whistleblowingGDPRochrana oznamovatelůsměrnice EU

Whistleblowing a GDPR: Jak skloubit obě povinnosti

Tým Váš Pověřenec

16. května 2025

Whistleblowing a GDPR: Jak skloubit obě povinnosti

Úvod

Směrnice EU o ochraně oznamovatelů (whistleblowing) zavádí nové povinnosti pro mnoho organizací, které musí zřídit bezpečné kanály pro oznamování protispolečenské činnosti. Zároveň však musí tyto organizace dodržovat pravidla GDPR při zpracování osobních údajů oznamovatelů i oznamovaných osob.

Whistleblowing a jeho implementace v ČR

Zákon o ochraně oznamovatelů ukládá povinnost zřídit interní oznamovací systém:

  • Všem veřejným zadavatelům s více než 25 zaměstnanci
  • Obcím s více než 10000 obyvateli
  • Všem zaměstnavatelům s více než 50 zaměstnanci

Tento systém musí umožňovat anonymní podávání oznámení a zajišťovat důvěrnost identity oznamovatele.

Ochrana osobních údajů při whistleblowingu

Při zpracování osobních údajů v rámci whistleblowingu je nutné dodržovat několik zásad:

1. Minimalizace údajů

Zpracovávat by se měly pouze údaje nezbytné pro vyřízení oznámení. Nepodstatné osobní údaje by měly být anonymizovány nebo pseudonymizovány.

2. Omezení uložení

Osobní údaje by neměly být uchovávány déle, než je nezbytné pro vyřešení oznámení a případné následné řízení. Standardní doba uchování je obvykle 5 let od uzavření případu.

3. Informovanost subjektů údajů

Jak oznamovatel, tak osoby, kterých se oznámení týká, mají právo být informovány o zpracování jejich osobních údajů. Existují však výjimky, kdy informování oznamované osoby může ohrozit vyšetřování.

4. Zabezpečení údajů

Osobní údaje spojené s whistleblowingem jsou velmi citlivé a vyžadují maximální zabezpečení. Je vhodné implementovat technická a organizační opatření jako šifrování, přístupová práva omezená na nezbytné minimum osob, atd.

Praktická doporučení pro organizace

Příprava dokumentace

  • Vypracujte směrnici o interním oznamovacím systému
  • Aktualizujte záznamy o činnostech zpracování
  • Proveďte posouzení vlivu na ochranu osobních údajů (DPIA)

Školení zaměstnanců

Proškolte zaměstnance odpovědné za přijímání a vyřizování oznámení jak v oblasti whistleblowingu, tak v oblasti ochrany osobních údajů.

Technické řešení

Zvažte implementaci specializovaného software, který zajistí jak anonymitu oznamovatelů, tak bezpečné zpracování osobních údajů a splnění všech zákonných požadavků.

Závěr

Správné nastavení whistleblowing systému s ohledem na požadavky GDPR je komplexní úkol. Externí pověřenec s odbornými znalostmi v obou oblastech může být v tomto procesu neocenitelným pomocníkem.

Potřebujete implementovat whistleblowing systém nebo zhodnotit jeho soulad s GDPR? Kontaktujte nás a my vám pomůžeme najít optimální řešení pro vaši organizaci.

Související články

Flexibilní novela zákoníku práce 2025: Kompletní průvodce změnami
zákoník práceflexinovela
Flexibilní novela zákoníku práce 2025: Kompletní průvodce změnami

Od 1. června 2025 vstupuje v platnost největší změna zákoníku práce od 90. let. Co přináší zaměstnancům a zaměstnavatelům?

Tým Váš Pověřenec · 30. května 2025