U Hrvatskoj je od 01.07.2019. na snazi Zakon o zaštiti prijavitelja nepravilnosti:
 
https://narodne-novine.nn.hr/clanci/sluzbeni/2019_02_17_357.html
 
popularno zvan i "Zakon o zviždačima" donesen s ciljem jačanja svijesti i poticanja građana na prijavljivanje nepravilnosti o kojima imaju saznanja, a povezani su s obavljanjem poslova kod poslodavca.
Ovaj se zakon primjenjuje na sva tijela javne vlasti na središnjoj i lokalnoj razini, na pravne osobe s javnim ovlastima, trgovačka društva u većinskom vlasništvu države ili lokalne jedinice te na sve poslodavce privatnog sektora.
Međutim, par mjeseci nakon stupanja na snagu tog Zakona EU je donijela NOVU Direktivu 2019/1937
 
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32019L1937
 
temeljem koje sve zemlje članice EU moraju donijeti NOVE ZAKONE do 17.12.2021.
 
Tako će morati i Hrvatska.
 
Zašto ovo pišemo?
 
Jer se u novoj Direktivi, pa time i u novom hrvatskom zakonu moraju konkretnije regulirati i obveze u zaštiti osobnih podataka prijavitelja nepravilnosti u skladu s GDPR-om.
 
Stvarnost u Hrvatskoj je trenutno takva da su organizacije u pravilu donijele interne pravilnike o "zviždačima" i imenovale povjerljive osobe, ali nisu u dovoljnoj osigurale i izravnu usklađenost s GDPR obvezama.
 
Novim Zakonom morat će se pri poslodavcima uvesti dodatne obveze osiguranja:
 
- da se prikupljaju isključivo osobni podaci relevantni za prijavu nepravilnosti dok se ostali osobni podaci moraju brisati bez odlaganja
 
- da se pristup izvješćima o nepravilnostima ograniči isključivo na ovlaštene zaposlenike uz striktno definiran autorizacijski koncept
 
- da identitet "zvizdača" mora ostati zaštićen,
 
- da se svim potencijalnim "zviždačima" daju sve informacije o postupanju s osobnim podacima u skladu s člankom 13. GDPR-a i o zaštiti njihovog identiteta
 
- da se ova obrada osobnih podataka uvede u obveznu Evidenciju aktivnosti obrada podataka prema članku 30. GDPR-a
 
- da se sklope Ugovori o obradi podataka iz članka 28. GDPR-a s pružateljima usluga ili sustava koji omogućuju u organizacijama vođenje procesa prijave nepravilnosti
 
- da se osiguraju i dokažu tehničke i organizacijske mjere zaštite osobnih podataka prijavitelja i prijavljenih
 
- da se osiguraju egzaktni rokovi zadržavanja osobnih podataka nakon završetka istraga
 
 
A što GDPR kaže?
Između ostalog da moramo osigurati organizacijsko-tehničke mjere zaštite podataka, odnosno, stvarno se i uskladiti s GDPR-om, osigurati punu povjerljivost osobnih podataka, zaštitu pristupa, ograničenje prava pristupa, osiguranje od bilo koje vrste povrede podataka, bez obzira pohranjivali li dokumentaciju u sigurnosnim ormarima ili računalima.
Praktički rečeno, organizacija koja nije osigurala usklađenost s GDPR obvezama nije ni u mogućnosti ispoštivati obveze iz Zakona koji štiti "zvizdače". Nije dovoljno samo donijeti interne Pravilnike o postupku prijave nepravilnosti i zaštite prijavitelja i Pravilnike o zaštiti osobnih podataka.
Drugi dio priče o utjecaju GDPR-a na provođenje obveza zaštite "zvizdača" je onaj koji se odnosi na članak 14. GDPR-a i obvezu davanja informacija pojedincu čije osobne podatke sadrži dokumentacija prijave a da taj pojedinac ne zna da je spomenut u prijavi. Tu se mora voditi briga o iznimci iz članka 23. stavka 1. točke (i) GDPR-a, odnosno, o zaštiti ispitanika ili prava i sloboda drugih.
Najvažniji aspekt usklađivanja s obvezama je osiguranje tehničkih i organizacijskih mjera zaštite osobnih podataka prijavitelja i ostalih pojedinaca.