Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Příručka pro whistleblowing officera: Jak na vnitřní oznamovací systém?

Příručka pro whistleblowing officera: Jak na vnitřní oznamovací systém?

  • Datum: 06.03.2025
  • Autor: Rohia Hakimová

Ministerstvo spravedlnosti vydalo praktický návod pro whistleblowing officery. Popisuje v něm i řešené problémy a nedostatky oznamovacích systémů.

Význam ochrany oznamovatelů a vznik příručky

Ochrana oznamovatelů se v posledních letech stala klíčovou součástí posilování transparentnosti a etiky ve firmách i veřejných institucích. Včasné oznámení protiprávního jednání – například korupce, podvodu či jiného jednání poškozujícího veřejný zájem – umožňuje organizacím sjednat nápravu ještě před tím, než vznikne větší škoda nebo než zasáhnou orgány činné v trestním řízení či jiné úřady.

Zákon č. 171/2023 Sb., o ochraně oznamovatelů, který nabyl účinnosti 1. srpna 2023, transponuje evropskou směrnici o whistleblowingu a stanoví povinnost zavést vnitřní oznamovací systém pro široký okruh subjektů. Tato povinnost dopadá zejména na zaměstnavatele s 50 a více zaměstnanci a vybrané veřejné instituce. Zákon upravuje postup při podávání a posuzování oznámení o možném protiprávním jednání a zaručuje ochranu osobě, která oznámení učiní (oznamovateli).

Ministerstvo spravedlnosti jako gestor zákona nejen provozuje vnější oznamovací systém (centrální místo pro příjem oznámení), ale podporuje i účinné fungování interních oznamovacích systémů. Po více než roce zkušeností s aplikací zákona Ministerstvo vydalo Příručku pro příslušné osoby – metodický dokument určený těm, kdo mají v organizacích na starosti agendu whistleblowingu. Příručka si klade za cíl reflektovat poznatky z prvního roku účinnosti zákona, vychází ze zpětné vazby příslušných osob a dalších dotčených subjektů a nabízí metodická doporučení a návody pro řešení nejasných otázek spojených s aplikací nové legislativy.

Klíčové aspekty: Role příslušné osoby, proces oznamování a ochrana oznamovatelů

Příručka pokrývá celý proces fungování vnitřního oznamovacího systému, od přijetí oznámení až po jeho uzavření. Mezi jeho nejdůležitější části patří:

  • Role příslušné osoby: Zákon požaduje, aby povinný subjekt pověřil konkrétní příslušnou osobu odpovědnou za agendu whistleblowingu. Tato osoba přijímá oznámení, posuzuje jejich důvodnost a navrhuje opatření k nápravě zjištěných pochybení. Příručka zdůrazňuje, že příslušná osoba je „základním stavebním kamenem vnitřního oznamovacího systému“. Její úloha je pro funkčnost systému zásadní – pokud vnitřní systém funguje dobře, oznamovatelé dávají přednost internímu řešení před využitím externího oznamovací kanálu Ministerstva spravedlnosti či dokonce medializací problému. Příslušná osoba proto musí mít důvěru oznamovatelů i vedení a disponovat potřebnou odborností a nezávislostí.

  • Přijetí a prošetření oznámení: Příručka detailně popisuje postup od podání oznámení po jeho prošetření. Vnitřní oznamovací systém musí umožnit podat oznámení písemně nebo ústně, o přijetí každého oznámení pak musí být oznamovatel písemně vyrozuměn do 7 dnů od jeho obdržení. Následně příslušná osoba posoudí, zda oznámení spadá do působnosti zákona (tj. zda jde o podezření na jednání, na něž se vztahuje ochrana podle zákona – zpravidla závažné porušení práva v definovaných okruzích) a zda nejde o zjevně nedůvodné či nepodložené tvrzení. 

    Každé kvalifikované oznámení musí příslušná osoba prošetřit. Po posouzení oznámení příslušná osoba vypracuje písemné vyrozumění o výsledku, tzn. informuje oznamovatele o tom, zda bylo oznámení shledáno důvodným či nikoli, jak k tomuto závěru dospěla a jaká případná nápravná opatření budou přijata. Zákon nespecifikuje formu takového vyrozumění. Může mít podobu stručného e-mailu nebo naopak detailní zprávy podle složitosti případu.

  • Náprava protiprávního stavu: Pokud je oznámení důvodné, příslušná osoba má povinnost vedení organizace navrhnout opatření k předejití nebo nápravě protiprávního stavu. Tato opatření mohou zahrnovat změny v interních postupech, provedení auditu, disciplinární postihy apod., podle charakteru zjištěného pochybení. V případě nedůvodného oznámení by naopak vyrozumění oznamovatele mělo srozumitelně vysvětlit, proč se podezření nepotvrdilo, aby oznamovatel měl jistotu, že věc byla řádně prověřena.
  • Ochrana oznamovatelů: Účelem zákona je zajistit, že oznamovatel, který upozorní na nekalé jednání, nebude vystaven postihu a jeho identita zůstane v maximální možné míře utajena. Příslušná osoba má ze zákona povinnost zachovávat mlčenlivost, nesmí poskytnout žádné informace, které by mohly zmařit nebo ohrozit účel oznámení. Zejména nesmí prozradit totožnost oznamovatele (ani osob, které mu případně pomáhají) či detaily z oznámení nikomu mimo okruh osob nezbytně nutných. Informace z oznámení by měly být dostupné pouze příslušné osobě (případně dalším pověřeným členům týmu). Zákon také výslovně zakazuje odvetná opatření vůči oznamovateli. Nesmí dojít k žádnému znevýhodnění motivovanému tím, že osoba podala oznámení, ať už by šlo o propuštění, neprodloužení smlouvy, snížení platu, neumožnění účasti na školení, změnu pozice nebo jiné přímé či nepřímé postihy. Ochrany před odvetnými opatřeními se nelze nijak vzdát ani ji omezit dohodou. Pokud by přesto došlo k pokusu oznamovatele postihnout, má oznamovatel právo se domáhat ochrany u soudu. Příručka zmiňuje i specifické situace – např. pokud oznamovatel z opodstatněných důvodů požaduje, aby oznámení vyřizovala konkrétní příslušná osoba (kvůli obavě z podjatosti, střetu zájmů či možné odvety), mělo by mu být ze strany pověřených osob vyhověno, přestože to zákon výslovně neukládá. Důsledné zachování důvěrnosti a ochrany identity oznamovatele je totiž klíčové pro udržení důvěry v celý systém.

Whistleblowing a GDPR

Neoddělitelnou součástí právního rámce souvisejícího s whistleblowingem je také ochrana osobních údajů podle GDPR. Provozování whistleblowingového systému zahrnuje zpracování osobních údajů oznamovatelů, oznámených osob i případných svědků, a proto organizace musí plnit i obecné povinnosti vyplývající z GDPR. Ty zahrnují zejména:

  • Zákonný důvod zpracování údajů: Pro zpracování osobních údajů v rámci oznamovacího systému či navazujících kroků je nutné disponovat právním titulem. Tím bývá nejčastěji plnění právní povinnosti (dle zákona o ochraně oznamovatelů) nebo oprávněný zájem správce. Oznamovatel i ostatní dotčené osoby by měli být transparentně informováni o tom, jaké údaje, za jakým účelem a na základě jakého právního titulu jsou zpracovávány.

  • Minimalizace údajů: Příslušná osoba by měla shromažďovat pouze údaje nezbytné pro posouzení a vyhodnocení oznámení. Oznamovatel nesmí být nucen sdělovat osobní údaje, které nejsou podstatné pro ověření důvodnosti jeho podání.

  • Účelové omezení: Osobní údaje lze zpracovávat pouze k legitimnímu účelu, tj. k prošetření oznámení a navazujícímu přijímání opatření. Údaje nelze využívat k jiným účelům nesouvisejícím s vyřízením oznámení.

  • Omezená doba uložení: Osobní údaje je možné uchovávat jen po nezbytně dlouhou dobu. Zákon o oznamovatelích explicitně stanoví, že oznámení a související dokumenty se uchovávají po dobu 5 let od přijetí. Správce by měl nastavit proces bezpečné archivace a likvidace těchto záznamů po uplynutí stanovené doby.

  • Zabezpečení údajů: Je nutné přijmout adekvátní technická a organizační opatření k zajištění důvěrnosti a integrity dat. Evidence a databáze oznámení musí být přístupné pouze omezenému okruhu pověřených osob, údaje chráněny před únikem (šifrováním, zabezpečeným úložištěm apod.) a ideálně oddělené od ostatních interních evidencí. To je klíčové pro zachování důvěry oznamovatelů v systém.
  • Práva subjektů údajů: Oznamovatel i ostatní osoby uvedené v oznámení mají v principu práva dle GDPR (např. právo na přístup k údajům, výmaz apod.). Jejich uplatnění však může být omezeno, pokud by vyhovění žádosti narušilo vyšetřování oznámení nebo odhalilo totožnost oznamovatele.  Příslušná osoba musí pečlivě posoudit každou takovou žádost a případně ji odmítnout s odkazem na zákonné výjimky. Při řešení těchto situací se doporučuje úzká součinnost s pověřencem pro ochranu osobních údajů

Jaké sankce hrozí?

Za nedodržení výše uvedených povinností hrozí významné sankce. Zákon zavádí přestupkovou odpovědnost jak pro organizace, tak pro samotné příslušné osoby. Pokud například příslušná osoba nevyrozumí oznamovatele o výsledku vyšetření oznámení v zákonné lhůtě, jedná se o přestupek s pokutou až 20 000 Kč pro tuto osobu a až 1 000 000 Kč pro povinný subjekt. Odepření přijetí oznámení či neprošetření jeho obsahu je postihováno pokutou až 50 000 Kč pro příslušnou osobu. 

Porušení povinnosti zachovávat důvěrnost nebo zákazu odvety by rovněž představovalo porušení zákona – oznamovatel se může vůči původci odvetného jednání bránit soudně a viníku by hrozil postih v přestupkovém řízení. Samotný oznamovatel je zákonem chráněn před postihem v případě oprávněného oznámení; pokud by však někdo úmyslně podal nepravdivé oznámení, může nést odpovědnost podle obecných předpisů (např. za pomluvu či křivé obvinění).

Jak nastavit vnitřní oznamovací systém? Jaký má význam efektivní systém pro transparentnost a etické řízení? Odpovědi naleznete v plném znění článku na doméně GDPR.cz.

Štítky
GDPRComplianceWhistleblowingSankce

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (15)Management (56)Data (24)BPMN (1)Program Manager (4)Compliance (84)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (17)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (27)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (44)Axelos (6)AI (22)ISO (16)IT Security (5)Marketing (11)ESG (5)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (132)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (15)Whistleblowing Officer (9)DORA (15)AI (3)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (21)Tisková zpráva (3)P3M3 (1)Business Simulation (4)Sankce (1)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (4)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (30)NIS2 (19)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (13)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (44)Pokuta (19)Hospodářská soutěž (1)eGovernment (1)Regulace (30)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play