řešení jednoznačně efektivnější. Řešení by nevyžadovalo náklady na vyhledání nového zaměstnance a pověřenec by svoji novou roli Whistleblowing Officera mohl začít vykonávat prakticky ihned po nezbytném zaškolení.
Rizika? Ano, má to i svá rizika
Spojení pozice Data Protection Officera a Whistleblowing Officera s sebou však nese i otázky, na které si každá organizace musí před rozhodnutím o tomto řešení odpovědět.
Mezi ty základní patří:
Odpovídá současný systém pro zajištění souladu s GDPR požadavků na whistleblowing proces? Bude potřeba jej posílit?
Jsou na webu povinné organizace dostupné dostatečné informace a kontaktní údaje, nebo je potřeba informace doplnit?
Má Data Protection Officer zajištěn přístup ke všem informacím a dokumentům nezbytným k prošetření whistleblowing oznámení?
Bude mít současný Data Protection Officer k výkonu nové funkce Whistleblowing Officera dostatečné kapacity, zejména časové, nebo bude potřeba jej posílit?
Splňuje současná Data Protection Officer požadavky na bezúhonnost? Má dostatečné soft skills k tomu, aby whistleblowing oznámení důsledně a nestraně prošetřil?
Více o tom, kdo bude povinen zavést whistleblowing proces, pro které oblasti, jaké jsou nezbytné součásti procesu a jaká bude role Whistleblowing Officera, se dozvíte v kurzu…
Má již organizace whistleblowing proces popsán ve svých interních předpisech, zahrnuje do něj Data Protection Officera? Pokud ne, je nutné interní předpisy dopracovat a seznámit s nimi všechny zaměstnance.
