Svjedoci smo javnih savjetovanja na Nacrte prijedloga Pravilnika o postupku unutarnjeg prijavljivanja nepravilnosti, u kojima se određuju i načini postupanja s osobnim podacima.

Danas je otvoreno savjetovanje na jedan takav pravilnik koji navodi slijedeće, citiramo:

Članak 17.
 
(1) Povjerljiva osoba obvezna je prije početka obavljanja poslova zaštite prijavitelja nepravilnosti potpisati Izjavu o povjerljivosti koja se prilaže u osobni očevidnik državnog službenika.
 
(2) Na obradu osobnih podataka sadržanih u prijavi nepravilnosti, primjenjuju se propisi kojima se uređuje zaštita osobnih podataka.
 
(3) Pravo uvida u podatke iz prijave nepravilnosti, pohranjenima u Ministarstvu, ima pravo samo povjerljiva osoba.   
 
(4) Dokumentacija vezana za postupke po prijavama nepravilnosti iz stavka 3. ovoga članka pohranjuje se u prostore za pohranu osigurane od neovlaštenog pristupa, a vodi se u papirnatom obliku.
 
(5) Evidencija iz članka 9. stavka 1. ovoga Pravilnika vodi se u elektroničkom obliku zaštićenom od neovlaštenog pristupa.
 
(6) Povjerljiva osoba obvezna je i po prestanku obavljanja dužnosti povjerljive osobe i nakon prestanka radnog odnosa kod poslodavca, čuvati povjerljivost podataka za koje je doznala tijekom obavljanja poslova povjerljive osobe.
 
(7) Osobni podaci sadržani u dokumentaciji iz postupka prijave nepravilnosti čuvaju se najduže pet godina od zaprimanja prijave nepravilnosti, odnosno do okončanja sudskog postupka za zaštitu prijavitelja nepravilnosti.

Pohvalno je da se određuje konkretan rok pohrane osobnih podataka u dokumentaciji prijavljene nepravilnosti, te da osobnim podacima mogu pristupiti samo strogo ovlaštene osobe - povjerljive osobe, koje potpisuju Izjavu o povjerljivosti.

Međutim, ključna odredba je da se na obradu osobnih podataka sadržanih u prijavi nepravilnosti primjenjuju propisi kojima se uređuje zaštita osobnih podataka.

A to je prvenstveno GDPR. Što GDPR kaže?

Između ostalog da moramo osigurati organizacijsko-tehničke mjere zaštite podataka, odnosno, stvarno se i uskladiti s GDPR-om, osigurati punu povjerljivost osobnih podataka, zaštitu pristupa, ograničenje prava pristupa, osiguranje od bilo koje vrste povrede podataka, bez obzira pohranjivali li dokumentaciju u sigurnosnim ormarima ili računalima.

Praktički rečeno, organizacija koja nije osigurala usklađenost s GDPR obvezama nije ni u mogućnosti ispoštivati obveze iz Zakona koji štiti "zvizdače".

Nije dovoljno samo donijeti interne Pravilnike o postupku prijave nepravilnosti i zaštite prijavitelja i Pravilnike o zaštiti osobnih podataka.

Drugi dio priče o utjecaju GDPR-a na provođenje obveza zaštite "zvizdača" je onaj koji se odnosi na članak 14. GDPR-a i obvezu davanja informacija pojedincu čije osobne podatke sadrži dokumentacija prijave a da taj pojedinac ne zna da je spomenut u prijavi. Stoga organizacija mora provjeriti i procjeniti da li bi obavještavanje prijavljenog pojedinca da imamo njegove osobne podatke u prijavi moglo onemogućiti ili ozbiljno ugroziti postizanje ciljeva obrade njegovih osobnih podataka, prema članku 14. stavak 5. točka (b) GDPR-a i dokumentirati to na argumentiran način.

Poseban izazov za svaku organizaciju predstavljaju obveze iz članaka 15. i 16. GDPR-a, odnosno, prava pristupa podacima i prava na izmjene ili ispravke osobnih podataka, dok pravo na brisanje osobnih podataka iz članka 17. GDPR-a nije moguće ukoliko postoji pravna obveza.

Stoga je naša topla preporuka da sve organizacije, koje su obvezne uvesti mjere zaštite prijavitelja nepravilnosti, u svojim internim pravilnicima definiraju i ova područja provođenja postupaka, jer će se s njima i susresti u primjeni Zakona o zaštiti prijavitelja nepravilnosti i istovremenoj primjeni GDPR-a.

Kolizije ne smije biti, stoga se valja na vrijeme (sada) pripremiti. Ukoliko "preskočimo" pripremu, organizacija može imati dodatnih problema zbog nepoštivanja propisa.