Co obsahuje Compliance systém

8.2.2023

Žijeme v turbulentní době. Ekonomicky, společensky, politicky. A také právně. Nových zákonů, předpisů, vyhlášek a judikátů je stále více. Většina z nové regulace se týká podniků ze všech sektorů.

Co podnikatelům hrozí, když některou povinnost nezohlední?

Na prvním místě pokuty. Řada nových zákonů zavádí poměrně vysoké pokuty v řádech desítek či stovek milionů. Takže i pokuta „v dolní polovině zákonné sazby“ může představovat problém.

Negativních důsledků ale může být více.

Víte třeba, že některé povinnosti, například v oblasti kybernetické bezpečnosti, budete muset plnit i tehdy, když „jen“ poskytujete své služby velké pojišťovně, zdravotnickému zařízení, operátorovi, kraji nebo obci?

Požadavky na odpovědné řízení podniků mají i finanční instituce vůči svým klientům. Při příští žádosti o provozní financování nebo pojistku se Vám může velmi reálně stát, že se Vás banka nebo pojišťovna zeptá, jak plníte své právní povinnosti. A když nebudete moci rychle a důvěryhodně odpovědět, možná bude Váš úvěr nebo pojistka dražší. Nebo je nedostanete vůbec.

Důležitá je i reputace. U klientů, odběratelů, investorů, ale i dozorových úřadů. Mediálně propírané případy úniků dat nebo porušování práv spotřebitele či zaměstnance reálně mají také řadu negativních dopadů.

Pojďme se podívat na ty nejdůležitější novinky ve větším detailu:

1) GDPR

Myslíte si, že alespoň zde máte hotovo? Chyba lávky.

Obecné nařízení o ochraně osobních údajů, GDPR, je sice s námi už skoro 5 let, ale vývoj se nezastavil. Dozorové úřady vydávají nové metodiky, soudu upřesňují výklad a dávají vysoké pokuty. Za špatně nastavené cookies, únik osobních údajů nebo pozdní oznámení bezpečnostního incidentu dozorovému úřadu.

Ty skutečně vysoké pokuty, v řádech desítek milionů euro, padají spíše v zahraničí. GDPR ovšem mj. zavedlo tzv. přeshraniční dozor. Co to znamená? Pokud své služby nabízíte i v dalších členských státech EU, například tam prodáváte svůj produkt či služby, kontrolovat vás může i tamní úřad.

Nemluvme jen o pokutách. Ono stačí i takové opatření k nápravě, třeba nařízení vymazat nelegálně zpracovávanou klientskou či marketingovou databázi nebo změnit způsob podepisování smluv v klientské aplikaci. To může často být silnějším zásahem do podnikání, než „pouhá“ pokuta.

Projděme si několik příkladů, co se za 5 let v ochraně osobních údajů změnilo:

  • Využíváte americkou aplikaci nebo nástroj pro zpracování dat? V účetnictví, marketingu, CRM? Pak jste měli povinnost do prosince 2022 uzavřít novou smlouvu o předávání osobních údajů. Máte ji?
  • Používáte kamery - k ochraně provozu, vstupů, skladů, života a zdraví zaměstnanců? A víte, že od loňského roku jsou v režimu GDPR i online kamery? Jistě jste je zmapovali, zdokumentovali, vyřešili zabezpečení a podepsali patřičnou smlouvu s dodavatelem. Ale třeba by stálo za to to zkontrolovat.

Pokud provádíte rozsáhlé nebo rizikovější zpracování osobních údajů, jste povinni jmenovat pověřence pro ochranu osobních údajů. Poskytnout mu dostatečné kapacity, zdroje a organizační zařazení k tomu, aby mohl v organizaci efektivně kontrolovat, jak je s osobními údaji nakládáno. Zajistit, aby nebyl ve střetu zájmů, třeba kdyby zároveň vykonával pozici šéfa IT, HR nebo odpovídal za provoz. To určitě víte. Víte ale taky, že právě jmenování, role a postavení pověřence je společným kontrolním tématem roku 2023 pro úřady z celé EU?

2) Whistleblowing  

Povinnost řešit whistleblowing se bude týkat všech podniků bez ohledu na sektor, ve kterém působí. Návrh zákona už je v Parlamentu, jeho přijetí můžeme očekávat během roku 2023.

Jaké povinnosti přinese?

Zaměstnanci, dohododáři, stážisté a zaměstnanci dodavatelů budou mít možnost upozornit, možná i anonymně, na to, že podnik porušuje své právní povinnosti. Třeba v daňové oblasti, kvalitě výrobků a životního prostředí, ochraně spotřebitele, kybernetické bezpečnosti nebo ochraně osobních údajů. A zaměstnavatelé budou mít povinnost oznámení prošetřit a oznamovatele chránit před odvetnými opatřeními. Výpověď, převedení na jinou práci, snížení mzdy, to vše bude u whistleblowerů obtížnější.

Zaměstnavatelé nad 50 zaměstnanců rovněž budou muset zřídit interní důvěrnou linku, na kterou se budou oznamovatelé moci se svým podezřením obrátit. A jmenovat interního či externího prošetřovatele všech takto učiněných oznámení.

Za ohrožení oznamovatele nebo neprošetření jeho podnětu hrozí pokuty až milion korun. A k tomu pozornost úřadů a další reputační problémy.

3) ESG

Zkratka ESG se ozývá čím dál častěji. Je součásti trendu ekologicky a společensky udržitelnějším a odpovědnějším způsobu podnikání.

ESG zahrnuje tři oblasti, které by měl udržitelný a odpovědný podnik reflektovat.

  • E znamená environmental, tedy znát a zmírňovat dopad své činnosti do životního prostředí.
  • S je zkratkou ze social, tedy dopad do sociální odpovědnosti, do práv konkrétních osob (klientů, zaměstnanců, místní komunity atd.).
  • G je zkratka z governance, tedy důsledná kontrola svojí činnosti a zajištění souladu s právními a regulatorními požadavky.

Právní povinnosti týkající se ESG zatím dopadají jen na větší podniky a finanční instituce. Banky a pojišťovny začínají z pohledu ESG hodnotit i své komerční klienty a dodavatele.  Požadují informace a čísla o dopadu jejich činnosti na životní prostředí, o tom, jak chrání zaměstnance, práv klientů atd.

Pro zajištění dosavadního přístupu k bankovním a pojišťovacím produktům lze proto velmi silně doporučit, aby si podnik udělal jasno, jak na tom v oblasti ESG a co může v této oblasti udělat a doložit. Existuje několik kroků, jak jednoduše dosáhnout rychlého a doložitelného zlepšení.

4) E-commerce

Nabízíte své služby online? Využíváte online marketing, komunikujete se zákazníky elektronicky, posíláte maily, zprávy do aplikací, máte webovou prezentaci? Pak byste měli znát několik významných legislativních novinek:

  • Tlačítková novela, která je účinná od 6. ledna 2023, přinesla nové povinnosti při prodeji a komunikaci s klienty online, ale někdy i pro offline svět. Například nová pravidla pro uvádění zlevněných cen, pro kontrolu online recenzí, stanovení maximální doby doručení zboží objednaného online.

Už jste tyto změny zavedli? Jestli ne, hrozí Vám milionové pokuty.

  • Pro využití cookies a obdobných nástrojů pro webovou analytiku platí nová pravidla už od loňského roku. K využití cookies pro profilování a nabízení reklamy musíte předem získat jasný a aktivní souhlas od návštěvníka webu. V praxi to nabízí řadu otázek, Úřad pro ochranu osobních údajů proto k nové úpravě cookies vydal detailní metodiku.

Znáte cookies metodiku od ÚOOÚ, řídíte se jí?

  • Elektronický marketing, zasílání newsletterů, informací o slevách nebo nových produktech e-maily nebo zprávami na mobil má svá pravidla už docela dlouho. A Úřad pro ochranu osobních údajů už také docela dlouho dává milionové pokuty za to, když někdo překročí hranice mezi legitimním obchodním sdělením a spamem. Ovšem úřad jde stále dál. Pokuty už dává i za to, že marketingovou komunikaci špatně rozesílá dodavatel, protože odpovědný je vždy objednatel. A tento výklad potvrzuje i soud.

Víte, kdo pro vás rozesílá newslettery? Kontrolujete, jestli to dělá správně?

4) Kybernetická bezpečnost 

Evropská unie přijala novou směrnici o kybernetické bezpečnosti, tzv. NIS2. V roce 2023 se dočkáme nového zákona o kybernetické bezpečnosti a prováděcích vyhlášek. Změny budou účinné od roku 2024.

Co hlavního se změní?

Regulace kybernetické bezpečnosti dopadne na tisíce dalších podniků. Povinnost přijmout bezpečnostní politiky, řídit rizika, aplikovat a vylepšovat bezpečnostní opatření a řídit své dodavatele už se nebude týkat jen státních úřadů a největších bank a nemocnic, ale rozšíří se i na menší podniky. Například do oblastí energetiky, výroby, zpracování a distribuce potravin, výroby některých dopravních prostředků nebo poskytování internetových služeb.

Nové povinnosti dopadnou i na podniky, které „pouze“ dodávají své služby někomu, kdo bude nově v režimu NIS2.

Co hrozí, pokud budete kybernetickou bezpečnosti a NIS2 ignorovat? Omezení provozu, výpadky, únik dat. Vysoké pokuty. Zhoršení pozice na trhu.

5) Celkový compliance systém 

Právních novinek je hodně. A to jsme zdaleka nezmínili vše.

  • Chráníte svůj podnik také před trestní odpovědností právnických osob?
  • Víte, že Úřad pro ochranu hospodářské soutěže poprvé při ukládání sankce zohlednil compliance program a sankci snížil?
  • Víte, jaká jsou pravidla pro ochranu spotřebitele, bezpečnost výrobků, co se mění v zákoníku práce?

Abyste nebyli překvapeni kontrolou, pokutou, neznámou novinkou v regulaci nebo nedostatkem v procesech, je vhodné zavést alespoň některé prvky compliance systému. Nemusí se jednat o robustní a komplexní systém, který bude pokrývat všechny procesy, produkty a organizační složky. Záleží na Vás, kterou činnost a která rizika si vyhodnotíte jako kritická. Může se jednat jen o e-commerce aktivity, kybernetickou bezpečnost, kvalitu výrobků, kontrolu nad dodavateli atd.

Compliance systém, pokud je správně nastavený, zajistí, že v daných oblastech se nestane nic nečekaného, že podnikatel to má pod kontrolou, včetně souladu s regulací, reaguje na změny externí i interní atd. A když už se něco stane nebo něco hrozí, tak se to dozví a rychle reaguje.

Když se compliance dělá dobře, není jen nutnou a nudnou formalitou. Může Vám pomoci efektivně zlepšit kvalitu vašeho podnikání, vyvarovat se mnohým rizikům a snížit náklady.

Rádi Vám pomůže při analýze a rozhodování, pro které oblasti Vaší činnosti compliance systém zavést. Jak efektivně, rychle a s minimálními náklady dosáhnout rychlého zlepšení. 

 

Chcete zobrazit celý článek ZDARMA?

Když nám na sebe necháte kontakt, heslo Vám rádi zašleme. K celé databází mají přístup zdarma i naši klienti a je stejné jako heslo k naší veřejné Wi-Fi v zasedacích místnostech.

JUDr. Jakub Dohnal, Ph.D.

JUDr. Jakub Dohnal, Ph.D
advokát, partner

Zadejte prosím heslo


Chcete heslo zdarma?

Podělte se s námi prosím o:

70+
zemí světa

60+
poradců

15+
let zkušeností na trhu