On-line schránku důvěry si lze představit jako webovou a mobilní aplikaci, do které  oznamovatel sepíše svoje oznámení včetně příloh a podobně jako například e-mail jej odešle. Oznámení přijde řešiteli, který se obratem může doptávat na další detaily, nebo pouze odpoví, že se podnětem začíná zabývat. Stejně pak v rámci zákonné lhůty oznámí výsledek.  Lze podat oznámení anonymně? Oznamovatel a řešitel mohou u oznámení vzájemně komunikovat a vyměňovat si další  zprávy. Oznámení je navíc možné zpřístupnit více řešitelům současně, například externím  advokátům nebo psychologům. Oznamovatel má i přesto stále zachovanou anonymitu, pokud z ní sám dobrovolně nevystoupí. Jak je ošetřena bezpečnost?Přístup k firemní on-line schránce důvěry (ale vždy jen k vlastním oznámením) mohou mít  i zákazníci, uchazeči o práci nebo dodavatelé, čímž tento kanál naplňuje veškeré požadavky  blížícího se zákona o ochraně oznamovatelů.  Vyřešená oznámení se pak automaticky přesouvají do archivu, kde je lze kdykoliv dohledat. V jednotlivých tiketech je přehled a minimalizuje se riziko, že by některý zapadl nebo že by  jej řešitel nedopatřením vymazal. Oproti například e-mailové schránce je on-line schránka důvěry také bezpečnější. Aplikace neukládá cookies, a pokud má správně vyřešenou bezpečnost, nelze vystopovat ani IP adresu  oznamovatele. Samotná oznámení jsou šifrována, administrátoři se k nim dostanou jen  po přihlášení do systému a oznamovatelé po zadání unikátního přístupového kódu. Zajímá vás více? Pak si stáhněte kompletního průvodce whistleblowingem v Česku. Co je třeba před zavedením on-line schránky důvěry zjistit?Před zavedením on-line schránky důvěry je nicméně důležité, aby si firma ověřila, jak  schránka zachází s osobními údaji, zda jsou jednotlivé podněty šifrovány, nebo zda  dodavatel systému vlastní ISO certifikaci. Pokud ano, je v současné době schránka důvěry  nejbezpečnějším a nejdůvěryhodnějším řešením pro whistleblowing. Splňuje veškeré požadavky blížící se legislativy, nabízí potřebný komfort oznamovatelům i řešitelům  a minimaluzuje riziko, že se oznamovatel se svým problémem obrátí na média,  ministerstvo nebo policii. Potřebujete poradit, jak efektivně zavést whistleblowingovou platformu? Jak vznikl projekt Nenech to být?NNTB vzniklo v roce 2017 jako studentský projekt. Už v 17 letech vytvořili spolužáci Jan Sláma, David Špunar a Pavel Ihm platformu, pomocí které mohou děti snadno a bezpečně upozornit na šikanu na školách. Do 4 let začalo NNTB používat 1 800 škol. V roce 2020 se začaly ozývat další organizace s tím, že by platformu uvítaly jako nástroj pro budování bezpečné firemní kultury a whistleblowing. V současnosti NNTB využívá více než 2 200 organizací po celém světě. Mezi významné klienty patří například Sportisimo, Pilulka.cz, LOMAX, Zásilkovna, DPD, Zentiva a město Brno.

Veřejný sektor se připravuje na směrnici o whistleblowingu, většina firem čeká, než parlamentem projde transpoziční zákon. S implementací všech povinností jim může pomoci česká whistleblowingová platforma NNTB Už 17. prosince začíná být účinná směrnice Evropské unie o whistleblowingu. Jejím úkolem je vytvořit bezpečné prostředí pro oznamovatele protiprávního jednání – takzvané whistleblowery. Česko však má problém, transpoziční zákon o ochraně oznamovatelů se totiž zasekl v Parlamentu ČR kvůli volbám. Ten by měl ochranu proti postihům či odvetě za oznámení vztáhnout v celém rozsahu také na soukromý sektor. Pravidla pro ochranu oznamovatelů se tak zatím budou ve většině případů vztahovat pouze na zaměstnance státních institucí. V Česku již existuje whistleblowingová technologie, která může firmám i státu pomoci s implementací nových pravidel. „Povinnosti zakotvené ve směrnici se od 17. prosince budou vztahovat na přibližně 200 veřejných úřadů a institucí. To znamená, že jejich zaměstnanci například budou moci využít bezpečný oznamovací kanál pro nahlášení podezřelé činnosti, dostanou informaci o přijetí oznámení a také budou muset být vyrozuměni, jak bylo s daným podnětem naloženo. Zároveň se již nebudou muset bát negativních následků podání oznámení, kterým často museli doposud čelit,“ vysvětluje Jan Sláma, CEO a spoluzakladatel první české whistleblowingové platformy NNTB.cz (Nenech to být).  Podle metodiky Ministerstva spravedlnosti se směrnice dotkne státních orgánů, krajů a obcí s více než deseti tisíci obyvateli i veřejných institucí jako Všeobecná zdravotní pojišťovna, veřejné vysoké školy, ČEZ či Stanice technické kontroly. Výhodu pak mají samosprávy využívající Mobilní rozhlas od českého startupu Munipolis. Tato služba pro online komunikaci mezi vedením obcí a občany, kterou již využívá skoro třetina republiky, totiž nedávno uzavřela spolupráci s tuzemskou whistleblowingovou platformou NNTB. V jediném prostředí se tak spojuje chytrá komunikace s občany a oznamovací kanál, který splňuje všechny podmínky nové směrnice EU. Ochrana proti interním podvodůmPodle průzkumu EY ztrácí průměrný podnik kvůli interním podvodům až 5 % svých příjmů. Nejspolehlivějším způsobem, jak nekalosti ve firmě odhalit, je podle dat Asociace certifikovaných vyšetřovatelů podvodů (ACFE) whistleblowing. Ten vloni stál za 43 % všech odhalených protiprávních jednání ve firmách. Za whistleblowery se označují lidé, ať už zaměstnanci, zákazníci či třeba dodavatelé, kteří upozorní příslušné orgány na podezření z protiprávního jednání, které v práci nebo firmě zaznamenali.  V praxi se však whistlebloweři po oznámení často setkávají s pomstou ve formě finančního znevýhodňování, šikany ze strany ostatních zaměstnanců nebo rovnou vyhazovem. Obava z negativních následků přitom často lidi odrazuje od toho, aby na podezřelé chování upozornili. Právě to má za cíl nová směrnice o whistleblowingu změnit, zatím však bude platit jenom pro veřejný sektor. Zákonodárci totiž s největší pravděpodobností nestihnou přijmout zákon o ochraně oznamovatelů, který by povinnost rozšířil i na soukromé společnosti. Soukromý sektor čeká na schválení zákonaZatímco veřejný sektor má jasno, soukromé společnosti musí na přesné znění vyčkávat. Dokud čeští zákonodárci nepřenesou směrnici do vnitrostátního práva, tak se povinnosti týkající se ochrany whistleblowerů na soukromý sektor z velké části nevztahují. Vládní návrh zákona o ochraně oznamovatelů přitom ve sněmovně leží již od února, před volbami ale stihl projít pouze prvním čtením. To však neznamená, že se soukromým společnostem vyhne, pouze dochází k jeho odložení. Zatím jen není jasné, na jak dlouho – záleží totiž na rychlosti ustanovení nové vlády a následně rychlosti Parlamentu.  Přesto by však firmy neměly vyčkávat do poslední chvíle. Otálení by totiž mohlo přinést komplikace, jako tomu bylo například v případě zavádění GDPR. „Firmy díky volbám dostaly čas navíc, který mohou využít pro řádnou přípravu na splnění nových povinností. Zejména by měly implementovat vhodné procesy, které ze směrnice vycházejí. Za jejich nedodržení bude hrozit pokuta až milion korun nebo 5 % z ročního obratu,“ upozorňuje Sláma. Směrnice o whistleblowingu totiž přináší celou řadu závazků.  S plněním povinností může pomoci i vhodná technologieKlíčovou součástí směrnice a z ní vycházejícího návrhu zákona je povinnost zaměstnavatele zavést vhodný komunikační kanál, skrze který mohou zaměstnanci či například dodavatelé podávat oznámení o podezření na protiprávní jednání. Ačkoliv se jedná o poměrně přímočarý problém, některé firmy s jeho řešením bojují. „Směrnice nechává zavedení komunikačního kanálu na jednotlivých zaměstnavatelích, ale najít opravdu vhodné řešení není jednoduché. Firmy dosud pro podobné účely používaly telefon, e-mail, fyzickou schránku nebo se spoléhaly na osobní oznámení. Každé z těchto řešení však doprovází určité kompromisy – většinou je to vysoké riziko úniku informace k nesprávné osobě, nekomfortnost pro oznamovatele nebo omezená dostupnost zejména v době práce na dálku,“ vysvětluje úskalí David Špunar, COO a spoluzakladatel platformy NNTB. Navíc tyto varianty často nesplňují požadavky vycházející ze směrnice, např. nutnost oznamovatele informovat ve stanovené lhůtě o přijetí a rozřešení případu. „Firmám se proto vyplatí vsadit na bezpečné digitální řešení v podobě whistleblowingové platformy. Ta nabízí zabezpečený komunikační kanál, striktně omezené přístupy, jsou často dostupné odkudkoliv, pomůžou splnit veškeré povinnosti a zvládají rychle reagovat na případné legislativní změny,“ doporučuje Špunar. Online schránku důvěry od českého startupu NNTB.cz, ve světě známého jako FaceUp, využívá přes 2 000 organizací po celém světě. Potřebujete poradit, jak efektivně zavést whistleblowingovou platformu? Zdroj obrázku: Unsplash, autor: José Martín Ramírez Carrasco Jak vznikl projekt Nenech to být?NNTB vzniklo v roce 2017 jako studentský projekt. Už v 17 letech vytvořili spolužáci Jan Sláma, David Špunar a Pavel Ihm platformu, pomocí které mohou děti snadno a bezpečně upozornit na šikanu na školách. Do 4 let začalo NNTB používat 1 800 škol. V roce 2020 se začaly ozývat další organizace s tím, že by platformu uvítaly jako nástroj pro budování bezpečné firemní kultury a whistleblowing. V současnosti NNTB využívá více než 2 200 organizací po celém světě. Mezi významné klienty patří například Sportisimo, Pilulka.cz, LOMAX, Zásilkovna, DPD, Zentiva a město Brno.

Až 42 % zaměstnanců neoznamuje nekalé jednání, protože nevědí, jakým způsobem to mají udělat. Ačkoliv to některým zaměstnancům může sloužit jako výmluva, firma by měla tuto bariéru odstranit. Další lidé podle výzkumů nevědí, že se od nich oznamování prohřešků vůbec očekává, jsou přesvědčení, že firma už o problému dávno ví, nebo nevěří, že oznámení něčemu pomůže. Jaké jsou nejčastější důvody, proč zaměstnanci neoznamují nekalé jednání, přestože jsou jeho svědky? Dle výzkumů hrají hlavní roli tyto aspekty:  zaměstnanci nevědí, jakým způsobem nahlásit vedení, že se děje něco špatnéhojsou přesvědčeni o tom, že firma už o problému dávno ví, a tím pádem ho i řešípochybují o tom, že vedení by se případným oznámením vůbec zaobíralomají obavy, jaké to bude mít důsledky vůči jejich osoběVšechny tyto bariéry se dají snížit zavedením firemního oznamovacího nástroje. Základem je proto transparentní komunikace směrem k zaměstnancům. Management musí lidem srozumitelně vysvětlit, proč oznamovací systém do firmy zavádí, co od nich v tomto smyslu očekává, a především, jak ho lidé mají používat. Důvodů k zavedení interního oznamovacího kanálu je přitom celá řada:splnění legislativních požadavků, případně požadavků investorazabránění korupci, krádežím a dalším trestným činůmsnaha získávat pravidelnou zpětnou vazbu, či podněty pro zlepšování firmyJe důležité ujistit zaměstnance, že oznámení mohou podávat i zcela anonymně a nemusí se tedy obávat prozrazení své totožnosti. Dále je třeba vzbudit v nich pocit důvěry a zdůraznit, že jejich podněty budou řešeny.  Pro hladké fungovaní je vhodné, aby si firma stanovila interní pravidla pro využívání oznamovacího systému. Například stanovit si, že příslušná osoba se nebude zabývat oznámeními, která mají vulgární charakter,  postup při zpracování oznámení, lhůty na vyjádření řešitele, či jiná interně relevantní pravidla.  Vyhodnocování přínosu oznamovacího systémuK vyhodnocování přínosů oznamovacího systému je vhodné zavést metriky, pomocí kterých bude firma přínosy kvantifikovat.  Takovými metrikami mohou být: počet podaných oznámení za měsícprocentuální míra oznámení, která lze vyhodnotit jako opodstatněnáprůměrná rychlost reakce nebo vyřízení oznámenípotenciální finanční úspora díky odhalení oznámených problémůnebo výsledky dotazníku spokojenosti, který firma pravidelně zašle svým zaměstnancůmPříklad praktického checklistu: Pro více informací si zdarma stáhněte náš e-book 📩 Potřebujete poradit, jak efektivně zavést whistleblowingovou platformu? Jak vznikl projekt Nenech to být?NNTB vzniklo v roce 2017 jako studentský projekt. Už v 17 letech vytvořili spolužáci Jan Sláma, David Špunar a Pavel Ihm platformu, pomocí které mohou děti snadno a bezpečně upozornit na šikanu na školách. Do 4 let začalo NNTB používat 1 800 škol. V roce 2020 se začaly ozývat další organizace s tím, že by platformu uvítaly jako nástroj pro budování bezpečné firemní kultury a whistleblowing. V současnosti NNTB využívá více než 2 200 organizací po celém světě. Mezi významné klienty patří například Sportisimo, Pilulka.cz, LOMAX, Zásilkovna, DPD, Zentiva a město Brno.

Češi brzy začnou při problémech v práci „pískat“. Chystaný zákon o whistleblowingu je pro firmy příležitost vyřešit vnitřní problémy i najít inspiraci. JAN SLÁMA, CEO AND CO-FOUNDER NNTB Praha 4. listopadu 2021 – Díky chystanému zákonu o ochraně oznamovatelů budou mít brzy lidé možnost bezpečně řešit nevhodné chování či nekalosti ve firmách. Podle směrnice Evropského parlamentu z roku 2019 jej musí všechny členské státy implementovat do vlastního právního řádu do 17. prosince 2021. Ačkoliv v Česku ještě k finálnímu schválení návrhu zákona nedošlo, současné znění předpokládá uvedení v platnost k 31. březnu 2022. Nejpozději k tomuto datu by pak všechny firmy nad 25 zaměstnanců musely mít funkční vnitřní oznamovací systém pro upozorňování na nevhodné chování či podvody. Podle Jana Slámy, CEO a spoluzakladatele první české whistleblowingové platformy NNTB.cz (Nenech to být), je však třeba nečekat se spuštěním nástroje až do poslední chvíle, jako to řada firem udělala v případě GDPR. Při porušení přísných pravidel jim totiž hrozí vysoké pokuty a ze včasného spuštění online schránky důvěry naopak mohou profitovat.  Ačkoliv povinnost poskytnout zaměstnancům bezpečný komunikační kanál nařizuje nový zákon, je v Česku whistleblowing dlouhodobě vnímán spíše negativně. „Management mívá vnitřní strach zavádět systém pro podporu něčeho, co je v tuzemsku dlouhodobě bráno jako udavačství ze strany zaměstnanců. Pravděpodobně to souvisí s naší historií a bývalým režimem, protože například v anglosaských zemích je whistleblowing naprostou samozřejmostí firemní kultury,“ vysvětluje Jan Sláma. Třeba ve Spojených státech upozorňuje na neetické jednání ve firmách třikrát více lidí než v Evropě. Přitom právě oznámení od zaměstnanců je podle globální studie ACFE z roku 2020 nejefektivnějším způsobem, jak mohou firmy záškodníky ve svých řadách odhalit, a tím i pozitivně ovlivnit své fungování. Ostatní metody jako interní či externí audit mají násobně nižší účinnost. Iluze dokonalé firmyChladný přístup k whistleblowingu v českých firmách je často spojen s mylnou představou manažerů a vedení, že díky jejich otevřené firemní kultuře žádný oznamovací kanál nepotřebují. Podle průzkumu EY však 56 % svědků nekalého chování ve firmě nic neoznámí. Mnohdy jsou totiž ti, kteří na nekalé aktivity a korupci upozorní, označeni za donašeče a čelí hrozbě tvrdé odvety ze strany kolegů nebo nadřízených. Navíc dochází k efektu přihlížejícího, kdy žádný pracovník problém nezmíní, protože se spoléhá, že to udělá někdo jiný. Podle dat společnosti EY přitom na firemních podvodech ztrácí společnosti v průměru 5 % obratu. A právě těmto problémům má za cíl nový zákon díky anonymizaci a ochraně oznamovatelů předcházet. Pokud se totiž firmám podaří tyto potíže překonat, přináší zavedení interního systému pro whistleblowing skvělé výsledky. Například podle průzkumu společnosti NAVEX GLOBAL a analýzy amerických univerzit v Utahu a Washingtonu firmy se zavedeným a funkčním systémem pro oznamování neetického chování řeší o 7 % méně soudních sporů, mají o 20 % nižší náklady na vyrovnání se zaměstnanci a bývá o nich o 46 % méně negativních zmínek v médiích. Online schránka důvěryMezi nejčastější způsoby, jak firmy umožňují svým zaměstnanců oznamovat nekalosti, patří telefonní linky, e-maily a online formuláře, fyzické schránky ve firmě či kombinace těchto nástrojů. Ty však přes relativně nízké pořizovací náklady mají také zásadní omezení, která mohou významně snižovat uživatelský komfort a tím i tendenci zaměstnanců je vůbec využívat. „Telefonní linky lidi znervózňují, nejsou k dispozici 24/7 a často jsou neanonymní. E-maily zase nejsou bezpečné a často působí jako odbyté řešení ze strany firmy. Fyzická schránka není dostupná lidem mimo firmu a neplní tím podmínky nového zákona. Navíc ji může někdo například zničit a případy z ní je potřeba manuálně přepisovat do systému. V případech bez whistleblowing platformy je tedy velmi složité podněty řešit opravdu komfortně, na něco se anonymně doptat nebo oznamovatele informovat o průběhu případu,“ vysvětluje možná úskalí klasických metod David Špunar, COO a spoluzakladatel NNTB. Právě absence jasných postupů při oznamování protiprávního jednání jsou bariérou až pro 42 % lidí. Nová legislativa vyžaduje možnost zvukového podání oznámení, uděluje povinnost oznamovatele vyrozumět o přijetí oznámení do 7 dnů a do 30 dnů jej seznámit s výsledkem. V případě porušení některé z podmínek firmě může hrozit pokuta do výše milionu korun nebo 5 % z čistého obratu. Mělo by tak být v zájmu firem poskytnout zaměstnancům komfortní způsob bezpečného anonymního oznamování s jasným průběhem a pravidly. S novou směrnicí totiž hrozí organizacím bez řádné whistleblowing platformy stav, kdy by lidé museli případy hlásit po vlastní ose na policii, na ministerstvu či s nimi vystoupit v médiích. Z toho důvodu firmy pomalu od tradičních kanálů upouští a nasazují takzvané online schránky důvěry, které splňují podmínky legislativy, současně celý proces oznamovatelům ulehčují, odstraňují strach z postihu a pro firmy představují minimalizaci zákonných rizik i přímé pozitivní ovlivnění chodu firmy. Pokud totiž nekalé chování uvnitř firem neřeší, mohou podle průzkumů EY přicházet na interních podvodech až o 5 % obratu. „Online schránku důvěry si můžete představit jako webovou či mobilní aplikaci, do které oznamovatel nasdílí své oznámení včetně příloh. V ní pak s řešitelem vzájemně komunikuje při plném zachování anonymity a má neustálý přehled o tom, jak se případ vyvíjí. Taková schránka navíc může být přístupná i zákazníkům, dodavatelům či uchazečům o práci, díky čemuž tento kanál splňuje veškeré podmínky blížícího se zákona o ochraně oznamovatelů,“ dodává Špunar, který takovou schránku důvěry založil s Janem Slámou a Pavlem Ihmem již v roce 2017. Jeho online platforma, která je v Česku známá jako Nenech to být, funguje po světě ve 25 jazykových mutacích pod názvem FaceUp. Využívá ji přes 2 000 firem i škol na čtyřech světových kontinentech, v tuzemsku například Sportisimo, LOMAX, Pilulka.cz či Bar, který neexistuje. V rámci expertizy v HR, právu, compliance a psychologii spolupracuje NNTB.cz s řadou partnerů. Mezi ně se řadí například advokátní kancelář Havel & Partners, Transparency International či online psychoterapeutické platformy Hedepy a Terap.io. Chcete zůstat v obraze? Stáhněte si zdarma náš e-book, ať jste v obraze 📩 Autor textu: Majk Šenkeřík Potřebujete poradit, jak efektivně zavést whistleblowingovou platformu? Jak vznikl projekt Nenech to být?NNTB vzniklo v roce 2017 jako studentský projekt. Už v 17 letech vytvořili spolužáci Jan Sláma, David Špunar a Pavel Ihm platformu, pomocí které mohou děti snadno a bezpečně upozornit na šikanu na školách. Do 4 let začalo NNTB používat 1 800 škol. V roce 2020 se začaly ozývat další organizace s tím, že by platformu uvítaly jako nástroj pro budování bezpečné firemní kultury a whistleblowing. V současnosti NNTB využívá více než 2 200 organizací po celém světě. Mezi významné klienty patří například Sportisimo, Pilulka.cz, LOMAX, Zásilkovna, DPD, Zentiva a město Brno.

Často se na nás obracíte s dotazy týkajícími se GDPR a souladu whistleblowingu s nařízením o ochraně osobních údajů. Této problematice se věnují naši partneři z PEYTON legal a napsali komplexní článek, který na našem blogu rádi publikujeme. Členské státy Evropské unie musí do 17. prosince 2021 transponovat směrnici Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie (tzv. směrnici o whistleblowingu) (dále jen „Směrnice“). S ohledem na uvedené a na navrhovaný český zákon o ochraně oznamovatelů, o nichž jsme již blíže diskutovali v našich předešlých článcích (zde a zde), vyvstává i otázka týkající se vztahu mezi právními předpisy na ochranu oznamovatelů, které budou na české úrovní zejména představovány zákonem o ochraně oznamovatelů, a právními předpisy na ochranu osobních údajů, které jsou představovány zejména Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) a zákonem č. 110/2019 Sb, o zpracování osobních údajů. Na problematiku whistleblowingu se v souvislosti s ochranou osobních údajů nahlíží různými způsoby. Jedná se o nástroj pro řízení rizik v rámci „GDPR compliance“ společností, nebo spíše o samostatný proces, který musí být sám o sobě v souladu s GDPR? Či jde případně o kombinaci obou těchto přístupů? Jakým způsobem dojde k souhře problematiky ochrany osobních údajů a oznamovacího systému v rámci ochrany oznamovatelů při whistleblowingu? Whistleblowing obecněWhistleblowing neboli oznamování protiprávních jednání, zejména ze strany zaměstnanců, je hlavním předmětem úpravy přijaté Směrnice. Směrnice se vztahuje na osoby pracující jak ve veřejném, tak i v soukromém sektoru, které získaly informace o porušení práva Evropské unie v rámci kontextu jejich vztahu k zaměstnavateli či jinému nadřízenému orgánu. Tzv. whistleblowers mají podle Směrnice právo na ochranu tehdy, pokud (i) měli dle Směrnice pro oznámení oprávněné důvody, (ii) případ spadal do předmětu úpravy Směrnice a (iii) měli za to, že informace byly v době oznámení pravdivé. Pracovníci mohou podat oznámení interně v souladu s článkem 7 a externě v souladu s článkem 10 Směrnice, nebo informace zpřístupnit přímo externě nebo veřejně v souladu s článkem 15 Směrnice. Členské státy mají na základě Směrnice výslovně povoleno zavést nebo zachovat ta ustanovení vnitrostátního práva, která jsou pro práva oznamujících osob příznivější než ustanovení obsažená ve Směrnici. Na úrovni České republiky je nyní v legislativním procesu návrh zákona o ochraně oznamovatelů (nutno podotknout, že byl navrhnut již před přijetím Směrnice), který rozsah úpravy Směrnic rozšiřuje, zejména pokud jde o předmět chráněných zájmů, tedy rozsah oblastí, v rámci kterých mohou oznamovatelé v chráněném režimu činit svá oznámení. Whistleblowing a ochrana osobních údajůObecně je možné říct, že právní úprava v oblasti whistleblowingu je nyní v České republice nedostatečná. Jedná se tak de facto o nové právní odvětví, a zejména proto může v budoucnu docházet ke konfliktu mezi ochranou osobních údajů whistleblowera (oznamovatele), případně i obviněné fyzické osoby, a jejich práv a povinností v rámci právní úpravy whistleblowingu. V rámci oznamovacího procesu může být na zpracování osobních údajů obecně nahlíženo dvěma způsoby. Prvním z nich je případ, kdy se jedná o zpracování osobních údajů whistleblowera (oznamovatele) předkládajícího oznámení (v případě, že toto nebylo učiněno anonymně). Ve druhém případě můžeme mluvit o osobních údajích třetích stran – fyzických osob, které se objeví v oznámení předloženém whistleblowerem (oznamovatelem). Je třeba upozornit, že o osobních údajích hovoříme pouze tehdy, kdy se týkají jimi identifikovatelné fyzické osoby – jedince. O zpracování osobních údajů pak nehovoříme mj. v případě, kdy s osobními údaji nakládá fyzická osoba – jedinec – pro vlastní potřebu (tedy zpravidla whistleblower). V zásadě lze tedy uzavřít, že to budou právě dotčené organizace (zaměstnavatelé a instituce), jejichž pracovník jim předloží oznámení o protiprávním jednáním podle pravidel whistleblowingu, které se v tu chvíli stanou příjemci a správci osobních údajů fyzických osob, jež budou v takovém oznámení identifikovány. Pro tyto organizace pak dle našeho názoru budou platit standardní pravidla ochrany osobních údajů v rámci tohoto nového „procesu“ zpracování osobních údajů – přijetí, zpracování a vyřízení přijatého oznámení o údajném porušení právních předpisů podle pravidel whistleblowingu. Osobní údaje oznamovateleOznamovatel má v rámci oznamovacího procesu při podání oznámení dvě možnosti: podat oznámení svým jménem, nebopředložit zprávu anonymně. (například skrz platformu NNTB.cz)V případě podávání oznámení svým jménem je třeba v prvé řadě, jelikož tu dochází ke zpracování osobních údajů oznamovatele, pamatovat na základní zásady ochrany osobních údajů a s tím související povinnosti příjemce oznámení, tedy správce osobních údajů. Zde máme na mysli zejména: zákonnost, korektnost, transparentnost – je třeba stanovit alespoň jeden právní důvod zpracování a činit tak vůči oznamovateli (subjektu údajů) transparentně – zásadní je zde informování oznamovatele (subjektu údajů) o všech rozhodných skutečnostech zpracování osobních údajů (informační povinnost při zadání oznámení);účelové omezení – osobní údaje musí být shromažďovány pouze pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely;minimalizace údajů – získávané osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány – interní systémy musí být nastaveny tak, aby oznamovatel zadával o sobě jen opravdu nezbytně nutné údaje;přesnost – osobní údaje musí být přesné – je třeba zavést jednoduchý a bezpečný postup ověření totožnosti oznamovatele – např. potvrzovací e-mail, unikátní kód a heslo apod.;omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány – stanovení standardní doby od vyřešení oznámení;integrita a důvěrnost – je třeba zavést technické a organizační zabezpečení osobních údajů – v případě whistleblowingu je tato otázka ještě více důležitá a naprosto zásadní.V případě anonymního podání by tu nemělo docházet v žádném úseku daného procesu ke zpracování osobních údajů. Veškeré interní systémy oznamování by měly být nastaveny tak, aby ani (byť i externí správce) těchto systémů nebyl schopen stanovit a určit, kdo dané oznámení do systému zadal. Poskytnutí informací o totožnosti oznamovatele třetím osobám by dle návrhu zákona mělo být možné jen pouze s písemným souhlasem oznamovatele, a to i v případě, kdy oznamovatel nepožádal o utajení své totožnosti. Osobní údaje osob identifikovaných v oznámeníOznamovatel může v rámci oznamovacího procesu identifikovat předem neurčitelný okruh osob, a to do různé míry detailu a v různém rozsahu údajů. V tomto případě třeba přistupovat k oznámení tak, aby byly co nejvíce, avšak v proveditelné míře, respektovány zásady ochrany osobních údajů, a to zejména transparentnost (obecné informační dokumentace a memoranda), striktní účelové omezení, přesnost údajů a jejich oprava po ověření a integrita a důvěrnost, ač i ostatní nevyjmenované zásady je třeba brát v potaz. Ucelená dokumentace a procesVýše uvedené zásady ochrany osobních údajů a obecně veškeré povinnosti vyplývající z úpravy GDPR by měly být v rámci organizací již nyní zavedeny a dodržovány v rámci obecný pravidel osobních údajů, které by měly obsahovat i postupy při zavádění nových procesů zpracování osobních údajů v organizaci (analýza rizik, DPIA, privacy by design a privacy by default). Ve vztahu k procesům týkající se whistleblowingu je dle našeho názoru třeba klást důraz na osvětu, informovanost potenciálních oznamovatelů v organizaci a zajištění integrity a důvěrnosti celého procesu.K tomu organizacím zpravidla vhodně poslouží ucelený systém dokumentace (obecné směrnice a memoranda, informační dokumenty, dokumentace usnadňující výkon práv apod.), nástrojů (oznamovací rozhraní či software se zajištěním bezpečnosti a diskrétnosti) a činností (školení, kontroly, revize procesů apod.). DPIAPokud by zpracování osobních údajů mohlo mít za následek vysoké riziko ohrožení práv a svobod fyzických osob, je dle Směrnice správce (organizace, resp. příjemce oznámení) povinen provést posouzení vlivu na ochranu osobních údajů (DPIA). Některé vnitrostátní orgány evropských států přímo vymezily, v jakých případech se jedná o zpracování s vysokým rizikem, a proto potřebují úplné DPIA – v tomto případě musí informace splňovat dvě kritéria: z povahy citlivé údaje nebo údaje vysoce osobní povahy, které zahrnují údaje týkající se odsouzení za přestupky nebo trestné činy, adata týkající se zranitelných subjektů údajů – to se týká situací, kdy subjekty údajů nemohou snadno souhlasit se zpracováním svých údajů nebo se proti nim vyjádřit, nebo uplatnit svá práva, včetně zaměstnanců.Zpracování DPIA lze doporučit zejména u větších organizací či organizací působících v sektorech průmyslu s vyšším požadavky na bezpečnost, integritu a kontinuitu činností (zejm. kritická infrastruktura, státní orgány, banky apod.). Práva oznamovatelůOsoba, která oznámí protiprávní jednání, má právo na ochranu, která spočívá především v tom, aby totožnost oznamující osoby nebyla sdělena bez jejího výslovného souhlasu nikomu s výjimkou oprávněných pracovníků příslušných k přijímání oznámení nebo následných opatření. Totéž se vztahuje i na jakékoli další informace, z nichž by mohla být přímo či nepřímo vyvozena totožnost oznamující osoby. Může však dojít k výjimce, pokud se bude jednat o nezbytnou a přiměřenou povinnost vyplývající z unijního či vnitrostátního práva v souvislosti s vyšetřováním nebo soudním řízením vedeným vnitrostátními orgány, včetně zachování práva dotčené osoby na obhajobu. V tomto případě však musí být osoba informována o zveřejnění její totožnosti před tím, než k němu dojde, ledaže by tyto informace ohrozily související vyšetřování nebo soudní řízení. Při informování oznamujících musí příslušné orgány zaslat písemné odůvodnění, v němž vysvětlí důvody pro zveřejnění dotčených důvěrných údajů. Členské státy musí při transponování zajistit, aby příslušné orgány, které obdrží informace o porušení, jež obsahují obchodní tajemství, tato obchodní tajemství nepoužijí či nezveřejní pro jiné než nezbytné účely pro vhodná následná opatření. Ochrana bude spočívat i v zákazu odvetných opatřeních, jejichž provedení mají na starost členské státy. Jedná se například o dočasné zproštění výkonu služby, odvolání, propuštění či rovnocenná opatření, převedení na nižší pozici nebo nepovýšení, nátlak, zastrašování či obtěžování apod. S výše uvedeným úzce souvisí i ochrana osobních údajů a soukromí oznamovatelů, které musejí být zachovány po celou dobu šetření oznámení i po něm. Rozsah a doba zpracováníV rámci přípravy na přicházející právní regulaci whistleblowingu u nás, a tedy i transpozici nové Směrnice je potřeba definovat přiměřené doby pro uchovávání osobních údajů zpracovávaných v rámci oznamování, a to v závislosti na povahu a postup zpracovávání každého případu. Osobní údaje, které nejsou pro proces zpracování relevantní, by neměly být dále zpracovávány a měly by být zlikvidovány. Pokud by se došlo hned v počátečním posouzení k závěru, že daný případ nespadá do oblasti problematiky oznamovatelů, mělo by dojít k okamžitému výmazu osobních údajů a uchování oznámení pouze v anonymizované či pseudonymizované formě pro evidenční účely. Osobní údaje by měly být vymazány neprodleně a obvykle do dvou měsíců od dokončení předběžného posouzení. V určitých případech se však období uchování osobních údajů a všech dalších údajů týkajících se hlášení v rámci whistleblowingu může lišit, a to v závislosti na složitosti prošetřování. Z důvodu, že stanovené retenční období není vždy použitelné, měli by být oznamovatelé upozorněni, že jejich údaje budou uchovány až do uzavření případu a vyřešení oznámení a měla by být stanovena vodítka postupu s ohledem na vývoj řešení každého oznámení, jak je naznačeno výše. ZávěrWhistleblowing zůstává i nadále významnou oblastí v ochraně osobních údajů, kdy právě ochrana osobních údajů zvyšuje zásadu důvěrnosti, která je rozhodující pro spolehlivý mechanismus whistleblowingu. Je nutné podotknout, že právní úprava whistleblowingu je v České republice prozatím nedostatečná z důvodu novosti právního odvětví jako takového. Z důvodu nedostatečné právní úpravy by bylo vhodné, aby došlo k příhodnějšímu zakotvení whitstleblowingu v rámci problematiky GDPR, případně k vyjasnění souhry těchto dvou právních odvětví. Než právní úprava ochrany osobních údajů zareaguje na problematiku spjatou s whistleblowingem či naopak, doporučujeme, aby ve světle ochrany osobních údajů oznamovatelé svá oznámení činili anonymně. Zároveň upozorňujeme, že tento krok může mít za následek ztížení samotného vyšetřování porušení práva Evropské unie v rámci kontextu jejich vztahu k zaměstnavateli či jinému nadřízenému orgánu. Autor: Mgr. Jakub Málek, PEYTON legal Původní článek: https://www.peytonlegal.cz/whistleblowing-osobni-udaje/ K příjmu (anonymních) oznámení a komunikaci s odesílatelem může firma využít naši webovou platformu a mobilní aplikaci NNTB: https://www.nntb.cz/Jak vznikl projekt Nenech to být? NNTB vzniklo v roce 2017 jako studentský projekt. Už v 17 letech vytvořili spolužáci Jan Sláma, David Špunar a Pavel Ihm platformu, pomocí které mohou děti snadno a bezpečně upozornit na šikanu na školách. Do 4 let začalo NNTB používat 1 800 škol. V roce 2020 se začaly ozývat další organizace s tím, že by platformu uvítaly jako nástroj pro budování bezpečné firemní kultury a whistleblowing. V současnosti NNTB využívá více než 2 200 organizací po celém světě. Mezi významné klienty patří například Sportisimo, Pilulka.cz, LOMAX, Zásilkovna, DPD, Zentiva a město Brno.