whistleblowingGDPRochrana oznamovatelůsměrnice EU

Whistleblowing a GDPR: Jak skloubit obě povinnosti

Tým Váš Pověřenec

16. května 2025

Whistleblowing a GDPR: Jak skloubit obě povinnosti

Úvod

Směrnice EU o ochraně oznamovatelů (whistleblowing) zavádí nové povinnosti pro mnoho organizací, které musí zřídit bezpečné kanály pro oznamování protispolečenské činnosti. Zároveň však musí tyto organizace dodržovat pravidla GDPR při zpracování osobních údajů oznamovatelů i oznamovaných osob.

Whistleblowing a jeho implementace v ČR

Zákon o ochraně oznamovatelů ukládá povinnost zřídit interní oznamovací systém:

  • Všem veřejným zadavatelům s více než 25 zaměstnanci
  • Obcím s více než 10000 obyvateli
  • Všem zaměstnavatelům s více než 50 zaměstnanci

Tento systém musí umožňovat anonymní podávání oznámení a zajišťovat důvěrnost identity oznamovatele.

Ochrana osobních údajů při whistleblowingu

Při zpracování osobních údajů v rámci whistleblowingu je nutné dodržovat několik zásad:

1. Minimalizace údajů

Zpracovávat by se měly pouze údaje nezbytné pro vyřízení oznámení. Nepodstatné osobní údaje by měly být anonymizovány nebo pseudonymizovány.

2. Omezení uložení

Osobní údaje by neměly být uchovávány déle, než je nezbytné pro vyřešení oznámení a případné následné řízení. Standardní doba uchování je obvykle 5 let od uzavření případu.

3. Informovanost subjektů údajů

Jak oznamovatel, tak osoby, kterých se oznámení týká, mají právo být informovány o zpracování jejich osobních údajů. Existují však výjimky, kdy informování oznamované osoby může ohrozit vyšetřování.

4. Zabezpečení údajů

Osobní údaje spojené s whistleblowingem jsou velmi citlivé a vyžadují maximální zabezpečení. Je vhodné implementovat technická a organizační opatření jako šifrování, přístupová práva omezená na nezbytné minimum osob, atd.

Praktická doporučení pro organizace

Příprava dokumentace

  • Vypracujte směrnici o interním oznamovacím systému
  • Aktualizujte záznamy o činnostech zpracování
  • Proveďte posouzení vlivu na ochranu osobních údajů (DPIA)

Školení zaměstnanců

Proškolte zaměstnance odpovědné za přijímání a vyřizování oznámení jak v oblasti whistleblowingu, tak v oblasti ochrany osobních údajů.

Technické řešení

Zvažte implementaci specializovaného software, který zajistí jak anonymitu oznamovatelů, tak bezpečné zpracování osobních údajů a splnění všech zákonných požadavků.

Závěr

Správné nastavení whistleblowing systému s ohledem na požadavky GDPR je komplexní úkol. Externí pověřenec s odbornými znalostmi v obou oblastech může být v tomto procesu neocenitelným pomocníkem.

Potřebujete implementovat whistleblowing systém nebo zhodnotit jeho soulad s GDPR? Kontaktujte nás a my vám pomůžeme najít optimální řešení pro vaši organizaci.

Související články

Jak na nový kamerový systém: Compliance, GDPR a povinnosti
kamerový systémGDPR
Jak na nový kamerový systém: Compliance, GDPR a povinnosti

Zavádění kamerového systému přináší povinnosti dle GDPR. Zjistěte, jak správně postupovat podle aktuální metodiky ÚOOÚ 2025 a vyhněte se vysokým sankcím.

Tým Váš Pověřenec · 1. září 2025

Jak chránit oznamovatele a předcházet odvetným opatřením
whistleblowingochrana oznamovatelů
Jak chránit oznamovatele a předcházet odvetným opatřením

Ochrana oznamovatelů je klíčová pro fungování whistleblowingu. Zjistěte, jak předcházet odvetě, co zahrnuje, jaké jsou povinnosti zaměstnavatelů a jak minimalizovat právní rizika.

Tým Váš Pověřenec · 25. srpna 2025

Nejčastější chyby při zavádění GDPR a jak se jim vyhnout
GDPRimplementace
Nejčastější chyby při zavádění GDPR a jak se jim vyhnout

Praktické příklady z kontrol ÚOOÚ a doporučení, jak správně implementovat GDPR. Zjistěte nejčastější chyby při zavádění ochrany osobních údajů a jak jim předcházet.

Tým Váš Pověřenec · 4. srpna 2025