Před mikrofonem: Whistleblowing by nám pomohl i proti COVID-19

Jak jste se k tématu ochrany oznamovatelů, resp. whistleblowingu dostal? Několik let jste působil jako poradce místopředsedy Poslanecké sněmovny, ale už v roce 2021 jste založil společnost Parhesys provozují platformu Whispero a další produkty pro zajištění whistleblowingu procesu. Co bylo tím hlavním impulsem, možnost pomoci dobré věci, podpořit whistleblowing jako takový, ale i příležitost prosadit se s novým produktem na trhu?

Stanislav Zavadil (Whispero): O tom, že na úrovni Evropské unie vzniká legislativní rámec pro úpravu whistleblowingu , jsem se dozvěděl od kolegy, který v té době působil v Evropské komisi. Jako poradce místopředsedy Poslanecké sněmovny jsem se věnoval jiným tématům, především volebním systémům a na přípravě české transpozice “whistleblowing směrnice” jsem se nepodílel. Detailní znalost legislativních procesů mi nicméně umožnila pečlivě sledovat českou implementaci „whistleblowing směrnice”. Vize platformy, která bude poskytovat řešení jak technické, tak právní stránky whistleblowingu, nabývala stále konkrétnější obrysy. Koncepce byla jasná po přečtení prvního vládního návrhu transpozice směrnice.

Následovaly poté spíše negativní impulsy, když jsem viděl, že návrh Sněmovnou nepostupuje, transpoziční lhůta nebyla dodržena a český zákon o ochraně oznamovatelů se za zdánlivé nečinnosti české legislativy zpožďoval až do okamžiku, kdy Evropská komise žalovala Českou republiku pro neplnění transpozičních povinností.

Whispero je pro mě ideálním projektem, který mi umožňuje kombinovat IT a právní profesi. Ochrana oznamovatelů je relativně samostatnou compliance oblastí a troufám si tvrdit, že pokud se dělá poctivě, není triviální ani po technické, ani po právní stránce. Pozitivní dopad projektu je potom skvělým motivátorem a dává celé věci smysl.

Dlouhodobě se snažím zaměřovat na činnosti s pozitivním dopadem, proto jsem se zavázal věnovat část zisku efektivním charitám. Přemýšlím také o roli whistleblowingu a jeho potenciálu při mitigaci globálních rizik. Velmi bych ocenil, kdyby společnost méně vnímala whistleblowing jako anonymní a často škodolibé udávání drobností a vítala jeho potenciál v prevenci a mírnění dopadů kritických incidentů. Věřím, že whistleblowing může pomoci i u kauz, jako byla pandemie Covidu, na kterou jako první upozornil čínský lékař Li Wenliang, který byl záhy umlčen. Pokud by se informace od něj braly vážně, svět mohl získat mnohem více prostoru na přípravu a možná by zde whistleblowing zachránil obrovské množství životů. Jakýkoli nástroj, který dokáže propojit takto významné whistleblowery s týmy odborníků, může sehrát klíčovou roli. Může jít o oblasti jako je biologická a pandemická bezpečnost, nebo například hrozby související s umělou inteligencí.

Whispero nabízí několik balíčků služeb. Základem je bezpečný oznamovací nástroj, který lze doplnit dalšími produkty a službami. Byl o vaše produkty zájem ještě před účinností českého zákona a pokud ano, ve kterých oblastech či sektorech? 

Stanislav Zavadil (Whispero): Je to tak, první variantou je poskytnutí softwaru, který zajistí technické požadavky a představuje zabezpečenou komunikační platformu mezi oznamovateli a příslušnou osobou. Software tedy umožňuje plnit všechny zákonné požadavky a je přizpůsoben na míru české právní úpravě, včetně hlídání lhůt, archivace či dokumentace oznámení.

Před účinností zákona jsme zaznamenali částečný zájem ze strany veřejného sektoru, zejména s ohledem na potenciální přímé účinky netransponované směrnice. Zájem projevily i komerční subjekty, zpravidla větší korporace s přeshraniční účastí, kde byl nejčastěji impulsem zájem zahraniční matky o zavedení nových povinností, případně chtělo etický systém aktivně zavést samo lokální vedení. V některých případech odhadujeme jako motivaci i aspekty trestní odpovědnosti právnických osob, nebo potřebu nového vedení organizace vymezit se proti historickým problémům v organizaci. Často je to ale i budování otevřené a bezpečné kultury, které se ukazuje i jako klíčová hodnota zejména pro efektivní nábor a udržení mladších generací zaměstnanců. 

Jak se tato situace změnila po přijetí českého zákona o ochraně oznamovatelů v roce 2023?

Stanislav Zavadil (Whispero): Jak už to v compliance oblasti bývá, období kolem nabytí účinnosti předpisů je nejintenzivnjěší a velká část subjektů zavádí potřebné požadavky až v okamžiku, kdy jsou v definitivní podobě stanoveny zákonem. Často vyloženě na poslední chvíli před nabytím účinnosti. Přijetí zákona tedy odstartovalo nejintenzivnější období projektu, skutečnou zatěžkávací zkouškou pak byly týdny těsně před nabytím účinnosti zákona v srpnu, resp. pro menší organizace v prosinci roku 2023. V tomto období jsem skutečně ocenil, že jsme již měli odladěné základní procesy a systém, takže nám pozdní transpozice přeci jen něčím i lehce pomohla. Růst počtu klientů v druhé polovině roku 2023 byl v několika stovkách procent.

Zákon asi nejvíce pocítily malé organizace těsně překračující hladinu 50 zaměstnanců, často z důvodu většího množství „brigádnických“ dohod. Jejich motivací k zavedení  whistleblowing systému často jen snaha vyhnout se případným sankcím za nezavedení a nevnímají na něm mnoho užitečného. Jejich pohledu rozumím, i samotné technické požadavky a alespoň základní nastudování zákona oprávněně vnímají jako neproduktivní zátěž. Zejména to vnímám u menších, přátelských kolektivů, které podnikají v relativně méně rizikových oblastech. Na druhou stranu, není možné odhadnout, zda a jak bude oznamovací systém využíván. Existují případy velkých organizací, které whistleblowing aktivně komunikují a podporují a oznámení musí řeší jen ojediněle, a na druhé straně  velmi malých subjektů, kde se řeší důvodná oznámení o závažných tématech, aniž by to někdo předem předvídal či dokázal odhadnout.

U větších organizací považuji interní oznamovací systém za velmi důležitý nástroj, jak z hlediska prevence, HR aspektů, krizového managementu, tak i například trestněprávní odpovědnosti a očekávání zvládnutých etických procesů ze strany partnerů a odběratelů, často i garantovaných smluvně nebo v podobě souhlasu s etickými kodexy.

Kromě bezpečné oznamovací linky nabízíte i služby externí příslušné osoby, whistleblowing officera. Jak často je tato služba poptávána? Nebojí se organizace, že se k důvěrným informacím a tzv. špinavému prádlu dostane někdo zvenku? 

Stanislav Zavadil (Whispero): Nabízíme možnost převzít správu oznamovacího systému ve smyslu § 8 odst. 2 zákona o ochraně oznamovatelů. V takovém případě zajistíme také výkon funkce příslušné osoby a přebíráme kompletní oznamovací agendu, včetně převzetí odpovědnosti za řádný provoz oznamovacího systému. Zajištění výkonu funkce příslušné osoby právníkem specializovaným na ochranu oznamovatelů v českém právním řádu vnímáme jako klíčovou konkurenční výhodu, zejména v porovnání s globálními hráči na poli whistleblowing softwaru.

Některé organizace dávají přednost interní příslušné osobě, jiné aktivně vyhledávají externí, právě kvůli lepšímu naplnění nestrannosti a vyšší odbornosti. Je důležité zmínit, že příslušná osoba posoudí důvodnost oznámení a doporučí vhodné opatření. Rozhodnutí o tom, zda toto opatření bude přijato, je vždy na klientovi, který se může kvalifikovaně rozhodnout na základě právního rozboru a dalších interních informací. Příslušná osoba je vázána mlčenlivostí ex lege. Věřím, že už z principu je při výkonu této funkce externím právníkem pravděpodobnost na vyzrazení identity oznamovatele v kolektivu zaměstnavatele nebo veřejnosti podstatně nižší, než když povinnost padne na interního zaměstnance.

Co jsou podle vás naopak výhody ryze interního řešení whistleblowing procesu?

Stanislav Zavadil (Whispero): Jedním z důvodů, proč klienti zavádějí vnitřní oznamovací systém, například i nepovinně, je právě skutečnost, že mohou získat prostor řešit oznámení interně, když oznamovatel zvolí vnitřní oznamovací systém namísto toho, aby se obrátil přímo na dohledové a dozorové orgány nebo externí oznamovací systém provozovaný Ministerstvem spravedlnosti.

Liší se zájem o služby externí příslušné osoby podle sektoru či oblasti činnosti povinných organizací, veřejná správa, samospráva, finanční trh, výrobní podniky atd.?

Stanislav Zavadil (Whispero): Liší, ale jednoznačné schéma nespatřujeme. Primární rozdíl je u subjektů, které jsou povinnými osobami podle AML a měly by mít interní příslušnou osobu. Samozřejmě i zde je možné různými způsoby s vedením oznamovacího systému pomoci, ale tyto subjekty mají často compliance oddělení a je zde spíše zájem pouze o softwarové řešení.

Jak moc vám s případnou nedůvěrou či obavami povinných organizací pomáhá bojovat váš systém ochrany informací, který máte i certifikovaný podle ISO řady 27…? Je to pro vaše klienty významný argument, ptají se na systémovou ochranu informací?

Stanislav Zavadil (Whispero): Když se zaměříme na normu ISO 37002, která se věnuje whistleblowingu, a porovnáme ji se zákonnými požadavky obsaženými v zákoně o ochraně oznamovatelů, je norma podrobnější, s větším důrazem na dlouhodobé zlepšování systému. Normy řady 27 jsou zaměřeny na bezpečnost informací a považuji je za užitečné v celém dodavatelském řetězci, zejména u poskytovatelů IT infrastruktury.

ISO certifikace od nezávislého subjektu je vždy užitečná a ukazuje na určitý standard. Samotná certifikace by ale neměla být cílovou rovinkou, důležitý je faktický stav. Proto považuji za důležité také pravidelné testování a neustálý vývoj zabezpečení, které je v našem odvětví kritické.

V rámci svého produktu nabízíte i možnost dalších jazykových mutací upravených pomocí umělé inteligence. Co si před tím přesně představit, je možné Whispero plně používat i v jiných jazycích? A nehrozí při využití AI nástroje pro překlad únik citlivých informací o oznamovateli, obsahu oznámení atd.?

Stanislav Zavadil (Whispero): Co se týče umělé inteligence, přistupujeme k jejímu využití s extrémní opatrností. V tuto chvíli je jediným nástrojem, který využíváme, automatický překlad formulářových polí a povinně zveřejňovaných informací, které jsou ze zákona dostupné způsobem umožňujícím dálkový přístup. Jde tak o usnadnění práce pro příslušnou osobu, pokud nastavuje vícejazyčný formulář.

Obsah oznámení systém v tuto chvíli nezpracovává ani nepřekládá, není tedy žádné neuronové síti či jazykovému modelu poskytován ke zpracování a je zachována jeho důvěrnost mezi oznamovatelem a příslušnou osobou, která si v případě neznalosti jazyka musí zajistit překlad postupem dle vlastní volby, ideálně až anonymizovaného textu.

Software je koncipovaný tak, že sbírá jen nejnutnější minimum informací. Například nezaznamenáváme žádné údaje, které nejsou nezbytné pro provoz, případně jen na nejkratší potřebnou dobu. Patří sem zejména IP adresy nebo další identifikační metadata oznamovatelů. Zpracováváme informace, které oznamovatel sám uvede, a to v šifrované podobě na serverech umístěných v Evropské unii. Rozhodli jsme se nevyužívat ani analytické nástroje a u klientů, kteří využívají pouze software, nedisponujeme přístupem k obsahu oznámení ani obecnými anonymizovanými údaji nebo statistikami. Přestože může jít o zajímavá data a řada platforem je sbírá, jsem přesvědčen, že je nutně nepotřebujeme a že tento minimalistický koncept lépe odpovídá smyslu a účelu naší služby i požadavkům a kontextu právní úpravy. Je zábavné, že u klientů, kteří mají vlastní příslušnou osobu, umíme i základní informace jako počet oznámení jen hrubě odhadnout podle vytížení infrastruktury.

Myslím si, že AI se rychle stává přelomovým nástrojem pro všechny (nejen) právní profese. V tuto chvíli ale považuji za nezodpovědné poskytovat takto citlivá data například do bezplatné verze nástrojů od OpenAI. Postupně si dokážu představit využití AI třeba v podobě interně provozovaného jazykového modelu dotrénovaného pro konkrétní odvětví, který nezasílá v průběhu generování výstupů žádná data třetím stranám.

Pokračování rozhovoru naleznete na GDPR.cz

Stanislav Zavadil je český právník a nadšenec do technologií, zaměřuje se na oblast ochrany oznamovatelů, e-commerce, právo IT a umělou inteligenci. V současnosti je jednatelem společnosti Parhesys s.r.o., která vyvíjí právní software, zejména whistleblowing platformu Whispero a systém pro správu zaměstnaneckých benefitů Benefy.

Whispero je česká whistleblowing platforma, která poskytuje software pro vedení oznamovacích systémů a externí správu povinností vyplývajících ze zákona o ochraně oznamovatelů a související legislativy.

.