dnes je 14.8.2022

Input:

Interní kanály pro oznamování a ochrana osobních údajů

30.11.2021, , Zdroj: Verlag Dashöfer

1.57.4
Interní kanály pro oznamování a ochrana osobních údajů

JUDr. Pavel Koukal

Již ze samotné podstaty interního whistleblowingukterý je založen na rozsáhlé interní komunikaci řady zaměstnanců a případně i třetích osob, vyplývá, že je tento specifický interní mechanismus v soukromém i veřejném sektoru bezprostředně spojen i se zpracováním osobních údajů, a to u poměrně velkého okruhu fyzických osob.

V této souvislosti je třeba vycházet ze skutečnosti, že v rámci interních kanálů pro oznamování dochází ke zpracování nejen osobních údajů samotných oznamovatelů (oznamujících osob), ale i osobních údajů tzv. dotčených osob, které jsou v oznámení uvedeny jako osoby, jimž se porušení právních předpisů přičítá nebo s ním jsou spojovány, a konečně i prostředníků a dalších fyzických osob (svědků oznamovaného protiprávního jednání apod.).

Obecně přitom platí, že pokud v rámci interního whistleblowingu dochází ke zpracování osobních údajů, tak se uplatňují zvláštní právní předpisy spojené s ochranou osobních údajů, v našem případě především obecného nařízení o ochraně osobních údajů (GDPR). Pro povinné organizace zejména ze soukromého sektoru je přitom zásadní, aby byla zvláštní pozornost v daných souvislostech věnována základním zásadám zpracování osobních údajů, jak jsou stanoveny v článku 5 GDPR, jakož i zásadě záměrné a standardní ochrany osobních údajů stanovené v článku 25 GDPR.

Na tomto místě je přitom třeba znovu poukázat na úzkou provázanost povinností ve vztahu k zachování důvěrnosti a utajení totožnosti oznamujících osob a záznamů s tím spojených se zásadou integrity a důvěrnosti, upravenou v článku 5 odst. 1 písm. f) GDPR a dále pak blíže specifikovanou v článku 32 GDPR.

Tento silný akcent bude muset být náležitě zohledněn v rámci každé implementace interních kanálů pro oznamování a souvisejících opatření na interní podmínky dané povinné osoby. Platí přitom, že právní úprava ochrany osobních údajů se bude v tomto směru uplatňovat vždy a do značné míry bez ohledu na to, zda oznámení bude důvodné či nikoliv a zda budou ve vztahu k oznamující osobě splněny všechny podmínky pro vznik nároku na ochranu oznamovatele podle zvláštního právního předpisu.

Právní základ zpracování osobních údajů u whistleblowingu

Výchozí otázkou pro zpracování osobních údajů v rámci interních kanálů pro oznamování, jakož i jejich prošetřování a ochranu oznamovatelů je právní základ, resp. právní důvod (titul) zpracování ve smyslu ustanovení článku 6 GDPR.

V tomto směru dosud bylo jako právní titul zpracování využíváno v interních

Nahrávám...
Nahrávám...