Návrh směrnice, která má za cíl tyto povinnosti zavést, byl představen v únoru tohoto roku.[1] Cílem nové úpravy, která je projednávána na půdě Evropské unie, je posílit odpovědnost podniků za nepříznivý dopad činnosti jejich dceřiných společností a dodavatelů na lidská práva a životní prostředí.

Přestože lze v legislativním procesu očekávat důkladnou diskusi, s ohledem na dopady a nejasné body, který tento návrh přináší, je podle našeho názoru vhodné na něj upozornit již nyní. V následujícím článku proto shrnujeme základní principy připravované právní úpravy a blíže rozebíráme poměrně zásadní, a pro praxi ne zcela jasný, přesah, který by návrh znamenal ve vztahu k pravidlům pro zpracování osobních údajů.

Pokračování ESG trendu

Právní a regulatorní požadavky na obchodní společnosti týkající se řešení dopadů jejich činnosti na lidská práva a životní prostředí nejsou na úrovni Evropské unie novinkou. Obvykle se pro takové předpisy používá pojem ESG. E pro environmentální rizika, S pro sociální (společenská) rizika a G pro otázku vnitřního řízení (governance).

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Jedním z prvních předpisů, který se touto otázkou zabýval, je tzv. směrnice o nefinančním reportingu[2]. Právě jí totiž byla do směrnice o účetních závěrkách[3] doplněna povinnost podniků nad 500 zaměstnanců pravidelně zpracovávat také tzv. nefinanční report o činnosti. Obsahem tohoto reportu mají být rovněž informace týkající se environmentálních, sociálních a zaměstnaneckých otázek, dodržování lidských práv a boje proti korupci a úplatkářství v daném podniku, identifikace rizik, jimž daný podnik v těchto oblastech čelí, a shrnutí politik, která pro snížení uvedených rizik přijal. A pokud žádné politiky nepřijal, je podnik povinen vysvětlit, proč tak neučinil.[4]

Směrnice byla do českého práva transponována v rámci zákona č. 563/1991 Sb. , o účetnictví. Část osmá tohoto zákona ukládá povinnosti uvádět informace ve stejném rozsahu, jak to požaduje směrnice, velkým podnikům, tedy obchodním společnostem s více než 500 zaměstnanci, pokud jsou zároveň subjektem veřejného zájmu, případně konsolidující účetní jednotkou veřejného zájmu, která překročí počet 500 zaměstnanců na konsolidovaném základě. Subjekty veřejného zájmu jsou v § 1a tohoto zákona vymezeny jako některé finanční instituce, konkrétně banky, úvěrní družstva, pojišťovny, zajišťovny, penzijní společnosti nebo zdravotní pojišťovny. Další skupinu subjektů veřejného zájmu pak tvoří emitenti investičních cenných papírů přijatých k obchodování na evropském regulovaném trhu. Některé finanční instituce jsou pak povinny řídit ESG rizika a zveřejňovat nefinanční informace i podle jiných právních předpisů.[5]

Rozšíření povinnosti řešit ESG mimo finanční sektor

Nová směrnice rozšiřuje povinnosti v řízení ESG rizik za hranice finančního sektoru. Přesněji lze říci, že povinnosti, které si dále představíme, ukládá všem velkým podnikům bez ohledu na sektor, ve kterém působí. A až následně podnikům menší velikosti v závislosti na sektorech, ve kterých jsou činné. Směrnice se zaměřuje na ověřování a kontrolu toho, jak rizika v této oblasti řídí dodavatelé a dceřiné společnosti daných subjektů. Komise očekává, že se směrnice bude vztahovat na zhruba 13 000 společností z EU a přibližně 4 000 společností ze třetích zemí.

Co návrh nové směrnice konkrétně přináší?

Komise zdůrazňuje nutnost odpovědného chování podniků, které je nezbytné pro přechod na zelenou a klimaticky odpovědnou politiku a ke splnění cílů v oblasti lidských práv. Komise konstatuje, že řada podniků či skupin podniků přijímá v této oblasti dobrovolná opatření, která však, podle Komise, nestačí. Proto je třeba nové regulace, která bude definovat konkrétní povinnosti, jak a proč dodavatele a dceřiné společnosti řídit. Návrh směrnice také stanoví postup pro veřejnoprávní dozor a sankce za porušení pravidel.

Co se podle návrhu směrnice rozumí nepříznivým dopadem na životní prostředí? Směrnice tyto negativní dopady vymezuje odkazem na mezinárodní úmluvy o životním prostředí upravující například využívání biologických zdrojů, zákaz dovozu a vývozu chráněných druhů, nakládání s odpady, využívání některých látek atd.[6]

Nepříznivým dopadem na lidská práva pak směrnice rozumí kupříkladu dopad do práva na život, svobodu a bezpečnost, práva na uspokojivé pracovní podmínky, zákaz dětské práce a nucené práce, svobodu myšlení, svědomí a náboženství nebo ochrany soukromého života, rodiny, domova a korespondence.[7] Odkazuje přitom na Mezinárodní pakt o občanských a politických právech, Mezinárodní pakt o hospodářských, sociálních a kulturních právech a Všeobecnou deklaraci lidských práv, kterou tak fakticky povyšuje na závazný předpis.

Koho chce Komise regulovat?

Návrh směrnice vymezuje tři okruhy subjektů, na které by nová pravidla a povinnosti pro řízení dodavatelů a dceřiných společností měly dopadnout. Jsou to:

1. Obchodní společnosti založené v některém z členských států Evropské unie, pokud měly za poslední účetní období v průměru více než 500 zaměstnanců a čistý celosvětový obrat vyšší než 150 milionů euro.
2. Obchodní společnosti založené v EU, pokud měly za poslední účetní období v průměru více než 250 zaměstnanců a čistý celosvětový obrat vyšší než 40 milionů euro, pokud alespoň polovinu (50 %) z obratu společnost získala v některé z těchto taxativně vymezených odvětví:
   1. Výroba a velkoobchod s textilem, oděvy a obuví
   2. Zemědělství, lesnictví, rybolov, výroba nebo velkoobchod s potravinami nebo zemědělskými produkty
   3. Těžba nerostných surovin, jejich prvotní zpracování a velkoobchod s nimi.
3. Společnosti založené mimo EU, pokud v EU v předposledním účetním období vytvořily čistý obrat vyšší než 150 milionů euro nebo 40 milionů euro, pokud alespoň polovina z druhé uvedené částky dosažena v některém z výše uvedených odvětví (textil, zemědělství a potravinářství, těžba a zpracování surovin).

Jinak řečeno, Komise definuje povinné subjekty kombinací dvou, resp. tří faktorů. Na prvém místě se vždy musí jednat o obchodní společnosti založené v EU nebo působící v EU. Návrh dále stanoví absolutní hranici (počet zaměstnanců či výši obratu), při jejímž překročení by měla být společnost v režimu nové směrnice bez ohledu na oblast činnosti, které se věnuje, a na její potencionální dopad na životní prostředí a lidská práva. Návrh rovněž vymezuje rizikové oblasti činnosti, pro které stanoví výrazně nižší limity, po jejichž dosažení bude daná společnost povinna řídit se novými pravidly pro kontrolu svých dodavatelů a dceřiných společností.

Jaké nové povinnosti směrnice přinese?

Obchodní společnosti vymezené v předchozí části by měly zajistit, aby i jejich dodavatelé a dceřiné společnosti řešili skutečné ale i potenciální nepříznivé dopady svojí činnosti na lidská práva a na životní prostředí.

Jak konkrétně by to měly zajistit? Směrnice upřesňuje, že by proces náležité péče měl zahrnovat šest kroků definovaných v pokynech OECD pro náležitou péči na podporu odpovědného chování podniků. Povinnosti podniků podle směrnice zahrnují tyto kroky:

1. Nastavit a definovat proces, jak nepříznivé dopady svojí činnosti a činnosti svých dodavatelů a dceřiných společností identifikovat a řídit, a začlenit jej do svých politik.
2. Nastavit pravidla pro identifikaci a předcházení negativním vlivům, včetně prověřování a řízení svých dodavatelů[8] a kontroly dceřiných společností, a pro odstranění těch negativních dopadů, které již nastaly.
3. Zavést možnost, aby osoby dotčené nepříznivým dopadem, nevládní organizace a odbory mohly u regulovaných společností proti tomuto jednání podávat stížnosti a aby je společnosti byly povinny řádně prošetřit a vyřídit.[9]
4. Pravidelně hodnotit nastavený proces a v případě identifikace slabin či nedostatků tyto nedostatky odstranit.
5. Za uplynulý kalendářní rok zveřejňovat informace o dodržování pravidel při řízení dodavatelů a dceřiných společností
6. V případě zjištěného nesouladu činnosti dceřiné společnosti nebo dodavatele se stanovenými politikami zajistit nápravu, v krajním případě ukončit svůj smluvní vztah s dotčeným dodavatelem a nenavazovat nové.

Zajištění dodržování těchto pravidel bude patřit k základním povinnostem členů orgánů dotčených obchodních společností v rámci jednání s náležitou péčí.

Vymáhání povinností při řízení dodavatelů a dceřiných společností

Návrh směrnice ukládá členským státům, aby pro dohled nad dodržováním pravidel pro řízení dodavatelů a dceřiných společností určily jeden nebo více dozorových orgánů. Pokud jich bude více, například podle sektorů, pak členský stát musí zajistit, aby měly jasně vymezené působnosti a aby mezi sebou spolupracovaly.

Dozorové úřady by pak měly mít pravomoc přijímat jak předběžná opatření, tak regulovaným subjektům zakázat určitou činnost nebo uložit nápravná opatření. S ohledem na předmět směrnice si lze představit typicky povinnost ukončit spolupráci s konkrétním dodavatelem, změnit interní proces pro řízení dodavatelů a kontrolu dceřiných společností, doplnit smlouvu s určitým subjektem atd.

Dozorové úřady by rovněž měly ukládat finanční sankce. Jejich výše ani rozpětí nejsou v návrhu směrnice vymezeny. Směrnice pouze obecně uvádí, že by tyto sankce měly být účinné, přiměřené a odrazující[10]  a pokud se jedná o peněžité sankce, musí být založeny na obratu dotčené společnosti. S ohledem na výše uvedené limity, resp. velikost společností, které by měly být novou směrnicí regulovány, i na trend určování výše pokut v evropské legislativě, ať už v oblasti hospodářské soutěže, ochrany osobních údajů, boje proti praní špinavých peněz atd., lze podle autorů očekávat stanovení horní hranice možné sankce variantně podílem z obratu dané společnosti nebo případně částkou v řádech milionů či desítek milionů euro opět vázané v horní hranici na obrat.

Návrh směrnice rovněž počítá s tím, že porušení pravidel v oblasti předcházení a řešení negativních dopadů i při činnosti dodavatelů a dceřiných společností bude zakládat soukromoprávní odpovědnost regulovaných subjektů (čl. 22).

Nová směrnice a GDPR

Jedním z práv, jež má směrnice chránit, je také právo na soukromý život, resp. v souladu s článkem 12 Všeobecné deklarace lidských práv[11]  má bránit porušování „zákazu svévolného nebo nezákonného zasahování do soukromého života, rodiny, domova nebo korespondence osoby a útoků na její pověst“. S ohledem na takto vymezenou působnost návrhu samozřejmě vzniká otázka vztahu mezi povinnostmi zaváděnými touto směrnicí a povinnostmi správců a zpracovatelů podle GDPR.

Je přitom třeba předeslat, že právo na soukromí a právo na ochranu osobních údajů jsou v evropském pojetí samostatnými základními právy, byť úzce příbuznými. To vyjadřuje i Listina práv EU, která obě práva definuje odděleně v čl. 7 a čl. 8. Nicméně vztah obou práv není zcela jednoznačně vymezen a zejména právo na soukromí uvedené v čl. 12 Všeobecné deklarace má velmi široký dopad, neboť deklarace byla přijata v době, kdy speciální právo na ochranu osobních údajů ještě nebylo konstituováno. Minimálně pak je právo na soukromí do určité míry širším právem, resp. v řadě případů nezákonné zpracování osobních údajů povede taktéž k zásahu do soukromí.

Bude se aplikovat GDPR a nová směrnice zároveň?

V praxi tak jistě bude nutné vyřešit dopad návrhu směrnice na povinnosti stanovené v GDPR. V této souvislosti vzniká řada otázek, které bude muset praxe vyřešit.

Prvním problémem bude samotné rozhraní mezi směrnicí a GDPR. Podle čl. 1 odst. 1 návrhu směrnice platí, že směrnicí „... nejsou dotčeny povinnosti v oblasti lidských práv, ochrany životního prostředí a změny klimatu vyplývající z jiných legislativních aktů Unie. Jsou-li ustanovení této směrnice v rozporu s ustanovením jiného legislativního aktu Unie, který sleduje stejné cíle a stanoví širší nebo konkrétnější povinnosti, ustanovení tohoto jiného legislativního aktu Unie mají v rozsahu příslušného rozporu přednost a použijí se na tyto konkrétní povinnosti.“

Z tohoto pravidla lze dovodit, že tam, kde se přímo uplatňuje GDPR, bude mít před novou směrnicí aplikační přednost. Tak tomu bude zejména v rámci činnosti dotčených obchodních společností, pokud budou samy zpracovávat osobní údaje, dále ve vztazích mezi správci a zpracovateli ve smyslu čl. 28 GDPR a pravděpodobně i společnými správci ve smyslu čl. 29 GDPR.

Problémem ovšem může být výrazně širší věcná působnost směrnice. Pokud pro zjednodušení pomineme problematiku dceřiných společností, směrnice se i tak má totiž vztahovat na ochranu základních práv u dodavatelů v rámci tzv. zavedených obchodních vztahů, pokud souvisejí s tzv. hodnotovými řetězci. Hodnotovým řetězcem se přitom podle čl. 3 písm. g) směrnice rozumí zejména „činnosti související s výrobou zboží nebo poskytováním služeb ze strany společnosti, včetně vývoje výrobku nebo služby a používání a likvidace výrobku, jakož i související činnosti v rámci zavedených obchodních vztahů společnosti v předcházející či následující fázi dodavatelského a odběratelského řetězce...“[12]. Jinými slovy, i pokud samotná obchodní společnost, na niž budou primárně povinnosti podle směrnice dopadat, nebude v postavení správce osobních údajů zpracovávaných jejím dodavatelem, pokud v souvislosti s jí produkovanými výrobky či službami bude k takovému zpracování docházet, bude pravděpodobně i tak muset řešit vliv tohoto zpracování osobních údajů na soukromí dotčených osob. 

Dalším případem, kdy bude nutné zvažovat aplikaci směrnice, bude mitigace rizik formou uzavírání smluv přímo mezi dotčenou obchodní společností (v logice GDPR např. správcem osobních údajů) s tzv. obchodním partnerem, s nímž má společnost nepřímý vztah (v logice GDPR např. tzv. podzpracovatelem osobních údajů případně zpracovatele působícím pro jiného společného správce). To předpokládá např.  čl. 7 odst. 3 či čl. 8 odst. 4 směrnice.

Je samozřejmě možné nalézt i argumenty proti výše uvedenému rozšířenému dopadu směrnice na vztahy zpracování osobních údajů, které by byly založeny buď na argumentaci jiným předmětem ochrany (tedy výše zmíněným právem na soukromí v. právem na ochranu osobních údajů) či nutnosti použití výlučně GDPR jako lex specialis. Je ovšem třeba zdůraznit, že s ohledem na široce koncipovaný dopad směrnice existuje podle našeho názoru značné riziko, že směrnici bude nutné podpůrně použít v celé řadě případů otázek zpracování osobních údajů, a to souběžně či vedle GDPR, tak, jak je naznačeno výše a pouze dodržování pravidel řízení dodavatelů (zpracovatelů) podle GDPR nebude dostačovat.

Jak identifikovat rizika pro soukromí?

Směrnice se však v praxi může projevovat i jinak. Podle čl. 6 odst. 1 návrhu totiž členské státy zajistí, aby společnosti přijaly vhodná opatření k identifikaci skutečných a potenciálních nepříznivých dopadů na lidská práva a nepříznivých dopadů na životní prostředí vyplývajících z jejich vlastních činností nebo činností jejich dceřiných společností, a pokud souvisejí s jejich hodnotovými řetězci, i z jejich zavedených obchodních vztahů.

Podle našeho názoru tam, kde obchodní společnost provedla posouzení vlivu na ochranu osobních údajů ve smyslu čl. 35 a násl. GDPR, nebude již povinna dotčené zpracování dále posuzovat. To vyplývá i z toho, že posouzení vlivu podle GDPR bude obvykle prováděno v mnohem větším detailu, než posouzení rizik podle čl. 6 směrnice. Nicméně v oblastech (tzv. ve vztahu ke zpracováním osobních údajů), kde správce nebyl povinen posouzení vlivu ve smyslu GDPR provádět, protože nebyly splněny předpoklady podle GDPR, zamýšlené zpracování byly vyhodnocení jako nízkorizikové, již bude nutné provedení posouzení rizik ve smyslu čl. 6 směrnice.

Rovněž tak budou správci povinni začlenit náležitou péči do svých politik ve smyslu čl. 5 směrnice. I když pravděpodobně ohledně zpracování osobních údajů prováděným dotčenou společností či jejími zpracovateli bude postačovat odkázat na existující vnitřní předpisy připravené podle GDPR, ve smyslu čl. 5 odst. 1 písm. c) směrnice bude nutné zahrnout do takových politik i zpracování údajů v rámci zavedených obchodních vztahů, resp. rozšíření kodexu chování dotčené obchodní společnosti na takové vztahy. Směrnice navíc vyžaduje každoroční aktualizaci příslušných dokumentů.

Zavede směrnice občanskoprávní odpovědnost za činnost dodavatelů?

Zcela samostatnou kapitolou jsou pak nová pravidla týkající se občanskoprávní odpovědnosti za činnost dodavatelů a dceřiných společností ve smyslu čl. 22 návrhu. Lze očekávat, že se bude jednat o jedno z nejvíce kontroverzních témat při projednávání návrhu směrnice.

Podle čl. 22 jsou členské státy povinny zajistit, aby obchodní společnosti nesly odpovědnost za škody, pokud:

1. nesplnily povinnosti stanovené v článcích 7 a 8 směrnice (předcházení, resp. řešení negativních dopadů jejich činnosti a činnosti jejich dodavatelů a dceřiných společností),
2. v důsledku tohoto nesplnění došlo ke vzniku nepříznivého dopadu, u něhož se měla provést vhodná opatření stanovená v článcích 7 a 8 k jeho identifikaci, prevenci, zmírnění či odstranění nebo minimalizaci jeho rozsahu a
3. tento dopad vedl ke vzniku škody.

Čl. 22 odst. 2 sice do jisté míry zmírňuje dopad prvního odstavce v případě tzv. nepřímých obchodních partnerů, ale zdaleka jej zcela nevylučuje. Čl. 22 tak, jak byl Komisí navržen, může vést k „importu“ odpovědnosti za porušování základních práv ve třetích zemích do EU vůči obchodním společnostem zde usazeným, které od daného „porušovatele“ odebírají některé subdodávky.

Zda je to politicky a hospodářsky správné, to samozřejmě záleží na úhlu pohledu. Z hlediska dotčených obchodních společností se jedná o nové velké riziko pro jejich podnikání, navíc v praxi při realistickém pohledu na věc těžko ovlivnitelné. Z hlediska GDPR pak bude důležité správně určit vztah mezi tímto novým odpovědnostním nástrojem a pravidly pro náhradu újmy a odpovědnost podle čl. 82 GDPR. V praxi by totiž mohlo dojít i k tomu, že zatímco společnost jako správce osobních údajů by za dané porušení provedené jejím nepřímým partnerem (který nebude v postavení zpracovatele osobních údajů) odpovědná nebyla, bude možné založit její odpovědnost právě na čl. 22 směrnice v důsledku nedostatku provedených mitigačních opatření.

Otázkou bude také případná duplikace správních sankcí v případě, kdy společnost bude správcem osobních údajů a porušující partner zpracovatelem, a oba tak budou tak podléhat sankčnímu mechanismu podle GDPR. Pokud by zároveň došlo k porušení povinností podle návrhu směrnice, bude nutné zkoumat, zda je možné uložit sankci podle obou předpisů.

Rovněž v oblasti sankcí a občanskoprávní odpovědnosti tak směrnice nastoluje celou řadu otázek, které nebude jednoduché odpovědět.

Mnoho otázek, málo odpovědí

Nová směrnice o náležité péči podniků v oblasti udržitelnosti bude znamenat revoluci v pojetí odpovědnosti podniků za dodržování lidských práv a ochranu klimatu. Evropská unie a členské státy jejím prostřednictvím budou na obchodní společnosti přenášet řadu povinností, které dosud v obecném pojetí stíhaly pouze členské státy a které měly být realizovány prostřednictvím zákazů a příkazů v právních předpisech. Obchodní společnosti tak budou odpovědné za zajištění lidskoprávních a politických požadavků EU ve vztahu ke svým dodavatelům a dceřiným společnostem působícím kdekoliv na světě. A to pod hrozbou značných sankcí.

Důsledkem směrnice tak bude „vývoz“ evropského pojetí lidských práv a ochrany klimatu do třetích zemí. 

Odvrácenou stranou může být potenciální snížení konkurenceschopnosti evropského průmyslu a služeb v zahraniční konkurenci. Mohlo by to nastat nejen ve vztahu ke státům, které vůbec nedodržují základní katalogy lidských práv jako je Všeobecní deklarace lidských práv, ale i ke státům, které zastávají jiné pojetí těchto práv či kladou důraz na jejich jiné aspekty.

Mgr. František Nonnemann,
konzultant v oblasti compliance a řízení rizik zejména ve finančním sektoru, člen Výboru Spolku pro ochranu osobních údajů

JUDr. Vladan Rámiš, Ph.D.,
ředitel právního úseku mediální skupiny mafra, předseda Výboru Spolku pro ochranu osobních údajů