Whistleblowing EU

Open-source whistleblowing software (Česko)

Hledáte bezpečnou, etickou platformu pro whistleblowing v souladu se směrnicí EU?

Vyzkoušejte GlobaLeaks, svobodný open-source software navržený k tomu, aby:

Více informací najdete v oficiální dokumentaci.

Dokumentace Demo

Směrnice EU o whistleblowingu

Směrnice EU o ochraně osob oznamujících porušení ukládá organizacím povinnost zřídit bezpečné, důvěrné a právně vyhovující oznamovací kanály.

V České republice směrnici provádí zákon č. 171/2023 Sb. o ochraně oznamovatelů. Povinnost zavést vnitřní oznamovací systém mají veřejné subjekty a soukromé subjekty s alespoň 50 zaměstnanci. Vnější oznamovací kanál spravuje Ministerstvo spravedlnosti.

Právní povinnosti a soulad

Ustanovení Povinnost Jak to GlobaLeaks splňuje
§ 9 odst. 2 písm. a) Zajistit možnost podat oznámení prostřednictvím vnitřního oznamovacího systému písemně i ústně a na žádost oznamovatele osobně. GlobaLeaks poskytuje vyhrazený vnitřní oznamovací systém provozovaný na vlastní infrastruktuře, který přijímá písemná oznámení s přílohami i ústní oznámení prostřednictvím hlasové zprávy. Prostřednictvím zabezpečeného obousměrného kanálu lze na žádost oznamovatele domluvit osobní setkání v přiměřené lhůtě.
§ 9 odst. 1 Určit příslušnou osobu k výkonu činnosti podle zákona, která přijímá a posuzuje oznámení oznamovatele. GlobaLeaks je svobodný software s otevřeným a ověřitelným zdrojovým kódem, který v souladu se zákonem o ochraně oznamovatelů uplatňuje přístup podle zásady need-to-know: k oznámením má přístup výhradně určená příslušná osoba, přičemž šifrování oznámení a příloh zajišťuje, že obsah je nedostupný neoprávněným osobám. Úplná anonymita je možná díky integraci technologie Tor.
§ 9 odst. 2 písm. d) Zajistit, aby se s podanými oznámeními mohla seznamovat pouze příslušná osoba a aby byl dodržen zákaz poskytnutí údajů podle § 20. Systém řízení případů omezuje nakládání s oznámením výlučně na příslušnou osobu; oprávnění jsou udělována podle zásady need-to-know a chráněná totožnost oznamovatele zůstává zachována po celou dobu zpracování.
§ 12 odst. 1 Umožnit oznamovateli podat oznámení písemně nebo ústně; požádá-li o to, umožnit osobní setkání do 14 dnů. GlobaLeaks umožňuje podat oznámení písemnou formou s přílohami i ústní formou (hlasová zpráva) a nabízí možnost osobního setkání. Oznamovatel může vystupovat anonymně nebo důvěrně dle konfigurace a obdrží pro další komunikaci jedinečné potvrzení.
§ 12 odst. 2 Vyrozumět oznamovatele o přijetí oznámení do 7 dnů ode dne jeho přijetí. Ihned po podání systém automaticky vydá potvrzení o přijetí. Obousměrný asynchronní kanál, který zachovává anonymitu, umožňuje příslušné osobě vyrozumět oznamovatele o přijetí ve lhůtě 7 dnů, přičemž časovače a připomínky na řídicím panelu hlídají dodržení této lhůty.
§ 12 odst. 3 Vyrozumět oznamovatele o výsledku posouzení do 30 dnů; tuto lhůtu lze v případech skutkově nebo právně složitých prodloužit až o 30 dnů, nejvýše dvakrát. Řízení případů sleduje zákonné lhůty pomocí termínů, časovačů, připomínek a řídicího panelu, které upozorňují na blížící se konec 30denní lhůty i na její případné dvojí prodloužení. Prostřednictvím obousměrného kanálu, jenž zachovává anonymitu, sdělí příslušná osoba oznamovateli výsledek posouzení.
§ 20 odst. 1 Neposkytnout informace, které by mohly zmařit nebo ohrozit účel podávání oznámení. GlobaLeaks zajišťuje ochranu oznamovatele již od návrhu: neukládá IP adresy, minimalizuje metadata a zabraňuje neoprávněnému přístupu k informacím, které by mohly odhalit totožnost oznamovatele nebo ohrozit účel oznámení.
§ 20 odst. 2 Poskytnout informaci o totožnosti oznamovatele pouze s jeho písemným souhlasem, s výjimkami stanovenými zákonem. Oznamovatel může vystupovat anonymně nebo důvěrně dle konfigurace; jeho totožnost není bez souhlasu přístupná. Řízený obousměrný kanál umožňuje případný souhlas získat, aniž by byla anonymita narušena.
§ 21 odst. 1 Vést v elektronické podobě evidenci údajů o přijatých oznámeních. GlobaLeaks vede úplnou elektronickou evidenci přijatých oznámení v rámci systému řízení případů, doplněnou o auditní log šetrný k soukromí, který zaznamenává úkony bez zásahu do ochrany totožnosti oznamovatele.
§ 21 odst. 2 a 3 Uchovávat oznámení a dokumentaci po dobu 5 let od přijetí a zajistit, aby k evidenci a uchovávaným oznámením měla přístup pouze příslušná osoba. Systém uchovává oznámení a dokumentaci po zákonnou dobu 5 let a přístup omezuje podle zásady need-to-know výlučně na příslušnou osobu, čímž zajišťuje důvěrnost archivovaných záznamů.
§ 20-21 Zpracování osobních údajů v souladu s GDPR, podle zásady minimalizace. Self-hosting, bez komponent třetích stran, bez zaznamenávání IP adres, minimalizace metadat.