Podnikové právníky v oblasti compliance aktuálně vytěžuje nová úprava whistleblowingu. „Příprava našich členů na účinnost zákona je anebo byla v zásadě podobná: získat co nejvíce informací ke ‚správnému čtení a porozumění‘ textu zákona, ale také praxí ověřených zkušeností a variant možných řešení požadavků zákona, které budou i nákladově přijatelné,“ říká v našem rozhovoru Vladimír Valenta, vedoucí sekce Compliance Unie podnikových právníků ČR. Z jejich hledáčku ale samozřejmě nezmizela ani témata, jako jsou GDPR nebo trestní odpovědnost právnických osob.
Předpokládám, že vaším ústředním tématem je v tuto chvíli nová úprava whistleblowingu. Jak ji hodnotíte?
Předpokládáte naprosto správně. Nové právní úpravě whistleblowingu v České republice se v Unii podnikových právníků opakovaně věnujeme od konce loňského roku, kdy byl do legislativního procesu předložen návrh dnes již schváleného zákona o ochraně oznamovatelů a s ním i doprovodného zákona. Díky naší spolupráci se Svazem průmyslu a dopravy ČR, jako připomínkovým místem, jsme měli možnost uplatnit nejen své kritické připomínky, ale také konstruktivní návrhy na způsoby úprav nebo řešení diskutovaných podrobností. Návrhy vycházely z vlastních praktických zkušeností s již zavedenými a provozovanými vnitřními oznamovacími systémy v řadě našich členských společností. A to po dobu podstatně delší, než jen od konce roku 2021, kdy nastala přímá účinnost směrnice EU o ochraně oznamovatelů, která se na část z nich také vztahovala. Některé z připomínek do vládního návrhu byly promítnuty a jiné odmítnuty, vzhledem ke zvolené koncepci zákona.
Mám-li stručně vyjádřit svůj názor na tuto úpravu, převažují v něm pozitivní přínosy jak z celospolečenského hlediska, tak z hlediska právní jistoty osob zúčastněných v jednotlivých institucích a společnostech na podávání a posuzování, i prošetřování a řešení konkrétních oznámení. Část menších nedokonalostí nebo sporných nastavení se zajisté podaří eliminovat v rámci výkladové praxe. Tomu nasvědčuje zájem, přístup a ochota pracovníků Odboru střetu zájmů a boje proti korupci Ministerstva spravedlnosti ČR na mnoha vzdělávacích a vysvětlovacích akcích v období předcházejícím účinnosti zákona o ochraně oznamovatelů. A na ty další snad odpoví dosud absentující judikatura.
Co se v novém zákoně podle vás povedlo, a co naopak nepovedlo?
Zákon o ochraně oznamovatelů v jednom právním předpisu propojuje dvě autonomní oblasti, důležité pro funkční a v praxi přínosný systém motivace ke zjišťování závažných protiprávních jednání jak ve veřejnoprávní, tak v soukromoprávní oblasti. Svým nastavením podstatně usnadňuje podávání oznámení a určuje právní rámec aktivit, nezbytných pro jejich posuzování, prošetřování a případného adekvátního reagování na zjištěné skutečnosti. Jednoznačné vymezení povinných subjektů se stanovenou povinností zavést vnitřní oznamovací systém, určit příslušné osoby odpovědné za nastavení a chod tohoto systému a přijímat nápravná opatření v případě důvodných oznámení je tou první oblastí.
Tou druhou, srovnatelně důležitou, je vlastní ochrana oznamovatelů. Dá se říci, že je esenciální součástí a předpokladem fungování „systému whistleblowingu“ v instituci nebo společnosti. Zákon v této části představuje poměrně ucelenou úpravu ochrany, a to nejen oznamovatele, ale i dalších vybraných osob (např. jemu blízkých osob a dalších). Klíčem v ní je uložená zákonná povinnost mlčenlivosti určené příslušné osoby o autoru oznámení vůči všem ostatním, na obsahu a podstatě oznámení zainteresovaným subjektům. Ochrana primárně směřuje k zajištění zákazu odvetných opatření v širokém slova smyslu, i ochraně identity nejen oznamovatele, ale i dalších chráněných osob. A přesouvá tak v praxi obvyklou pozornost z osoby oznamovatele v podobě otázky: „Kdo to sdělil?“ na podstatu oznámení v otázkách: „Stalo se to, co je sděleno? A pokud ano, co nám hrozí, a jak se hrozbě můžeme bránit?“. Určená příslušná osoba v každé společnosti tak fakticky bude „povinným anonymizátorem známých oznamovatelů“.
Významnějších slabin ve schválené podobě zákona není mnoho, jsou výsledkem poslaneckých iniciativ, vycházejících více z radikálnějších nebo konzervativnějších postojů a názorů než z věcných analýz a posouzení jejich dopadů. Za první z těchto slabin považuji rozšíření věcné působnosti zákona nad základní rámec směrnice EU, pokud jde o oznamování jednání, které má znaky závažnějších přestupků. Rozsah jednání, které lze oznamovat, se tím významně rozšířil. A to v porovnání s trestnými činy o méně závažné přestupky, které často představují jednání s menší společenskou škodlivostí při srovnatelných nákladech na jejich prošetřování a řešení. Pro veřejnoprávní subjekty možná rozšíření rozsahu oznamovaných protiprávních jednání o přestupky nepředstavuje zásadnější problém. Zástupci soukromoprávních povinných subjektů však nahlížejí tuto situaci jinak. Zejména podnikoví právníci v malých a středních firmách, kterých je z hlediska počtu na trhu v České republice podstatná většina. A to za situace, kdy ani dosud není k dispozici spolehlivý přehled právních předpisů a v nich obsažených správních přestupků, které do tohoto vymezení patří.
Další slabinou je absence povinnosti přijímat anonymní oznámení. Toto omezení možná povede k mírnému snížení rizika zneužití oznamovací linky, ale stejně tak odradí některé oznamovatele od podání jejich důvodných oznámení. Příjem a vyřizování anonymních oznámení patří v podnikatelském prostředí k dobré praxi. Věřím, že zkušení a uvážliví lidé ve vedení podniků zpravidla budou tento nedostatek eliminovat tím, že dobrovolně rozhodnou „ve svých podnicích“ pro přijímání a vyřizování i anonymních oznámení ve shodném nebo obdobném režimu. A navenek tak vyšlou čitelnou informaci veřejnosti o jejich zájmu využívat všechny pozitivní vlastnosti uceleného „systému whistleblowingu“, které jim nabízí.
Jak se na účinnost nových pravidel členové UPP připravují?
Z řady našich workshopů a jednání v Unii podnikových právníků vyplynulo, že příprava našich členů na účinnost zákona je anebo byla v zásadě podobná: získat co nejvíce informací ke „správnému čtení a porozumění“ textu zákona, ale také praxí ověřených zkušeností a variant možných řešení požadavků zákona, které budou i nákladově přijatelné. Mnoho z nás využilo i semináře organizované jak Ministerstvem spravedlnosti ČR, tak advokátními kancelářemi a poradenskými společnostmi specializovanými na compliance programy, k ověření svých názorů anebo získání inspirace k nastavování vnitřního oznamovacího systému v konkrétních podmínkách podniku. Časovou výhodu v přípravě mají malé a střední podniky do 249 zaměstnanců, pokud nejsou veřejnými zadavateli nebo AML povinnými subjekty. Pro vytvoření svého „systému whistleblowingu“ podle zákona a spuštění do provozu mají čas do 15. prosince 2023. Na rozdíl od těch větších anebo zákonem určených, jejichž oznamovací systém odpovídající požadavkům zákona, už by měl být v provozu od 1. srpna tohoto roku.
UPP nedávno pořádala seminář na téma Vnitřní oznamovací systémy. K čemu jste
dospěli? Jak je správně nastavit?
Ano, týden před účinností zákona se nám díky ochotě a zájmu JUDr. Jiřího Kaprase, ředitele Odboru střetu zájmů a boje proti korupci, a Mgr. Johany Trešlové, zaměstnankyně téhož odboru Ministerstva spravedlnosti ČR, podařilo uskutečnit další ze seminářů orientovaný právě na praktickou aplikaci požadavků zákona v podnikových procesech a postupech. Po krátkém úvodu ke každému z vybraných témat vždy následovaly série konkrétních dotazů adresované prezentujícím zástupcům ministerstva, kladených podnikovými právníky z více než 40 společností. A formulace dotazů svědčily o porozumění účastníků textu zákona a potřebě ujištění se či získání nápovědy vhodného nastavení některého prvku nebo činnosti v podnikovém oznamovacím systému. Tento výrazně interaktivní přístup účastníci oceňovali jako přínosný.
Plánuje UPP v tomto ohledu ještě nějaké další vzdělávací aktivity?
Na přelom října a listopadu letošního roku připravujeme seminář zaměřený na prošetřování oznámení protiprávního jednání v podnikovém prostředí. Organizaci, postupy a techniky bude prezentovat jeden z našich členů, který má s touto činností víceleté osobní zkušenosti a působí i jako školitel. Ke zvýšení přínosu semináře pro praxi jednáme o společném vystoupení s doc. PhDr. Ludmilou Čírtkovou, CSc., Dr.h.c., zkušenou forenzní psycholožkou a soudní znalkyní, orientovanou na psychologické aspekty vyšetřovacích metod k praktickým možnostem jejich použití v podnikovém prošetřování.
Jaká je nyní situace, pokud jde o GDPR? Je všechno jasné?
Po pěti letech od účinnosti tohoto evropského nařízení, doplněného v roce 2019 českým zákonem o zpracování osobních údajů, by se při zběžném pohledu mohlo zdát, že ve většině GDPR témat je jasno. Teprve pohled pod hladinu ukazuje, že nasazování a využívání stále pokročilejších technologií a nárůst na ně reagujících právních úprav a regulací generují nové otázky o způsobech řešení a podmínkách jejich používání, které odpovídají základním principům a zásadám GDPR. Míra komplexity nás přivedla k poznání, že v Unii sami nedokážeme udržovat odbornost na úrovni nezbytné pro potřeby našich členů. Proto jsme již před třemi roky navázali úzkou spolupráci se Spolkem pro ochranu osobních údajů (SPOOÚ) a navzájem se podporujeme v našich aktivitách, které nás odborně propojují. Příkladem za všechny je dříve uvedený „systém whistleblowingu“, který je na zpracování osobních údajů postaven, a „dodržení GDPR“ si žádá zcela jednoznačné a srozumitelné „instrukce“, případně vysvětlení, jak tento soulad zajistit. Již v roce 2021 jsme na společných workshopech vyhodnotili směrnici EU o ochraně oznamovatelů právě z hlediska GDPR a připravili odborná doporučení, která jsme veřejnosti představili na společném semináři v lednu 2022. Kolegové ze SPOOÚ s tématem dále pracovali a letos v červenci jsme byli velmi potěšeni, když jsme na webové stránce Ministerstva spravedlnosti ČR – Oznamovatel našli vzorový vnitřní předpis k ochraně oznamovatelů, který v textu i doprovodném komentáři obsahuje praktický „návod“, jehož základy jsme před rokem a půl vytvořili společně se SPOOÚ.
A kdo má zájem dozvědět se více o jasnosti GDPR, nebo spíše aktuálních nejasnostech, tomu doporučuji zúčastnit se letos již 7. výroční konference GDPR 2023, s mezinárodní účastí, pořádané dne 5. října 2023 v Praze právě Spolkem pro ochranu osobních údajů. Unie podnikových právníků podporuje její konání a doporučuje účast i svým členům, kteří oblast GDPR potřebují znát podrobněji a rozumět jí více.
A jak se podle vás tato právní úprava osvědčuje?
Po pěti letech podnikového života pod vlivem GDPR (a soukromého rovněž) se přikláním ke kladnému hodnocení této právní úpravy. Některé konkrétní případy nadužívání nebo zneužívání osobních údajů i veřejnoprávními orgány (např. z „covidového období“) by spíše hovořily pro opačný názor. Ale reakce Úřadu pro ochranu osobních údajů a rozhodnutí obecných soudů, zastřešených Nejvyšším správním soudem v těchto případech mne utvrdily v názoru, že GDPR a jeho působení v České republice tím prokázalo svůj smysl při zajišťování jednoho z hlavních ústavních práv, práva na soukromí.
V některých obdobích se velmi intenzivně řešil zákon o trestní odpovědnosti
právnických osob, nyní tomu už ale tak úplně není. Čím to je?
Podle mne jste svou otázkou přesně vystihl povahu té změny. Řešení dopadů zákona o trestní odpovědnosti právnických osob nezmizelo z našich „radarů“. Jen se snížila intenzita pozornosti a komunikace k samotnému zákonu a tvrdosti možných trestů. Přesunula se na to aktuálnější a z dlouhodobého hlediska i důležitější – jak se v podnicích účelně a efektivně chránit před dopady případného protiprávního jednání vedoucích nebo zaměstnanců (včetně členů statutárního orgánu), přičitatelného podle zákona jejich zaměstnavateli, a „dosáhnout“ na možnost vyvinění z trestní odpovědnosti takové právnické osoby. Tento posun odstartovalo v listopadu 2020 uveřejnění Metodiky Nejvyššího státního zastupitelství k aplikaci § 8 odst. 5 zákona o trestní odpovědnosti právnických osob a řízení proti nim (ve třetím přepracovaném vydání). Přestože dokument je adresován státním zástupcům, svým obsahem a způsobem zpracování vyvolal i žádoucí odezvu zejména u advokátů nebo podnikových právníků, kteří se prevenci trestní odpovědnosti právnických osob věnují. A zpopularizoval podstatu a smysl dříve málo známých pojmů compliance program nebo compliance management systém jako „doplňující“ způsob vnitřní organizace a řízení podniku, který umožňuje v případě potřeby na vyvinění z trestní odpovědnosti dosáhnout.
Compliance management systémy (CMS) i jejich komponenty už dnes mají své mezinárodní ISO standardy a nejsou výhradně doménou právníků, ale také odborníků na správu společností (Governance), na procesy jejich organizace a řízení, řízení rizik anebo na interní audit. Proto se na vytváření, provozování a postupném zlepšování CMS podílí v podnicích více odborností než jen právníci. Mimochodem „whistleblowing“, kterým jsme tyto otázky začali, je jednou z komponent CMS, která má také svůj ISO standard. A to dokládá, že zůstáváme „na základech“ zákona o trestní odpovědnosti právnických osob. Jen jsme se přesunuli z pozice „represí a jejich dopadů“ do pozice „prevence a jejích možností“ a z pohledu obecného k tomu konkrétnímu.
Dá se obecně říci, co je v oblasti compliance pro podnikové právníky nejproblematičtější?
Z mé osobní zkušenosti je to přístup k této profesi. V compliance nestačí podnikovému právníku jen vědět, co zákon nebo regulace požaduje a jak vypadá stav shody nebo dodržení. Nestačí být schopen tyto věci sdělit nadřízeným a spolupracovníkům v podniku, zajistit správnou „interpretaci“ právní normy. Podnikový právník působící v compliance potřebuje navíc schopnost „implementace“ takových požadavků do konkrétních aktivit a činností podniku. Zjednodušeně řečeno, měl by si umět představit a navrhnout postup provedení potřebných změn, osoby, které by se na ní měly podílet, a konkrétní změny, které je nutné provést v řídících dokumentech a pracovních postupech. Včetně informování nebo proškolení příslušných zaměstnanců, a ověření funkčnosti změn, aby taková implementace nezůstala jen „na papíře“.
Navrhovali byste v tomto ohledu nějaké změny zákonů?
Po poslední novelizaci zákona o trestní odpovědnosti právnických osob v červnu 2022 osobně nevidím akutní potřebu navrhovat změny příslušných zákonů týkajících se compliance, byť o tom část odborné veřejnosti nadále diskutuje. Za přínosnější nyní považuji větší popularizaci ISO standardů, zejména Systémy managementu shody (ISO 37301) a Systémy protikorupčního managementu (ISO 37001). A sdílení pozitivních příkladů a zkušeností s jejich využitím, kterých každým rokem přibývá nejen v soukromých podnicích, ale i mezi podniky vlastněnými kraji a obcemi.
Co vás osobně nejvíce zajímá právě na oblasti compliance? To, jak je široká
a neustále různorodá?
I tak se to dá říci. A také tím, že umožňuje poznat vlastní firmu a lidi v ní působící z více stran a v širších vnitřních i vnějších souvislostech. A nabízí příležitosti k neformálnímu střídání různých rolí, jako je expert, interní konzultant, koordinátor nebo i manažer řízení změn, komunikátor a školitel. A v nich uplatňovat širší paletu dříve získaných znalostí a dovedností, včetně nezbytné kreativity.
—————
Vladimír Valenta
V Unii podnikových právníků ČR vede sekci Compliance, na jejímž vytvoření se podílel. V Unii je činný od roku 2017. Angažuje se i v Českém institutu interních auditorů, jehož byl v minulosti prezidentem. Podílel se také na založení České Compliance Asociace. Působil v Agrobance Praha, GE Capital Bank, později ve skupině GE Money CZ, v ČEZ a v současné době působí v compliance týmu v České poště.
Článek vyšel ve speciálu magazínu Lawyers & Business Compliance 2023/2024.