GDPR Inštitút

GDPR Inštitút

Share

Nedovolíme aby ste za GDPR agendu len zaplatili a zároveň jej aj neporozumeli. V cene Vás aj kvalitne vyškolíme. Zodpovednej osoby

31/05/2021

Štát od Vás totiž chce povinnú investíciu do nového interného procesu a dokumentácie, aby Vaši Snowdenovia mohli bezpečne nahlasovať protispoločenskú činnosť vo firme. O čo ide, ako sa na to pripraviť a ešte aj ušetriť?

Národná rada dňa 5. 2. 2021 zvolila prvého predsedu Úradu na ochranu oznamovateľov protispoločenskej činnosti, ktorým sa stala Mgr. Zuzana Dlugošová. Trvalo to takmer dvoch rokoch odkedy NR SR schválila zákon č. 54/2019 Z.z. o ochrane oznamovateľov protispoločenskej činnosti, ktorým bol Úrad formálne zriadený. Trvalo to síce dlho, ale jej vymenovaním nám dal štát všetkým signál, že to začína brať vážne a mali by sme to brať vážne už aj my.

Pre Vašu firemnú bezpečnosť je dôležité vedieť, že musíte byť zo zákona v súlade nie len s nariadením GDPR a aj s novou EÚ smernicou č. 2019/1937 o ochrane oznamovateľov protispoločenskej činnosti (tkz. whistleblowerov), ktorá vstúpi čo nevidieť do platnosti. Dobrou správou je, že mám pre Vás efektívne a synergické riešenie. Ste ale pripravení na „nové“ povinnosti?

Ide o zákonnú ochranu tkz. whistleblowerov a ich blízkych osôb. Sú to ľudia, čo tkz. „zapískajú na píšťalke“ ako varovanie tam, kde vidia, že sa deje niečo nekalé. A to varovanie by mali počuť kompetentní ľudia a urobiť nápravu.

Kto je Whistleblower?

Whistleblower je teda osoba, ktorá prinesie dôkaz o podvode, rozkrádaní, úplatkov, zneužitia moci či postavenia a vplyvu, netransparentného verejného obstarávania, týrania, šikanovania napr. politikov, vedúcich aj obyčajných pracovníkov firiem, ich prípadné prepojenie s podsvetím atď.

Ktoré spoločnosti sa musia na nový zákon pripraviť?

K tomu je potrebné, aby povinné organizácie/firmy s počtom 25 a viac zamestnancov mali administratívne a organizačne ošetrené kroky vedúce k náprave stavu a mali pripravený aj interný systém pre prijímanie a vybavovanie takýchto oznámení. Mali by vedieť efektívne zabrániť aj odvetným opatreniam proti oznamovateľovi, ako napr. ukončením pracovného pomeru, znížením platu alebo mzdy, disciplinárnym trestom, preložením na iné pracovné miesto a pod.

Kľúčové aktivity implementácie.

1. vymenovať whistleblowing Zodpovednú osobu (niečo podobné ako DPO pri nariadení GDPR)

2. nastaviť a riadne zdokumentovať interné whistleblowing procesy a celý proces opísať (zvyčajne v internej smernici),

3. zaviesť evidenciu oznámení a spôsobu ich prešetrenia,
spracovať písomnú informáciu pre zamestnancov (informačná povinnosť)

4. pripraviť šablóny pre ďalšie kroky, pri ktorých to zákon bude požadovať.

5. zmapovať oblasti, pre ktoré je povinnosť zaviesť interný whistleblowing kanál

6. zdokumentovať proces pre zabránenie odvetným opatreniam voči svojim whistleblowerom

7. schopnosť doložiť splnenie whistleblowing požiadaviek

Ak už zamestnávateľ podobnú dokumentáciu podľa Starého zákona o whistleblowingu má, tak je potrebné, aby ju správne aktualizoval. Ak ešte zamestnávateľ žiadnu takúto dokumentáciu nemá, tak je potrebná príprava novej kompletnej dokumentácie, a to bezodkladne.

Akých segmentov sa to týka.

Smernica naznačuje aj segmenty podnikania a aktivít, ktoré sa s týmto nariadením musia vysporiadať. Týka sa Vás to ak, sa venujete:

ochrane osobných údajov (GDPR), ochrane životného prostredia, vnútorného poriadku a bezpečnosti, života a zdravia, rovnako tiež ochrane súkromia v elektronických komunikáciách (e-Privacy), ochrane hospodárskej súťaže, verejného obstarávania a verejných dražieb, ochrane spotrebiteľa vrátane špecifických požiadaviek na rôzne skupiny výrobkov a pod. Tejto povinnosti nebudú zbavené ani aktivity poskytovania finančných služieb vrátane plnenia povinností pri predchádzaní legalizácie príjmov z trestnej činnosti či financovaniu terorizmu (AML), vedenie databázy svojich klientov alebo zamestnancov, posielanie elektronických obchodných oznámení, poskytovanie finančných služieb, predávanie špecifických výrobkov spotrebiteľom, zadávaním alebo sa zúčastňovaním sa verejných zákaziek?

Oznamovatelia budú môcť svoje podozrenia tiež zverejniť a v niektorých prípadoch budú aj tak podliehať zákonnej ochrane pred odvetnými opatreniami. Zamestnávateľ teda bude musieť vo svojich interných postupoch myslieť aj na to, aby jej rokovania s takýmto oznamovateľom nemohlo byť chápané ako odplata za zverejnenie whistleblowing oznámenia.

Riziko sankcií v podobe pokuty sa pohybuje až do 5% z čistého obratu za posledné účtovné obdobie.

Povinnosť ustanoviť vo firme Zodpovednú osobu.

Firmy sú povinné ustanoviť tkz. Zodpovednú osobu podobne ako je to aj pri GDPR (pri splnení zákonných podmienok). Táto Zodpovedná osoba bude mať silné postavenie. Oznámenia bude preverovať samostatne a bez pokynov vedenia zamestnávateľa či firmy a bude zodpovedná za komunikáciu s oznamovateľmi a aj za evidenciu všetkých prešetrovaných prípadov. To postavenie a úloha je do veľkej miery podobné, ako je tomu aj u poverenej Zodpovednej osoby pre ochranu osobných údajov, tkz. DPO / Data Protection Officer.

V ich postavení a aj v agende však nájdeme aj rozdiely. Whistleblowing Officer bude napríklad za výkon svojich kompetencií osobne zodpovedný, čo DPO nie je. V prípade, keď oznámenia riadne nepreskúma a nenahlási alebo neoprávnene prezradí identitu oznamovateľa, bude priamo on môcť dostať pokutu. Pri DPO (ako externý subjekt) je možné požadovať len úhradu škôd spôsobených svojou podnikateľskou činnosťou a aj to často len súdnou cestou.

Množstvo rovnakých alebo podobných rysov nájdeme aj v ich zaradení do štruktúry organizácie, činností, ktoré majú vykonávať, či požiadaviek na nezávislosť. Obidvaja takisto využijú skúsenosti s riadením rizík, compliance management systémom či zavádzaním ISO noriem.

Je tu ale aj dobrá správa. Medzi Whistlebowing a GDPR procesmi je úžasná synergia, ktorú môžete využiť vo svoj prospech. Je teda možné a aj vhodné túto agendu zveriť už osvedčenému DPO (Data Protection Officer), ktorý organizáciu a interné procesy pozná, má dôveru vedenia aj zamestnancov a dokáže novú agendu prešetrovania oznámenia o možnom porušení predpisov vhodne skĺbiť so svojou činnosťou poverenca pre ochranu osobných údajov.

Výhody.

Aj z pohľadu povinnej spoločnosti by sa jednalo o riešenie jednoznačne najefektívnejšie. Nevyžadovalo by to totiž náklady navyše na vyhľadanie nového zamestnanca a DPO by svoju novú úlohu Whistleblowing Officera mohol začať vykonávať prakticky ihneď po nevyhnutnom zaškolení.

Nevýhody.

Nevýhodou takéhoto riešenia je povinnosť zamestnávateľa zabezpečiť, aby žiadna z úloh a povinností tejto internej zodpovednej osoby v zmysle Zákona o whistleblowingu neviedla ku konfliktu záujmov, čo nemusí byť až také jednoduché ako sa zdá. Hlavne ak nemožno predpokladať, čoho sa budú podané oznámenia týkať, je pri internom subjekte riziko, že sa do konfliktu záujmu môže dostať, a to napríklad v súvislosti s inou pozíciou, ktorú v spoločnosti vykonával, alebo vykonáva. Ale riešiť sa to dá, keď sa chce.

Ak sa už zamestnávateľ rozhodne pre internú osobu, tak Zodpovednou osobou na preverovanie prijatých oznámení, a tiež poskytovania poradenstva, môže byť napr. osoba (zamestnanec, štatutárny orgán alebo jeho člen) alebo organizačná zložka spoločnosti – tzv. interný subjekt,

Môže to byť ale aj externý subjekt na základe zmluvy (napríklad kvalifikovaná osoba či advokátska kancelária a pod.). Zákon o Whistleblowingu konkretizuje zodpovednú osobu len pre obce a vyššie územné celky, kde zodpovednou osobou má byť hlavný kontrolór.

Vymenovanie externého subjektu ako zodpovednej osoby pre oblasť whistleblowingu, na jednej strane umožňuje oznamovateľom obrátiť sa na subjekt stojaci mimo „štruktúry“ spoločnosti a na strane druhej zabezpečuje odbornosť vykonávania aplikačnej a právnej praxe v tejto oblasti. Externá zodpovedná osoba sa tak môže stať aj externým príjemcom oznámení, o ktorom budú informovaní všetci potenciálni oznamovatelia.

06/04/2021

Vraj budovanie právneho štátu trvá minimálne 400 rokov. Tvrdí to bývalý anglický premiér Gordon Brown. Výmena vlády nikdy právny štát nikde nepriniesla. Jednak trvá mnoho rokov, kým spoločenské inštitúcie a organizácie a štátne orgány, systém vzdelávania a pod., fungujú ako majú a sú už v spoločnosti pevne zakorenené, ale zároveň je to aj o mysliach ľudí chcieť prijať určitý systém ako normu spolužitia.

Návrh zákona o tom, aby štát mohol nahliadať na zostatky financií na bankových účtoch všetkých ľudí bez rozdielu, je toho len dôkazom. Príchod Matoviča je síce dobrým predpokladom, aby sa potrestali neprávosti z minulosti, ale neznamená to začiatok právneho štátu, tak ako ho poznáme z niektorých západných krajín.

Ešte dokážem (s ťažkosťami) pochopiť, keď sa zákon poruší omylom a hneď sa to aj napraví, ale pripravovať zákon s vedomím, že porušujem niekoľko zákonných predpisov, to chce už úplnu ignoranciu právneho štátu alebo amaterizmus zakorenený až v DNA.

Porušenie „nariadenia GDPR“ je hneď prvé čo ma napadne. To hovorí jasne, že prevádzkovateľ môže spracúvať osobné údaje iba v nevyhnutnom rozsahu. Hovorí sa tomu zásada minimalizácie spracúvania. Nič také ako preventívne spracúvanie osobných údajov dovolené nie je. Aspoň nie v tomto kontexte. Tento návrh zákona je však o preventívnom spracúvaní. A to už nehovorím o účele spracúvania. Ten sa nedá obhájiť aj keby ohýbali logiku a náš právny systém doslova hydraulikou. Ak by systém fungoval tak ako v iných krajinách EÚ, mohol by sa štát dožadovať len informácií iba ku konkrétnemu účtu a ku konkrétnej osobe, ktorá je vyšetrovaná. Ste teda vyšetrovaní? Nie, nie ste. Takže?

Tiež si neviem ani predstaviť povinnú štúdiu DPIA, čo je štúdia o dopade takéhoto spracúvania na slobody a práva dotknutých osôb, nevyhnutnosť takéhoto spracúvania, možné menej invazívne alternatívy a pod. Táto štúdia by to jednoducho neobhájila.

Trochu mimo môj obor je aj uplatňovanie zásady „Praesumptio boni viri“, známe aj pod pojmom "prezumpcia neviny". V doslovnom preklade znamená "predpokladanie dobrého človeka". Jej podstata spočíva v prihliadaní na osobu podozrivú zo spáchania protiprávneho konania ako na nevinnú až do okamihu spoľahlivého preukázania viny. Tento návrh však na všetkých obyvateľov automaticky pozerá ako na podozrivých, voči ktorým musí konať preventívne.

Pýtal sa tiež niekto na zákon o Ochrane súkromia, Bankový zákon a Ústavu?

Pritom SR už má zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu. Jeho hlavným cieľom je zabraňovať tzv. „praniu špinavých peňazí“. Ide o Anti-Money-Loundering, skrátene AML. Všetko čo štát k prevencii potrebuje je obsiahnuté už v ňom. Pre nedostatok priestoru ho tu nebudem rozpisovať, ale je primerane obsažný a efektívny, keď sa s ním chce pracovať profesionálne.

02/02/2021

Keď sa v závode zabudne kto skutočne tvorí hodnoty, tak HR manager často supluje povinnosti iných.

Mal som obchodné stretnutie v drevospracujúcom závode. Aj v tomto prípade bola témou možná spolupráca, kde som mal pôsobiť ako HR interim manager. Mal som okrem iného zlepšiť lojalitu k firme, disciplínu, lepšiu komunikáciu medzi výrobou a managementom, odbúrať konflikty medzi nimi, ... .

Som teda vo výrobe a čo vidím? Jedálňa je spojená so šatňou spolu so všetkými tými pachmi spotených tiel a vyzutej obuvi (dobrú chuť). Zamestnanci odomňa odvracajú pohľad. Nekomunikujú a na otázku odpovedia mávnutím rúk. V ďalšej hale huláka manager. Zdvíhacie stoly v halách pomáhajúce prenášať ľudom ťažké dosky fungujú len z jednej tretiny. Čaká sa 1 mesiac na náhradné diely. VZV ukladajú materiál ďaleko od miesta spracovania. O vizuálnom managemente a ergonómii vo výrobe ani chýru. Podlaha pod nohami je čistá, ale to čo je nad hlavami je plné prachu (stroje, trubky, prechodové mostíky, ...). Vzduchotechnika funguje na 50%, pretože filtre ucpané a nečistia sa pravidelne. Nechal som sa vyzdvihnúť pod strechu a katastrofa. Nosné konštrukcie neboli čistené od založenia firmy, čiže 20 rokov. Závod na to nemá zaškolených ľudí a vhodnú čistiacu techniku. Podklady BOZP sú neobsažné. Výsledky testov ovzdušia sa nedajú nájsť. Ale vraj sú.

Je naozaj úlohou HR managementu toto všetko ošetriť? Z môjho pohľadu áno, ak si to nevšíma ten, kto to má mať naozaj na starosti.

A čo tu robí vlastne interné HR oddelenie? Vo výrobe ich nikto nikdy nevidel. Aha, po rozhovore zisťujem, že robia nekonečný recruitment, pretože mesačne musia prijať 100 ľudí a 120 im aj odchádza. A to je fakt časová drina. Na HR prácu s ľuďmi im logicky neostáva čas. Kto tu vôbec tmelí teda vzťahy medzi „modrými“ a „bielymi“ goliermi?

Aký je teda postup? Tu vôbec netreba začať riešiť ľudí pri „páse“. Tu treba riešiť ich managerov. Majstrov a riaditeľa výroby či závodu. Ako môžu chcieť od ľudí, aby pre závod položili život, keď im závod nedokáže zabezpečiť ani základne podmienky k práci?

Toto je jeden z príkladov keď sa zabúda kto tvorí hodnoty a kto je tu pre koho. Vo výrobe sa generujú hodnoty. Nikde inde. Nás úradníkov živia ľudia z výroby, nie naopak. Kancelárie sú servisom a službou pre výrobu. Platí to aj pre HR. Mať na dverách teda vyvesený oznam o úradných hodiny iba 2 krát denne na 4 hodiny je nonsens. Je to však prejavom absencie dobrého systému a procesov.

Úlohou interim managera je s týmito základnými neduhmi urobiť rýchly poriadok. Jeho výhoda je v tom, že sa nemusí nikomu doprosovať a zaliečať, či obávať sa o stoličku. Je láskavou a starostlivou mamou tam kde to treba a nahnevaným otcom, kde to treba ešte viac. Preto sa môže viac zamerať na potrebu robit zmeny zhora. Práve tam, kde si myslia, že ich treba robiť zdola.

Want your school to be the top-listed School/college in Nitra?
Click here to claim your Sponsored Listing.

Telephone

Website

Address


Nitra