Hrvatski Zakon o zaštiti prijavitelja nepravilnosti, popularno zvan i "Zakon o zviždačima" je zakon koji je stupio na snagu 1. srpnja 2019. godine i donesen je s ciljem jačanja svijesti i poticanja građana na prijavljivanje nepravilnosti o kojima imaju saznanja, a povezani su s obavljanjem poslova kod poslodavca.
 
Ovaj se zakon primjenjuje na sva tijela javne vlasti na središnjoj i lokalnoj razini, na pravne osobe s javnim ovlastima, trgovačka društva u većinskom vlasništvu države ili lokalne jedinice te na sve poslodavce privatnog sektora.
 
Prijavitelj nepravilnosti je osoba koja ima saznanja o određenim nepravilnostima bilo da se radi o kršenjima zakona, uredbi, pravilnika, etičkih kodeksa, unutarnjih akata trgovačkih društava i koja ih prijavljuje, a koje su povezane s obavljanjem poslova kod poslodavca.
 
Kao primjeri nepravilnosti, mogu se izdvojiti neobjavljivanje propisanih dokumenata, manipulacije financijskim izvještajima ili nesavjesno upravljanje javnim dobrima, a zbog kojeg može doći do ugrožavanja ljudskog zdravlja.
 
Unutarnje prijavljivanje nepravilnosti podrazumijeva prijavu povjerljivoj osobi imenovanoj od strane poslodavca za zaprimanje prijava unutar poslodavca. Unutarnji kanal prijavljivanja nepravilnosti dužan je uspostaviti svaki poslodavac koji zapošljava barem 50 osoba.
 
Vanjsko prijavljivanje odnosi na prijavljivanje nepravilnosti pučkom pravobranitelju, a koristi se u slučaju kada iz određenih razloga prijavljivanje povjerljivoj osobi unutar poslodavca nije moguće; primjerice, jer pravna osoba ima manje od 50 zaposlenih, povjerljiva osoba nije imenovana, prijavitelj ima opravdani strah da će ga se staviti i nepovoljniji položaj ili je povjerljiva osoba uključena u nepravilnost i sl.
 
Javno razotkrivanje omogućuje objavljivanje nepravilnosti putem javnosti i/ili medija, no to bi trebalo predstavljati izuzetak kada unutarnje ili vanjsko prijavljivanje nije moguće jer postoji neposredna opasnost za život, zdravlje, sigurnost ili od nastanka štete velikih razmjera ili uništenja dokaza.
 
Ukoliko prijavitelj nepravilnosti prijavi nepravilnost, od trenutka prijave povjerljivoj osobi, pučkom pravobranitelju ili javnosti i/ili medijima, prijavitelj nepravilnosti je pod zaštitom odredbi ovoga zakona.
 
Kako je od ključnog značaja zaštititi identitet i osobne podatke prijavitelja, člankom 17. naknadno donesenog Pravilnika o postupku unutarnjeg prijavljivanja nepravilnosti određuju se načini postupanja s osobnim podacima:
 
(1) Povjerljiva osoba obvezna je prije početka obavljanja poslova zaštite prijavitelja nepravilnosti potpisati Izjavu o povjerljivosti koja se prilaže u osobni očevidnik državnog službenika.
 
(2) Na obradu osobnih podataka sadržanih u prijavi nepravilnosti, primjenjuju se propisi kojima se uređuje zaštita osobnih podataka.
 
(3) Pravo uvida u podatke iz prijave nepravilnosti, pohranjenima u Ministarstvu, ima pravo samo povjerljiva osoba.
 
(4) Dokumentacija vezana za postupke po prijavama nepravilnosti iz stavka 3. ovoga članka pohranjuje se u prostore za pohranu osigurane od neovlaštenog pristupa, a vodi se u papirnatom obliku.
 
(5) Evidencija iz članka 9. stavka 1. ovoga Pravilnika vodi se u elektroničkom obliku zaštićenom od neovlaštenog pristupa.
 
(6) Povjerljiva osoba obvezna je i po prestanku obavljanja dužnosti povjerljive osobe i nakon prestanka radnog odnosa kod poslodavca, čuvati povjerljivost podataka za koje je doznala tijekom obavljanja poslova povjerljive osobe.
 
(7) Osobni podaci sadržani u dokumentaciji iz postupka prijave nepravilnosti čuvaju se najduže pet godina od zaprimanja prijave nepravilnosti, odnosno do okončanja sudskog postupka za zaštitu prijavitelja nepravilnosti.
 
Ključna je odredba da se na obradu osobnih podataka sadržanih u prijavi nepravilnosti primjenjuju propisi kojima se uređuje zaštita osobnih podataka.
 
A što GDPR kaže?
 
Između ostalog da moramo osigurati organizacijsko-tehničke mjere zaštite podataka, odnosno, stvarno se i uskladiti s GDPR-om, osigurati punu povjerljivost osobnih podataka, zaštitu pristupa, ograničenje prava pristupa, osiguranje od bilo koje vrste povrede podataka, bez obzira pohranjivali li dokumentaciju u sigurnosnim ormarima ili računalima.
 
Praktički rečeno, organizacija koja nije osigurala usklađenost s GDPR obvezama nije ni u mogućnosti ispoštivati obveze iz Zakona koji štiti "zvizdače". Nije dovoljno samo donijeti interne Pravilnike o postupku prijave nepravilnosti i zaštite prijavitelja i Pravilnike o zaštiti osobnih podataka.
 
Drugi dio priče o utjecaju GDPR-a na provođenje obveza zaštite "zvizdača" je onaj koji se odnosi na članak 14. GDPR-a i obvezu davanja informacija pojedincu čije osobne podatke sadrži dokumentacija prijave a da taj pojedinac ne zna da je spomenut u prijavi. Tu se mora voditi briga o iznimci iz članka 23. stavka 1. točke (i) GDPR-a, odnosno, o zaštiti ispitanika ili prava i sloboda drugih.
 
Najvažniji aspekt usklađivanja s obvezama je osiguranje tehničkih i organizacijskih mjera zaštite osobnih podataka prijavitelja i ostalih pojedinaca.
 
Da izostanak takvih mjera može završiti i GDPR kaznom pokazuje nam slučaj zračne luke u Bologni koja je kao voditelj obrade kažnjena s 40.000 EUR jer nije osigurala enkripciju podataka u aplikaciji za prijave nepravilnosti niti je provela DPIA postupak procjene rizika na prava i slobode pojedinaca.
 
Iznosom od 20.000 EUR kažnjen je i njezin izvršitelj obrade, odnosno, tvrtka koja je isporučila aplikaciju i održavala je, propustivši dati informaciju voditelju obrade da su još dvije tvrtke podangažirane za održavanje aplikacije.
 
Više detalja ovdje:
 
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_Injunction_order_against_Guglielmo_Marconi_Airport_of_Bologna_Spa_(9685922)&mtc=today
 
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_Order_injunction_against_aiComply_Srl_(9685947)&mtc=today
 
 
 
Photo by www.kanopy .com