Před čím organizaci chrání compliance systém?
Compliance program nebo compliance management systém (CMS) plní řadu úloh. Pokud je v organizaci doopravdy zaveden, je funkční, přiměřený, aktuální a dokumentovaný, může pomoci s:
definováním a uplatněním základních hodnot organizace
nastavením vnitřních kontrol a předcházením finančním ztrátám
zvyšováním firemní kultury
odentifikací a snížením mnoha rizik (pokut, žalob, reputačních rizik)
Pozitivní přínosy efektivního CMS platí jak u obecných compliance procesů, jako je řízení compliance rizik, kontrola dodavatelů či whistleblowing, ale i u zajištění souladu se sektorovou právní úpravou. Regulace je stále komplexnější a složitější, do výkladu pravidel zasahují dozorové úřady, soudy, oborové asociace i další subjekty. Kvalitní compliance program včas zachytí a do prostředí organizace implementuje i všechny důležité legislativní změny.
Novinek je skutečně mnoho. Víte například, že podle připravované metodiky Úřadu pro osobních údajů budou v režimu GDPR nově i online kamery?
Compliance je (nekonečný) proces
Regulace je mnoho, compliance rizik a hrozeb ještě víc. Pro ochranu práv organizace, zajištění souladu s předpisy a efektivní a transparentní nakládání s finančními prostředky je nutné nastavit odpovídající vnitřní kontrolní systém. Nejenom formální kontrolu, která reálně žádnou hrozbu neodhalí, ale ani ne přebujelý aparát a procesy, které budou nepřiměřeně zatěžovat ostatní útvary.
Proto je důležité si uvědomit, že compliance je proces, nikoliv stav, kterého lze jednou provždy dosáhnout. Compliance management systém je způsob řízení organizace, jehož součást jsou interní postupy a procesy, které mají zajistit, že bude postupováno v souladu s právem, regulací a etickými hodnotami. A že vnitřní kontroly a další opatření budou pravidelně hodnoceny a v případě potřeby upraveny tak, aby stále vyhovovaly zájmům dané organizace.
Proto, aby compliance systém mohl skutečně splnit svoji roli, je nezbytné, aby byl:
přiměřený a přizpůsobený podmínkám a možnostem organizace
nastaven podle hlavních compliance rizik, kterým organizace čelí
zavedený do praxe, nikoliv jen na papíru
podporovaný shora, od vrcholového vedení
skutečně realizovaný, neprováděný jen na oko
pravidelně revidovaný, doplňovaný a aktualizovaný
v organizaci známý a skutečně žitý
Sebekrásnější směrnice, které leží v šuplíku, nebo nablýskaný etický kodex, kterým se v praxi neřídí ani pan generální ředitel, nejsou k ničemu.
Systémová chyba nebo exces jednotlivce?
Compliance systém, který splňuje všechny uvedené požadavky, může mít i další pozitivní efekt: Může organizaci uchránit před pokutou nebo jiným postihem od úřadů či soudů.
Jak to?
Protože organizace s funkčním a dokumentovaným compliance programem může doložit, že udělala vše, co po ní bylo možné objektivně požadovat, aby porušení zákona nenastalo. A že porušení, ke kterému přesto došlo, není její chyba, ale je způsobeno selháním jednotlivce. Zaměstnance, který ignoroval všechny svoje povinnosti a interní postupy, obcházel vnitřní kontroly a způsobil porušení příslušné regulace.
V praxi se často hovoří o možnosti tzv. vyvinění z trestní odpovědnosti pro firmy. Zákon o trestní odpovědnosti právnických osob v § 8 odst. 5 umožňuje, aby se obchodní společnosti v případě trestního stíhání vyvinily, pokud doloží zavedený compliance program. Za trestný čin spáchaný při činnosti právnické osoby může být uložen, kromě finanční sankce, například i zákaz účasti ve veřejných zakázkách a soutěžích. Což pro některé firmy může být takřka likvidační.
Podobné ustanovení obsahuje i přestupkový zákon.
V § 21 zákona o odpovědnosti za přestupky a řízení o nich je uvedeno následující:
(1) Právnická osoba za přestupek neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby přestupku zabránila.
(2) Právnická osoba se nemůže odpovědnosti za přestupek zprostit, jestliže z její strany nebyla vykonávána povinná nebo potřebná kontrola nad fyzickou osobou, která se za účelem posuzování odpovědnosti právnické osoby za přestupek považuje za osobu, jejíž jednání je přičitatelné právnické osobě, nebo nebyla učiněna nezbytná opatření k zamezení nebo odvrácení přestupku.
Přestupkovým zákonem se při ukládání pokut řídí takřka všechny správní orgány, které kontrolují dodržování sektorové regulace. A trestají její porušení. Platí to i pro ÚOOÚ.
Kolik správců osobních údajů odvrátilo pokutu díky compliance programu?
Úřad pro ochranu osobních údajů nedávno zveřejnil informaci o tom, kolik správců osobních údajů se zatím díky compliance programu vyhnulo pokutě za porušení GDPR.
Není jich moc.
Od roku 2020 do dubna 2023 se stalo v jednom (slovy: jednom) případě.
ÚOOÚ k tomu stručně doplnil, že nemá vlastní metodiku na posuzování compliance programů sloužících k zajištění souladu s GDPR. A že obsahové požadavky na compliance program se posuzují vždy s ohledem na konkrétní případ a jeho skutkové okolnosti.
Má GDPR compliance program smysl?
Ano, rozhodně má.
To, že ke zproštění odpovědnosti právnické osoby za GDPR přestupek zatím došlo pouze v málo případech, neznamená, že nemá smysl se snažit. Důvodů je hned několik:
správci a zpracovatelé, ale do jisté míry i Úřad pro ochranu osobních údajů, se s compliance postupy v oblasti zpracování osobních dat stále učí pracovat. Lze očekávat, že význam takto zaměřených compliance programů se bude zvyšovat, včetně kontrol ÚOOÚ
compliance program zaměřený na správné zpracování a ochranu osobních údajů pomůže organizaci zajistit a doložit soulad s GDPR, ale i nastavit zpracování dat efektivně a hospodárně; v důsledku často i ušetřit
na soulad s GDPR se neptá jen dozorový úřad. V praxi to často zajímá i mateřskou společnost, zřizovatele, potencionální investory nebo obchodní partnery
správné zacházení s osobními údaji vylepšuje firemní kulturu a posiluje důvěru a loajalitu zaměstnanců
porušování GDPR může být předmětem whistleblowing oznámení. Interního i externího, v krajním případě však oznamovatel může informaci o zneužívání či nedostatečné ochraně osobních údajů i zveřejnit, například v médiích. A stále bude chráněn před odvetnými opatřeními
Ve všech těchto případech se vyplatí soulad s GDPR řešit komplexně a systematicky, jako součást compliance programu.
Je to efektivnější, rychlejší a levnější, než hasit požár až po té, kdy dojde k úniku dat, zveřejnění negativních článků v médiích nebo když u dveří zazvoní Úřad pro ochranu osobních údajů.