Jak zajistit právní závaznost compliance směrnic

V teorii i praxi firemní (korporátní) compliance představují interní compliance směrnice nedílnou součást a normativní základ řízené dokumentace celého compliance management systému (CMS). V tomto směru compliance směrnice zpravidla navazují na výchozí programově poziční dokumenty, kterými jsou compliance programy, kodexy chování anebo etické kodexy, a jsou ve vztahu k nim považovány za prováděcí interní akty normativní povahy. 

Compliance směrnice zahrnují jak otázky věcné náplně příslušné interní politiky zajišťování souladu (compliance policy), včetně stanovení závazných pravidel chování a povinností zaměstnanců a případně třetích osob, tak i procesní otázky týkající se závazných interních postupů a činností v rámci dotčených procesů (compliance procedure). 

To, co je v řadě případů compliance praxe nedostatečně zohledňováno, jsou požadavky na zajištění formálně právních účinků interních směrnic. Nedostatky se opakují zejména v  jejich právní závaznosti, účinnosti a současně i vynutitelnosti jimi stanovených povinností. 

Compliance směrnice z pohledu norem ISO

Samotný pojem compliance směrnice je třeba chápat jako ve své podstatě zastřešující a do značné míry i zjednodušující označení pro široký okruh interních dokumentů příkazové povahy, které jsou přijímány a formálně vydávány v prostředí compliance management systému. 

V této souvislosti je příznačné, že ani jedna z mezinárodních norem ISO v oborové skupině 03.100.02 (Governance and Ethics) pojem „compliance směrnice“ nezná a ani jej nepoužívá. To platí i pro klíčovou organizačně technickou normu ISO pro agendu compliance, kterou je ISO 37301:2021 (Compliance management systems – Requirements with guidence for use), resp. převzatá česká technická norma ČSN ISO 37301:2023 (Systémy managementu souladu - Požadavky s návodem pro použití). 

Norma ISO 37301 neoperuje ani se zastřešující a v praxi často používanou kategorií „compliance dokumentace“, nýbrž se šířeji pojatou kategorií „dokumentované informace“ (documented information). Norma ve svém čl. 7.5 pro ně stanoví i příslušné požadavky, a to konkrétně na vytváření a aktualizaci dokumentovaných informací (7.5.2) a na řízení dokumentovaných informací (7.5.3).  

Nutnost zajištění nezbytného interního normativního rámce pro naplňování funkce compliance a compliance management systému v příslušné organizaci je přitom v požadavcích ISO 37301 stanovena tak trochu skrytě, primárně v rámci vymezení klíčového postavení, úkolů a odpovědnosti správního a řídícího orgánu (governing body) a vrcholového managementu (top management). 

Podle čl. 5.1.1 normy ISO 37301 musí správní a řídící orgán a vrcholové vedení prokazovat svou vůdčí roli (leadership) v compliance managementu systému mj. i tím, že společně zajišťují integraci požadavků CMS do podnikových procesů organizace. To mj. vyžaduje i zajišťování toho, aby byly vypracovány a řádně implementovány politiky, procesy a postupy pro dosahování compliance cílů. 

Takto obecně formulovaný požadavek je dále konkretizován v příloze A normy ISO 37301. V příslušném ustanovení čl. A.7.5.1 se zde uvádí, že tato implementace v podobě dokumentovaných informací závazně upravuje jednak politiku souladu a odpovědností za soulad (organization's compliance policy and procedures), cíle, úkoly, strukturu a obsah CMS, jakož i rozdělení rolí a odpovědnosti za compliance. 

Compliance směrnice a další povinná dokumentace

V této souvislosti je podstatné, že od této, můžeme říci „normativní části“ compliance dokumentace – v podobě a formátu „compliance směrnic“ – odlišuje ISO norma další standardní druhy compliance dokumentace, resp. dokumentovaných informací. Mezi ně spadají zejména: 

• registr relevantních compliance povinností 

• registr compliance rizik 

• registr nesouladů (noncompliances) 

• roční compliance plán a 

• pracovní (personální) záznamy včetně záznamů o compliance školeních. 

S poměrně obecnou úpravou v normách ISO souvisí i skutečnost, že v praxi je velmi nejednotná i samotná terminologie pro označování interních compliance směrnic, což dále souvisí rovněž s tím, jaký charakter mají u té které organizace interní příkazové dokumenty. Vedle označení interní směrnice se proto často používají i označení interní pokyn, závazné opatření, příkaz jednatelů apod., v koncernové compliance pak zpravidla jde o anglické termíny internal guidelines či internal directive anebo v němčině nejčastěji používaný výraz interne Richtlinie.       

Právní závaznost compliance směrnic 

K tomu, aby funkce compliance, compliance management systém i jeho jednotlivé složky a součásti mohly v praxi reálně fungovat, je třeba v prvé řadě zajistit jejich právní závaznost a vynutitelnost, a to právě prostřednictvím závazných interních compliance směrnic.  

V tomto směru se může vlastní pojem „směrnice“ jevit do jisté míry jako zavádějící, neboť  sám o sobě jazykově nevyjadřuje bezprostřední závaznost, nýbrž pouze určité „nasměrování“ či „vodítko“. V současné compliance praxi je ale pojem interních compliance směrnic chápán jako standardní forma příkazového dokumentu, který závazně stanoví interní pravidla chování, interní procesy a postupy a v tomto rámci i s tím spojené příslušné povinnosti dotčených zaměstnanců a dalších dotčených osob (členové orgánů společnosti, jinak smluvně spolupracující osoby apod.).          

Co do celkového kontextu korporátní praxe přitom compliance směrnice spadají do širší kategorie interních (vnitropodnikových) směrnic. Právní teorie dnes již tradičně vychází z toho, že interní (vnitropodnikové) směrnice mají charakter interních normativních aktů, pro které se ustálil společný pojem „vnitřní předpisy“. Mezi takto široce pojaté „vnitřní předpisy“ patří vedle interních (vnitropodnikových) směrnic i organizační a jiné řády, obecné příkazy a pokyny anebo zvláštní interní normativní akty podle zákoníku práce, kterými jsou vnitřní předpis zaměstnavatele (§ 305) a pracovní řád (§ 306).

Pokud jde o otázku závaznosti interních compliance směrnic, ta je v praxi v naprosté většině případů velmi jednoduše „vyřešena“ prostou formulací typu, že „tato směrnice se vztahuje a je závazná pro celou společnost a všechny její zaměstnance“, bez toho, že by blíže zohledněn i právní základ takto nastavené „závaznosti“. 

V těchto formulacích ale nejde ani tak o vlastní právní závaznost interní směrnice, jako spíše o její osobní působnost, tj. na jakou entitu a na jakou skupinu dotčených osob se interní úprava směrnice vztahuje. Právní závaznost interní compliance směrnice však ze strany organizace (společnosti) vyžaduje zajistit, aby příslušná interní úprava a v ní stanovené povinnosti právně platným a účinným způsobem dotčené zaměstnance a další osoby skutečně zavazovaly. S tím pak bezprostředně souvisí i otázku vynutitelnosti plnění takto stanovených povinností a následně i možnosti vyvození právní odpovědnosti za jejich případné porušení.   

Odpovídající forma compliance směrnic

Základním požadavkem, který musí být v těchto souvislosti naplněn, je použití odpovídající formy závazného příkazového dokumentu. Ty vždy primárně vychází z právní formy a zakladatelského dokumentu dané organizace jakožto právnické osoby. V tomto ohledu je nezbytné, aby se jednalo o závazný příkazový dokument vydaný statutárním orgánem právnické osoby, protože výhradně jemu náleží universální působnost ve smyslu ustanovení § 163 a násl. občanského zákoníku.          

V rámci široké „agendy compliance“ jde až na určité výjimky, jako je např. ochrana osobních údajů nebo whistleblowing, o interní řešení otázek, které nemají svůj základ v platné právní úpravě. Proto je to pouze statutární orgán, který je v rámci obchodního vedení společnosti anebo jiné formy univerzální působnosti oprávněn interně stanovit závazné postupy a konkrétní povinnosti.         

Pozor na úskalí vnitřních předpisů zaměstnavatele a pracovního řádu  

Ve shora popsaných souvislostech je třeba vyvarovat se toho, aby byly interní compliance směrnice vydávány jako vnitřní předpis zaměstnavatele ve smyslu ustanovení § 305 zákoníku práce. Vnitřním předpisem podle zákoníku práce totiž zaměstnavatel může platně stanovit jen ta práva (nároky) v pracovně právních vztazích, z nichž je oprávněn zaměstnanec výhodněji, než stanoví zákoník práce. Jinými slovy, vnitřním předpisem zaměstnavatele lze stanovit pro zaměstnance výhodnější mzdová a ostatní práva, jako je například delší dovolená, odstupné i z jiných důvodů anebo „sick days“, ale je vyloučeno, aby byly v daných souvislostech vnitřním předpisem zaměstnavatele ukládány zaměstnancům jakékoli povinnosti. 

V tomto směru zákoník práce výslovně uvádí, že pokud by vnitřní předpis obsahoval povinnosti anebo by zkracoval práva zaměstnanců stanovená zákoníkem práce, tak se k tomu nepřihlíží. Jedná se přitom o případ o nicotnosti takového interního aktu, nikoliv „pouhé“ neplatnosti.    

S ohledem na shora uvedené by mohlo teoreticky připadat v úvahu využití formy pracovního řádu podle § 306 zákoníku práce, který již ze své povahy slouží ke stanovení povinností zaměstnanců. Jeho případné využití pro funkci compliance a pro realizaci opatření a nástrojů v rámci compliance management systému je však z řady důvody velmi omezené až nepoužitelné. Tato omezení přitom spočívají v prvé řadě v tom, že pracovní řád je v kontextu zákoníku práce vymezen jako zvláštní druh vnitřního předpisu, který dále rozvádí ustanovení zákoníku práce anebo zvláštních předpisů podle zvláštních podmínek u zaměstnavatele. 

Povinnosti v oblasti compliance ale až na výjimky pod takové vymezení nespadají, proto je nelze ani dále rozvádět v pracovním řádu. Dalším důvodem pro „nepoužitelnost“ formy pracovního řádu je i ta skutečnost, že povinnosti zaměstnanců na úseku compliance jsou natolik specifické a odlišné, že by je ani jinak nebylo možné upravovat v kontextu standardních povinností zaměstnanců vyplývajících primárně ze zákoníku práce. 

Propojení compliance směrnic a pracovní náplně zaměstnanců naleznete v plném znění článku na doméně GDPR.cz.