Stávající systémy oznamování protiprávních jednání ve světle chystané právní úpravy
Mnohé společnosti, bez ohledu na dosavadní absenci komplexní právní úpravy ochrany oznamovatelů[1], již mají v rámci compliance procesů dlouhou dobu zavedeny kanály, kterými mohou nejen jejich zaměstnanci oznamovat případné podezření na protiprávní jednání v rámci společnosti.
Projednávaný návrh zákona o ochraně oznamovatelů, který Česká republika musí do konce roku přijmout v důsledku implementace evropských směrnic, ovšem stanoví na systémy oznamování protiprávních jednání mnohé formální požadavky.
V tomto článku se tedy zaměříme na otázku, nakolik této nové právní úpravě musí věnovat pozornost i společnosti, které již mají zavedeny oznamovací systémy pro whistleblowery, a co v těchto již zavedených systémech budou muset případně upravit, spadnou-li do okruhu subjektů, které si podle nové právní úpravy budou povinny zřídit vnitřní oznamovací systém.
Přijetí oznámení
V současnosti lze u většiny systémů pro oznamování protiprávních jednání podat oznámení na specifickou e-mailovou adresu, případně prostřednictvím webového rozhraní. Naopak méně časté je podávání formou telefonické linky či dokonce na osobním setkání či poštou.
Navrhovaný zákon o ochraně oznamovatelů ale vyžaduje, aby povinný subjekt zajistil, že oznamovatel může podat oznámení prostřednictvím vnitřního oznamovacího systému písemně i ústně, a na žádost oznamovatele i osobně. Prakticky to znamená, že si již dále nebude možné vystačit jen s e-mailovou schránkou či webovým rozhraním.
Povinný subjekt tak bude muset umožnit alespoň jeden způsob písemného podání oznámení (tj. na e-mail, poštou či prostřednictvím webového rozhraní), jeden způsob ústního podání (nejčastěji telefonní linka) a také možnost osobního setkání s příslušnou osobou.
Pro většinu povinných subjektů tak bude nová právní úprava znamenat nutnost u stávajících systémů pro oznamování protiprávních jednání rozšířit kanály, kterými bude možné učinit oznámení.
Mlčenlivost a ochrana totožnosti oznamovatele
Dosavadní systémy pro oznamování protiprávních jednání se samozřejmě vždy do jisté míry snažily chránit totožnost podatele oznámení, na druhou stranu administrace agendy prošetřování podaných oznámení je obvykle prováděna v rámci běžných nástrojů dostupných ve společnosti (např. e-mailový server, společné úložiště souborů), resp. běží na infrastruktuře společnosti způsobem, kdy k podáním může mít přístup sice omezený, ale stále širší okruh osob, než jsou osoby pověřené přijímáním a zpracováním těchto oznámení.
Je dobré pamatovat, že tato povinnost se vztáhne nejen na komunikační kanály (tj. např. správu e-mailové adresy či telefonní linky určené pro podání oznámení), ale i na správu jednotlivých podání (tedy i na databáze systému určeného ke správě oznámení).
Navrhovaná právní úprava stanoví poměrně explicitní požadavky na zajištění mlčenlivosti. Zejména pak stanoví, že povinný subjekt musí zajistit, aby se s podanými oznámeními mohla seznamovat výlučně pověřená osoba a aby nebyla vyzrazena totožnost oznamovatele.
Může tak být poněkud problematické výše uvedené zajistit v případě, kdy ke komunikaci je využíván standardní e-mailový server spravovaný povinnou osobou, kde nelze zcela jednoznačně zajistit, že k oznámení tak nebude mít přístup žádná jiná než pověřená osoba (např. správce serveru, datoví analytici, správci databází, IT podpora, administrativa telefonických linek, zaměstnanci podatelny atd.). [2]
Stejné pak platí pro používaná úložiště souborů, kde se mimo výše uvedený problém bude nutné zamyslet v případě cloudových řešení také nad tím, kam jsou data reálně ukládána a zda jsou v rámci tohoto úložiště dostatečně zabezpečena proti neoprávněnému přístupu. Je nezbytné pamatovat na to, že pravidla jsou aktuálním návrhem zákona nastavena přísněji než u nařízení GDPR, a proto nebude možné se spolehnout pouze na balanční testy a dopadové analýzy zpracované právě v rámci GDPR.
Výše uvedené tak pravděpodobně povede k nutnosti přijmout u stávajících systémů na oznamování protiprávních jednání dodatečná technicko-organizační a bezpečnostní opatření (a to i v rámci outsourcingu), aby byla zajištěna ochrana totožnosti oznamovatelů a důvěrnost učiněných podání.
Pověření příslušné osoby
V rámci stávajících systémů pro oznamování protiprávních jednání není obvykle určen pevný okruh osob, které se budou prověřováním došlých oznámení zabývat. Ve středně velkých společnostech tato úloha padá na právní či personální oddělení, kde se osoba řešící dané oznámení obvykle určí ad hoc dle zaměření oznámení či aktuální pracovní vytíženosti jednotlivých osob. Jen velké společnosti obvykle mívají pozici „compliance officera“, do jehož pracovní náplně právě obvykle spadá také prověřování oznámení na možná protiprávní jednání.
Navrhovaná právní úprava již jednoznačně vyžaduje pověření konkrétní osoby či osob, které budou provádět prověřování došlých oznámení, tzv. příslušná osoba. Podle našeho názoru se může jednat i o více osob, např. i celé oddělení, aby byla zajištěna zastupitelnost v případě dovolené či nemoci a bylo možné případná oznámení vyřídit včas (viz níže).
Na rozdíl od dosavadní role osoby určené k prošetření oznámení, obvykle v rámci pracovních povinností, je role příslušné osoby podstatně náročnější, a navíc tato osoba je za výkon této činnosti osobně odpovědná, jelikož ji mohou být v případě porušení zákonných povinností ukládány poměrně vysoké sankce. Nehledě na to, že příslušná osoba bude moci jen omezeně využívat služeb podpůrného personálu v rámci organizace, jelikož nesmí jiné osobě (která není příslušnou osobou) umožnit se seznámit s oznámením či totožností oznamovatele.
Totožnost příslušné osoby či osob také musí být zveřejněna, a to nejlépe na internetových stránkách dané společnosti (způsobem umožňujícím dálkový přístup), včetně uvedení telefonního a e-mailového či jiného kontaktu na danou osobu.
U stávajících systémů pro oznamování protiprávních jednání tak bude nutné specificky určit osobu či osoby, které budou jako příslušné osoby řešit přijatá oznámení a tuto skutečnost také zveřejnit.
Nezbytné je rovněž pamatovat na požadavek nezávislosti, resp. nestrannosti osob určených k prošetření oznámení. Zejména ve společnostech, kde přijaté interní stížnosti rutinně prošetřují zaměstnanci personálních útvarů, může existovat riziko střetu zájmů – namítané protiprávní jednání se totiž může týkat právě povinností personálního úseku. V takovém případě bude vhodné pro potřeby přijímání a investigací oznámení určit příslušné osoby, u kterých zájmy chráněné návrhem zákona takto nekolidují s jejich běžnou pracovní náplní.
Lhůty k vyřízení oznámení
Stávající systémy oznamování protiprávních jednání obvykle určitým způsobem upravují doby, v rámci kterých by mělo být oznámení prošetřeno. S porušením takto stanovených dob šetření, ke kterým může často docházet např. při rozsáhlejších absencích či se složitějších případech, ovšem nejsou spojeny žádné přímé sankce.
Naproti tomu navrhovaný zákon o ochraně oznamovatelů upravuje poměrně velké množství lhůt, které je potřeba po obdržení oznámení naplnit. Nesplnění těchto lhůt pak může být postiženo i pokutou uloženou příslušné osobě.
Příslušná osoba je dle navrhovaného zákona povinna:
- při žádosti oznamovatele přijmout oznámení osobně v přiměřené lhůtě, nejdéle však do 30 dnů
- vyrozumět oznamovatele do 7 dnů od přijetí oznámení
- posoudit oznámení a vyrozumět oznamovatele o výsledcích posouzení do 30 dnů (lze prodloužit dvakrát o 30 dnů)
U mnoha dalších úkonů pak zákon příslušné osobě stanoví obecnou lhůtu „bez zbytečného odkladu“, např. v případě vyrozumění, že podání nelze považovat za oznámení ve smyslu zákona nebo vyrozumění o tom, že nebylo shledáno podezření na protiprávní jednání.
V rámci stávajících systémů pro oznamování protiprávních jednání tak bude nutné aktualizovat či doplnit lhůty pro realizaci jednotlivých kroků tak, aby byly v souladu s navrhovanou právní úpravou. Nedodržení zákonných lhůt totiž může vést také k sankci uložení přímo samotné příslušné osobě.
Přestupky a sankce
V případě stávajících systémů pro oznamování protiprávních jednání mělo případné porušení stanovených pravidel jen velmi malé faktické následky, maximálně ve formě disciplinární odpovědnosti daného zaměstnance, který určitým způsobem stanovená pravidla porušil.
Návrh zákona o ochraně oznamovatelů nicméně počítá s velkým množstvím přestupků, kterých se může dopustit jak povinný subjekt, tak samotná příslušná osoba. Přestupku se může dopustit také oznamovatel v případě, že podá oznámení, které je vědomě nepravdivé.
Povinný subjekt se dopustí přestupku zejména v případech, že nezřídí vnitřní oznamovací systém, neurčí příslušnou osobu, nezajistí zveřejnění informací o možnostech podání oznámení, ale také třeba tím, že nezajistí přijetí vhodných opatření k nápravě nebo předejití protiprávnímu stavu v návaznosti na podané oznámení. V případě spáchání přestupku povinným subjektem mu může být uložena pokuta až do 1.000.000,- Kč či až do výše 5 % z čistého obratu.
Zajímavé je, že navrhovaný zákon stanovuje konkrétní sankce taktéž pracovníkovi pověřenému zpracováním a prověřováním oznámení. Příslušná osoba se dopustí přestupku například tím, že nepřijme oznámení, neinformuje oznamovatele o výsledku posouzení nebo poskytne informaci o totožnosti oznamovatele. Na příslušnou osobu pak v těchto případech čeká pokuta ve výši až 100.000,- Kč. Pokud tedy bude pověřen výkonem činnosti osoby zpracovávající whistleblowingová oznámení zaměstnanec, stal by se pro potřeby návrhu zákona subjektem normy, kterému hrozí za nesprávné plnění povinností sankce ukládané nezávisle na jeho zaměstnavateli.
Z výše uvedeného vyplývá, že je skutečně nutné věnovat velkou pozornost úpravě stávajících systémů oznamování protiprávních jednání do souladu s požadavky navrhované právní úpravy, jinak může dojít k uložení poměrně významných finančních sankcí.
Na osobu, která bude pověřena jako příslušná osoba přijímáním a posuzováním oznámení bude také kladena daleko větší odpovědnost, jelikož bude za výkon této funkce odpovědná nejen svému zaměstnavateli, ale také ponese přímou odpovědnost vůči příslušným veřejným orgánům.
Z hrozby příležitost
Je zjevné, že pro řadu společností představuje navrhovaná úprava administrativní náklad, u kterého na první pohled není zjevná hodnota, kterou zavedení řádného whistleblowing systému společnosti přinese. Touto příležitostí je však skutečnost, že řádně zavedený a nezávislý systém pro vyšetřování podezření o porušení zákona je velmi kvalitním detekčním a preventivním mechanismem nejen pro řízení obvyklých finančních a nefinančních rizik společnosti (např. ztráty způsobené interními podvody, škodovými událostmi nebo např. zvýšenou pracovní neschopností v toxickém pracovním prostředí), ale též pro potřeby zproštění se trestní či administrativní odpovědnosti za protiprávní čin.[3] Spolehlivý a nezávislý whistleblowing systém se tak může stát jedním ze základních pilířů compliance kultury ve společnosti, jakož i významným prvkem obrany společnosti (a členů jejích statutárních orgánů) při obraně před orgány veřejné moci v případě, že společnost čelí podezření ze spáchání protiprávního činu.
Závěr
I pokud stávající návrh zákona o ochraně oznamovatelů nebude z důvodu skončení funkčního období stávající poslanecké sněmovny přijat, bude muset být neprodleně připraven návrh nový, který bude v základních rysech vyplývajících z evropské směrnice podobný. Na přelomu roku se tak nové právní úpravě nevyhneme a je tedy potřeba se na nové podmínky pro oznamování protiprávních jednání začít připracovat včas, v čem Vám případně rádi pomůžeme.
Mgr. Daniel Vejsada,
advokát
Mgr. Martin Frolík,
compliance specialista
[1] Pro úplnost dodejme, že zejména u finančních institucí už delší dobu existuje požadavek na interní whistleblowing systém (viz např. § 10 odst. 6 písm. b) vyhl. č. 163/2014 Sb. , o výkonu činností bank, spořitelních a úvěrních družstev a obchodníku s cennými papíry), avšak i v těchto předpisech chybí konkrétní právní úprava, jak by takový systém měl vypadat.
[2] Byť se domníváme, že tato povinnost je dostatečně jasně upravena v samotném vládním návrhu zákona, upozorňujeme v této souvislosti na pozměňovací návrh Jana Jakoba (k dispozici>>> zde), kde v případě jeho přijetí by bylo explicitně stanoven zejm. v nově vloženém § 9 písm. g) požadavek na oddělení whistleblowing kanálu od obecných komunikačních kanálů, mj. těch užívaných k interní komunikaci, ze kterého explicitně vyplyne, že oznamovací kanál nesmí být provozován na mailových serverech a telefonických ústřednách používaných pro interní komunikaci.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz