Vnitřní oznamovací systém a možnosti využití mezinárodního standardu ISO 37002:2021 pro whistleblowing
Blížící se česká právní úprava ochrany oznamovatelů, která by měla se značným prodlením konečně transponovat požadavky evropské směrnice, stanoví tzv. povinným subjektům řadu právních povinností, jejichž splnění a praktická realizace budou logicky vyvolávat mnoho nejasností a otázek. Jeden z mála efektivních metodických nástrojů pro to, jak co nejlépe naplnit nejen formální požadavky vyplývající z nového zákona o ochraně oznamovatelů, ale i z tzv. nejlepší praxe (best practice), přitom představuje mezinárodní standard ISO 37002:2021 (Whistleblowing management systems – Guidelines).
Whistleblowing a plnění nových právních požadavků
Když nahlédneme jak do unijní směrnice o ochraně oznamovatelů, tak i do návrhu českého transpozičního zákona, tak zde sice je řada požadavků ohledně toho, co všechno musí vnitřní oznamovací systém u povinného subjektu splňovat, ale již se z této právní úpravy samozřejmě nedozvíme, jakým konkrétním způsobem a jakými interními procesy tohoto souladu dosáhnout.[1]
Za situace, kdy je koncept chráněného oznamování protiprávního jednání v českém i širším středoevropském prostoru stále novým a do jisté míry i ne zcela známým nástrojem, tak o to více nabývá na významu metodická a výkladová podpora, a to jak oficiální, ze strany k tomu zákonem pověřenému státnímu orgánu, tak i ze strany dalších, zpravidla mezinárodně respektovaných institucí.
Je přitom otázkou, zda a v jakém rozsahu bude tuto metodickou podporu plnit ve vztahu k povinným subjektům Ministerstvo spravedlnosti, když z ustanovení § 14 návrhu zákona o ochraně oznamovatelů zatím spíše vyplývá, že jeho metodická, poradenská a odborná pomoc bude logicky primárně zaměřena na oznamovatele. V tomto směru je vůči povinným subjektům poměrně vstřícný již existující slovenský Úřad pro ochranu oznamovatelů protispolečenské činnosti, který jako první z takových metodických dokumentů vydal příslušný manuál pro veřejný sektor. [2]
Na tomto místě je ale třeba zdůraznit, že pokud jde o konkrétní organizační a technická řešení k naplnění zákonných požadavků na vnitřní oznamovací systém a zajištění ochrany oznamovatelů, tak ani od oficiálních metodických pokynů či manuálů nelze očekávat odpovědi na všechny konkrétní otázky a nejasnosti. A právě v tomto směru lze v rámci zavádění a provozování vnitřního oznamovacího systému velmi efektivně využít již existující mezinárodní standardy ISO ze skupiny norem „Governance and Ethics“, a to zejména již shora zmiňovanou normu ISO 37002:2021, která stanoví požadavky na Whistleblowing management systém.[3]
Podstatné přitom je, že vnitřní oznamovací systém, a to jak v kontextu požadavků nové právní úpravy, tak i jako součást širšího Compliance management systému (CMS), je interní řídící systém, který sice logicky má specifický účel a zahrnuje specifické interní procesy, ale obecně je vždy nedílnou součástí celkového management systému dané organizace.
Důvody pro využití normy ISO 37002:2021
Úvodem je třeba konstatovat, že v mezinárodním ani českém srovnání v současné době neexistují žádné obdobně srovnatelné a zejména pak všeobecně respektované standardy pro interní řídící procesy (management systémy), včetně compliance managementu, jako tomu je v případě standardů vydávaných Mezinárodní organizací pro standardizaci (International Organization for Standardization, ISO).
Tato organizace aktuálně sdružuje celkem 167 národních standardizačních úřadů, přičemž za Českou republiku je to Úřad pro technickou normalizaci, metrologii a státní zkušebnictví. [4] ISO vyvinula za dobu své existence více než 24 tisíc mezinárodních norem s tím, že se sice převážně jedná o normy technicko normalizačního charakteru, ale stále více se prosazují i normy spojené s managementem, správou a řízením organizací. Z hlediska moderních technologických platforem pro whistleblowing je přitom zásadní, že ISO úzce spolupracuje ve všech záležitostech elektrotechnické normalizace s Mezinárodní elektrotechnickou komisí (International Electrotechnical Commission, IEC), takže například v kontextu požadavků a norem v oblasti informační bezpečnosti jsou jednotlivé normy vydávány vždy jako společné normy ISO/IEC.[5]
Dalším z důvodů pro maximální využití normy ISO 37002:2021 pro standardizaci vnitřního oznamovacího systému dle nových právních požadavků je ta skutečnost, že cílem a smyslem standardizace je nejen vytvořit společný základ pro shodné posuzovávání splnění určitých uznávaných standardů, ale současně i dosažení předpokladu funkčnosti a účinnosti takto zavedeného a uplatňovaného management systému. Ačkoliv prokázání účinnosti přijatých interních procesů, opatření a nástrojů zdaleka není jen o samotné primární volbě standardů, kterými se bude soutěžitel řídit, tak ve prospěch standardů ISO hraje kromě jiného i široká možnost jejich certifikace, včetně možné certifikace v širším kontextu integrovaného management systému.
K tomu pak přistupuje i vlastní standardizovaný proces certifikace ISO norem, tj. vlastní procedura pro ověření souladu příslušného interního řídícího systému se zvolenými ISO standardy. Jen takový normalizovaný auditní proces následně vede k udělení příslušného certifikátu (osvědčení) ze strany certifikačního orgánu o tom, že posuzovaný management systém je zaveden, dokumentován a prosazován v souladu s požadavky daného standardu příslušné ISO normy. Certifikace je přitom zpravidla spojena s tím, že příslušná norma ISO neobsahuje jen požadavky, ale současně i návod k jejich použití a aplikaci, což lze označit za další podstatnou výhodu.
Vedle těchto obecných systémových důvodů je třeba poukázat i na další konkrétní argumenty, proč v rámci standardizace vnitřního oznamovacího systému využívat jako základu právě normu ISO 37002:2021. Prvním z těchto argumentů je zásadní skutečnost, že ISO normy z oblastí managementu jsou důsledně založeny na procesním přístupu a na sofistikované metodě PDCA (Plan-Do-Check-Act), někdy také nazývané jako tzv. Demingův cyklus, v jehož rámci se uvedené kroky pravidelně opakují, takže vedou k neustálému zlepšování při zavádění opatření a jejich změnách.
Zapomínat nelze ani na ostatní přednosti ISO standardů, zejména, že dotčené normy splňují požadavky ISO na harmonizovanou strukturu norem systémů managementu, což plně umožňuje intergraci požadavků do jednotného integrovaného systému řízení u příslušné organizace.
O čem je norma ISO 37002:2021
Jak je mj. zdůrazněno v úvodu normy ISO 37002:2021, tak tento standard poskytuje organizacím návod, jak vytvořit interní systém správy a řízení přijímání a vyřizování oznámení o protiprávním jednání (whistleblowing management systém), který je založen na zásadách důvěry, nestrannosti a ochrany. Jde přitom o normu, která je adaptabilní a její využití se liší v závislosti na velikosti, povaze činnosti, jakož i složitosti interních procesů a samozřejmě i příslušném právním řádu, ve kterém daná organizace působí. V tomto směru tak ISO 37002:2021 napomáhá zlepšovat i již dříve zavedené zásady a postupy interního oznamování a dodržovat platné právní předpisy týkající se whistleblowingu.
Z pohledu nové právní úpravy je přitom zásadní, že ISO 37002 se zabývá všemi fázemi interního oznamování a obsahuje tak pokyny k zavedení, implementaci a udržování vnitřního oznamovacího systému jak pro vlastní přijímání oznámení o protiprávním jednání, tak i pro posuzování důvodnosti oznámení a jejich prověřování a konečně i pro finální fázi vlastního vyřízení oznámení a přijetí příslušných opatření.
Význam ISO 37002:2021 pro vnitřní oznamovací systém
Z hlediska výkladu a praktické realizace požadavků nové právní úpravy interního oznamování a ochrany oznamovatelů je v ISO 37002 neobyčejně významné již samotné vymezení a definice jednotlivých pojmů, které je obsaženo v kapitole 3 této ISO normy, a jež absentuje až na výjimky jak v textu Směrnice, tak i v návrhu zákona o ochraně oznamovatelů. Tato skutečnost je přitom zcela zásadní i pro požadavky na dokumentaci vnitřního oznamovacího systému, včetně dokumentovaných informací a záznamů, což je otázka, která je sice v rámci nové právní úpravy naznačena, ale nikoliv již konkrétně řešena a upravena.
V tomto směru přitom samozřejmě zdaleka nejde pouze o výchozí příkazovou dokumentaci (závaznou interní směrnici) anebo související právní informace zaměstnancům a dalším případným oznamovatelům, ale primárně o dokumentované informace spojené s přijímáním a vyřizováním jednotlivých oznámení o protiprávním jednání, a to včetně dokumentované komunikace organizace (povinné osoby) s oznamovatelem.
Další zásadní otázkou, která je v kontextu nové právní úpravy zcela klíčová, ale ve své podstatě neřešená, je otázka stanovení odpovědnosti za vedení a řízení vnitřního oznamovacího systému v rámci organizace (povinného subjektu), jíž se ISO 37002:2021 naopak věnuje velmi detailně a podrobně, a to na všech úrovních řízení. V tomto směru mohou být pro interní úpravu konkrétního postavení, úkolů a pravomocí tzv. příslušné osoby ve smyslu ustanovení § 10 a násl. návrhu zákona o ochraně oznamovatelů praktickým návodem zejména požadavky na odpovědnou osobu obsažené v bodech 5.3.2, 7.5 a dále pak celé kapitoly 8 normy ISO 37002.
To, co je však možné považovat za zřejmě úplně nejdůležitější z hlediska využití normy ISO 37002:2021 pro naplnění požadavků nové právní úpravy na vnitřní oznamovací systém, je hodnocení jeho účinnosti ve smyslu kapitoly 9 (Performance evaluation) této ISO normy, které jako standardní nástroje zahrnuje vlastní vnitřní kontrolu (monitoring), interní audit a management review. Toto průběžné hodnocení účinnosti vnitřního oznamovacího systému bude totiž zcela zásadní i pro zajišťování souladu nastavení a provozování systému s požadavky všech dotčených právních předpisů, a to nejen zákona o ochraně oznamovatelů, ale i obecného nařízení o ochraně osobních údajů, zákoníku práce a dalších.
JUDr. Pavel Koukal
advokát / Associate Partner
Platnéřská 2
110 00 Praha 1
Tel.: +420 236 163 111
E-mail: pavel.koukal@roedl.com
[1] Směrnice Evropského parlamentu a Rady (EU) ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie. K dispozici >>> zde. Návrh zákona o ochraně oznamovatelů. K dispozici >>> zde.
[2] Vnútorný systém preverovania oznámení o nezákonnej činnosti – manuál pre verejný sektor. 2022. Úrad na ochranu oznamovateľov protispoločenskej činnosti. K dispozici >>> zde.
[3] ISO 37002:2021 (Whistleblowing management systems – Guidelines). K dispozici >>> zde.
[4] Pro vlastní vydávání vnitrostátních norem ČSN a plnění dalších úkolů byla Úřadem zřízena Česká agentura pro standardizaci. Naprostá většina ISO norem je zařazena do soustavy českých norem (ČSN).
[5] Srov. ISO/IEC 27001:2013 (Information technology – Information security management systems – Requirements) a další normy. K dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
