Oznamovatelé neboli tzv. whistlebloweři hrají podle orgánů EU klíčovou roli při odhalování a předcházení porušování unijních předpisů. Potenciálním oznamovatelům však mohou v učinění oznámení bránit obavy z případných následků takového podání. Whistleblowingová směrnice má za cíl vytvořit pro oznamovatele bezpečný prostor zavedením povinnosti orgánů členských států a soukromých subjektů nastavit vhodné mechanismy na jejich ochranu a současně také zajistit skutečné prošetření daných oznámení a přijetí nápravných opatření.

Zákon o ochraně oznamovatelů upravuje podávání a postup posuzování oznámení o možném protiprávním jednání a podmínky ochrany oznamovatelů, za které považuje fyzické osoby, jež oznámení učinily. Jednání, na jejichž oznamování se má ochrana oznamovatelů vztahovat, jsou mimo jiné ta, která naplňují znaky skutkových podstat trestných činů či přestupků, pro které je stanovena horní sazba pokuty alespoň 100 000 Kč. Dále půjde o jednání, která porušují zákon o ochraně oznamovatelů, jiné právní předpisy či unijní předpisy ve vybraných oblastech – finanční, daňové nebo AML předpisy, předpisy na ochranu spotřebitele, hospodářské soutěže, osobních údajů, životního prostředí a řadu dalších. V tomto kontextu je vhodné také zmínit, že možnost oznamování přestupků s horní sazbou pokuty alespoň 100 000 Kč otevírá potenciálním oznamovatelům prostor pro oznamování mnohem širšího spektra porušení předpisů než jen z explicitně definovaných oblastí. Mezi uvedené přestupky se budou řadit například prohřešky zaměstnavatelů na poli pracovněprávním, z nichž lze zmínit nelegální zaměstnávání, včasné nezaplacení mzdy či neproplácení přesčasů, porušení povinnosti poskytnout zaměstnancům za stejnou práci stejnou mzdu, diskriminace zaměstnance, porušení povinností zaměstnavatele vztahující se k délce a čerpání dovolené, ale třeba i neposkytnutí přestávky na jídlo a oddech a mnohé další. Typově se bude jednat i o další přestupky, které nemusejí souviset s pracovněprávními povinnostmi zaměstnavatele, například porušení povinnosti právnické osoby uvádět na obchodních listinách firmu, podat návrh na zápis, změnu nebo výmaz zápisu v obchodním rejstříku, založit povinné listiny do sbírky listin a další. Ucelený seznam těchto přestupků prozatím nebyl vytvořen, což značně snižuje přehlednost právní úpravy whistleblowingu a může vyvolávat mnohé praktické problémy s ohledem na potenciální nejistotu oznamovatelů o tom, která protiprávní jednání vlastně oznámit.

Dotčené osoby

Opatření a mechanismy na ochranu oznamovatelů budou podle zákona o ochraně oznamovatelů muset zavést definované povinné subjekty. Těmi jsou zejména některé orgány veřejné moci nebo zadavatelé veřejných zakázek (s určitými výjimkami, jako jsou například menší obce a některé právnické osoby s průměrným počtem méně než 50 zaměstnanců k 1. lednu příslušného kalendářního roku, které jsou převážně financované kraji či obcemi či v nich kraje nebo obce uplatňují rozhodující vliv). Dále také soukromé právnické osoby, na něž se rovněž uplatní minimální hranice 50 zaměstnanců. Výjimkou, pro kterou nebude počet zaměstnanců rozhodující, budou v tomto ohledu představovat především povinné osoby podle AML zákona, které mají povinnost vytvořit systém pro oznamování i podle stávající právní úpravy, a vybrané subjekty finančního trhu, které nejsou AML povinnými osobami.

Podávat oznámení podléhající ochraně však nebude moci kdokoli, ale pouze oznamovatelé, kteří u osoby, jejíž jednání oznamují (byť zprostředkovaně), vykonávali nebo vykonávají práci nebo jinou obdobnou činnost, případně s ní byli či jsou v kontaktu v souvislosti s výkonem práce nebo jiné obdobné činnosti. Prací nebo obdobnou činností pak bude potřeba rozumět široké spektrum činností od zaměstnání přes dobrovolnictví až po dodavatelskou činnost. Až na výjimky (například v AML oblasti) bude muset oznámení obsahovat nejen informace o možném protiprávním jednání, ale také osobní údaje oznamovatele umožňující dovodit jeho totožnost.

Povinnosti povinných subjektů

Ochrana oznamovatelů bude povinnými subjekty realizována zejména prostřednictvím vnitřního oznamovacího systému („oznamovací systém“), který musí povinné subjekty zavést a udržovat. Zákon o ochraně oznamovatelů současně, až na výjimky, umožní vedení oznamovacího systému outsourcovat na jinou osobu (externího dodavatele) nebo jej za stanovených podmínek také sdílet v rámci skupiny. Oznamovací systém musí v každém případě oznamovatelům umožňovat podat oznámení písemně i ústně. Na žádost musí mít oznamovatelé možnost podat oznámení také osobně. Zvukovou nahrávku ústně podaného oznámení lze pořídit jen se souhlasem oznamovatele. Pokud oznamovatel souhlas neudělí, bude o oznámení vyhotoven záznam. K přepisu zvukové nahrávky nebo záznamu se má oznamovatel právo vyjádřit. Způsobem umožňující dálkový přístup, tedy zpravidla na svém webu, pak povinný subjekt zveřejní informace o způsobech oznamování prostřednictvím svého oznamovacího systému vč. patřičných kontaktních údajů pro podávání oznámení a způsobu oznámení přímo ministerstvu spravedlnosti. Zveřejní také informaci o tom, že případně vylučuje přijímání oznámení od třetích osob, tj. od osob, které nejsou zaměstnancem, osobou ucházející se o zaměstnání, dobrovolníkem či osobou na praxi či stáži u povinného subjektu.

Povinný subjekt dále určí příslušnou osobu (nebo osoby) k plnění povinností podle zákona o ochraně oznamovatelů. Příslušnou osobou může být pouze bezúhonná, zletilá a plně svéprávná fyzická osoba. Tato osoba podle zákona o ochraně oznamovatelů zejména přijímá a posuzuje důvodnost podaných oznámení a navrhuje opatření k nápravě nebo předejití protiprávnímu stavu. Příslušná osoba bude také povinna vykonávat svou činnost nestranně a zachovat o zjištěných skutečnostech mlčenlivost.

O přijetí oznámení je příslušná osoba (s určitými výjimkami) povinna oznamovatele písemně vyrozumět. Dále musí oznamovatele písemně vyrozumět i o výsledku posouzení důvodnosti oznámení. Pokud příslušná osoba při posuzování důvodnosti oznámení zjistí, že nejde o oznámení ve smyslu zákona o ochraně oznamovatelů, například proto, že oznamované jednání je přestupkem, na nějž zákon stanovuje horní sazbu pokuty nižší než 100 000 Kč, a současně nejde ani o porušení jiných vymezených předpisů, vyrozumí o tom písemně oznamovatele. Příslušná osoba tedy provádí interní šetření, jež se skládá ze dvou částí: i) zjišťování, zda jde o oznámení ve smyslu zákona o ochraně oznamovatelů, a je-li tato podmínka splněna, pak také z ii) posuzování důvodnosti daného oznámení. Vyhodnotí-li příslušná osoba oznámení jako důvodné, navrhne povinnému subjektu opatření k předejití nebo nápravě protiprávního stavu. Pokud však oznámení jako důvodné nevyhodnotí – tedy na základě skutečností uvedených v oznámení a z okolností, které jí jsou známy, neshledá podezření ze spáchání protiprávního jednání, případně dospěje k závěru, že se oznámení zakládá na nepravdivých informacích – vyrozumí oznamovatele také o této skutečnosti.

Ochranná opatření

Jádro ochrany oznamovatelů pak představuje zákaz odvetných opatření, tedy jednání nebo opomenutí v souvislosti s prací nebo jinou obdobnou činností oznamovatele, které bylo vyvoláno učiněním oznámení a které oznamovateli nebo na něj navázaným osobám (například pomocník při zjišťování informací, jeho osoba blízká nebo kolega) může způsobit újmu. Odvetnými opatřeními jsou zejména jednání, která mají negativní dopad na pracovněprávní vztah nebo služební poměr těchto oznamovatelů a na ně navázaných osob (například rozvázání pracovního poměru, neprodloužení pracovního poměru na dobu určitou nebo odvolání z vedoucí pozice), jejich pracovní hodnocení nebo odměnu za práci (včetně nepřiznání osobního příplatku). Osoba, pro kterou oznamovatel vykonává práci nebo jinou obdobnou činnost, tak nesmí umožnit, aby byly chráněné osoby vystaveny odvetnému opatření. V případě, že jim bude odvetným opatřením způsobena újma, vznikne těmto osobám právo nejen na náhradu majetkové újmy podle obecných právních předpisů, ale i na přiměřené zadostiučinění za újmu nemajetkovou.

Oznamovatelé budou moci za určitých okolností podávat oznámení také navzdory svým smluvním či zákonným povinnostem. Bude-li například oznamovatel vázán povinností mlčenlivosti stanovenou zvláštními právními předpisy (například bankovní tajemství), bude moci oznámení podat za předpokladu, že měl oprávněné důvody domnívat se, že oznámení bylo nezbytné pro odhalení protiprávního jednání, aniž by tím mlčenlivost porušil. Z uvedeného pravidla však nová právní úprava zakotvuje řadu výjimek, a neprolomena v tomto ohledu tak nadále zůstane například advokátní, soudní či lékařská mlčenlivost.

S ohledem na demonstrativnost výčtu možných odvetných opatření lze zaměstnavatelům, kteří budou povinnými subjekty, doporučit především proškolování vedoucích pracovníků, opatrnost při uplatňování jakýchkoli postihů za porušování pracovní kázně a důslednou dokumentaci veškerých relevantních skutečností. Například v případě, že bude některý zaměstnanec dlouhodobě vykazovat neuspokojivé pracovní výsledky, by měl zaměstnavatel před uplatněním kázeňských postihů vždy nashromáždit dostatek přesvědčivých důkazů o neplnění povinností a včasně a prokazatelně jej na jeho neuspokojivý výkon upozornit. A to mimo jiné proto, aby zamezil případnému posouzení kázeňského postihu jako odvetného opatření. Současně by však zaměstnavatelé neměli zapomínat ani na důsledné dodržování zásady rovnosti v souvislosti s poskytováním bonusů, povyšováním nebo aplikací jiných pozitivních opatření, jejichž nepřiznání může být rovněž posouzeno jako odvetné opatření.

Ochrana oznamovatelů a GDPR

Implementace oznamovacího systému ovlivní u povinných subjektů také řadu dalších procesů. V souvislosti s přijímáním oznámení a jejich šetřením budou povinné subjekty pravděpodobně zpracovávat osobní údaje, které dříve nezpracovávaly, případně je zpracovávaly za jiným účelem. Ke změnám proto dochází zejména ve vztahu k ochraně osobních údajů podléhající úpravě stanovené obecným nařízením GDPR. Mezi tyto osobní údaje může patřit velké množství informací o oznamovateli, dotčených osobách, svědcích, ale i dalších osobách. Je proto potřeba definovat rozsah a nový účel zpracování osobních údajů v relevantní dokumentaci, především v záznamech o činnostech zpracování či interních směrnicích pro zaměstnance. Při snaze o co nejvyšší transparentnost by měly povinné subjekty upravit existující dokumenty týkající se zpracování osobních údajů s přijímáním a prošetřováním oznámení, ale i v souvislosti si outsourcováním whistleblowingového řešení. Dopady na bezpečnost a ochranu osobních údajů bude nutné pečlivě posoudit i při každém jednotlivém šetření oznámení.

Nutná bude také specifikace právního titulu pro zpracování osobních údajů v souvislosti s oznámením. V případě, že povinný subjekt zpracovává pouze informace obsažené v oznámení podle zákona o ochraně oznamovatelů, budou tyto osobní údaje zpracovávány z titulu plnění zákonných povinností. Pokud však právnická osoba zavede oznamovací systém, přestože není povinným subjektem nebo jako povinný subjekt umožňuje skrze oznamovací systém také oznamování porušení nespadající do úpravy zákona o ochraně oznamovatelů, je možné u zpracování předmětných údajů dovodit zpracování na základě oprávněného zájmu dané povinné osoby. V takovém případě však upozorňujeme především na nutnost vyhotovení balančního testu pro toto zpracování.

Při šetření oznámení nesmí povinné subjekty zapomenout také na dodržování všech zásad stanovených nařízením GDPR, především pak na zásadu minimalizace údajů. Povinné subjekty by při šetření oznámení neměly zpracovávat více osobních údajů, než je pro šetření nutné. To může být v praxi samozřejmě problematické, zejména s ohledem na nutnost vyhodnocení údajů relevantních pro dané šetření.

Další oblastí, kde může potenciálně docházet ke střetu nové úpravy a ochrany osobních údajů, je vypořádávání žádostí subjektů údajů uplatňujících svá práva v souvislosti se zpracováváním osobních údajů, především práva na výmaz a přístup k osobním údajům. Pokud subjekt údajů, jehož údaje byly získány na základě oznámení (dotčená osoba, svědek, oznamovatel), požádá o výmaz svých osobních údajů, lze ho odmítnout s tím, že dané osobní údaje jsou stále potřebné pro účely, pro které jsou zpracovávány (čímž není naplněna podmínka stanovená v čl. 17 odst. 1 písm. a) GDPR), případně s tím, že je jejich zpracování nezbytné pro splnění právní povinnosti či pro obhajobu, výkon, nebo určení právních nároků (podle čl. 17 odst. 3 písm. b) a písm. e) GDPR). Pokud subjekt údajů žádá o přístup k osobním údajům, je nutné mu poskytnout osobní údaje pouze v takovém rozsahu, který se dle čl. 15 odst. 4 GDPR nepříznivě nedotkne práv třetích osob, tj. nevyzradí například identitu oznamovatele, čímž by zmařil šetření, ale i práv samotného zaměstnavatele. O veškerých rozhodnutích o nevyhovění žádostem subjektů údajů je pak potřeba vést dokumentaci.

Při zavádění oznamovacího systému budou muset povinné subjekty dále zkontrolovat a případně upravit také skartační a archivační řád. Zákon o ochraně oznamovatelů totiž výslovně stanovuje povinnost uchovávat oznámení a dokumenty s ním související po dobu 5 let, což musí být do skartačního a archivačního řádu promítnuto. Uchovávat osobní údaje pro statistické účely po dobu přesahující 5 let je možné pouze při anonymizaci veškerých zpracovávaných údajů. V takovém případě je však potřeba také zohlednit a minimalizovat možnost nepřímé identifikace subjektu osobních údajů, například na základě národnosti.

V neposlední řadě by měly povinné subjekty nastavit vhodná technická a organizační zabezpečení osobních údajů získaných na základě oznámení. Koneckonců, ochrana oznamovatelů a jejich osobních údajů jsou jedním z cílů přijatého předpisu a whistleblowingové směrnice.

Závěrem – některé praktické otázky

Zákonné povinnosti budou způsobovat řadu praktických problémů, zejména v situaci, kdy už společnosti systém na oznamování nekalých jednání mají, a to například na skupinové úrovni. V řadě českých dceřiných společností se využívají skupinové systémy, kdy společnosti patřící do takového uskupení benefitují ze systému spravovaného mateřskou společností. Skupinová řešení poskytují nejenom oznamovací kanál, ale i profesionální tým řešící dané oznámení skládající se z potřebných odborníků. Oznámení tedy neřeší konkrétní příslušná osoba, jak požaduje náš zákon, ale typicky skupinové oddělení compliance (nebo Legal and Compliance), případně skupinové oddělení interního auditu. Do šetření častokrát lokální společnost nezasahuje, primárně s cílem zajistit maximální nezávislost a profesionalitu. Tím jsou tedy ošetřeny situace, kdy oznámení směřuje na vedení příslušné lokální společnosti, resp. když lokální společnost nemá kapacity, dostatečné znalosti a kompetence, ale i technologické zázemí oznámení prošetřit. Přijetím zákona bude nutné tyto postupy a systémy sladit nejenom s českým zákonem, ale i se zákony v jiných zemích.

Jako problematické vnímáme zejména povinnost, aby se s příslušným oznámením seznamovala výhradně konkrétní „příslušná osoba“, resp. příslušné osoby, pokud jich společnost stanoví víc, aniž by měla možnost oznámení sdělit dalším osobám, které se budou účastnit vyšetřování, např. speciální interní skupinový vyšetřovací tým. Příslušná osoba totiž nebude mít nikdy dostatek praktických zkušeností, znalostí a praxe, aby prošetřila závažná oznámení (např. ohledně účetních podvodů, tunelování společností, konfliktu zájmů, případně korupce), jak ji definuje náš zákon. Skupinová compliance oddělení tedy do velké míry ztratí kontrolu nad „lokálnímí“ oznámeními a nebudou mít jistotu, že tato oznámení budou dostatečně odborně a důkladně posouzena.

Bude tedy na kreativitě skupinového vedení, jak se s novými povinnostmi v jednotlivých jurisdikcích EU popasovat, zachovat si přehled a snad i kontrolu nad tím, co se v jednotlivých společnostech děje, a jak skloubit skupinová whistleblowingová řešení s lokálními požadavky příslušných zákonů, zejména s ohledem na možnost sdílení a outsourcing whistleblowingových řešení a podporu během provádění interních šetření.

Použité zdroje:

Směrnice Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie

Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

Článek vyšel dne 8. srpna 2023 na webu epravo.cz. (redakčně upraveno)