Interní whistleblower systém v tech firmách:

Pro technologické firmy nepředstavuje zákon o ochraně oznamovatelů jen další legislativní povinnost, ale strategický nástroj pro včasné odhalení kybernetických hrozeb. Tento článek vám poskytne praktický návod, jak správně implementovat interní oznamovací systém (VOS), abyste splnili zákonné požadavky a ochránili svou firmu před riziky i vysokými finančními postihy.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

Kybernetické hrozby nejsou jen technický problém, ale i právní riziko

Představte si běžný scénář: vaše společnost čelí sofistikovanému ransomware útoku nebo dojde k masivnímu úniku klientských dat. Taková událost není jen selháním IT oddělení; je to především krizová situace s vážnými právními a finančními dopady, která může ohrozit samotnou existenci firmy.

Škody na reputaci, ztráta důvěry klientů a potenciální soudní spory jsou jen špičkou ledovce. Klíčovou roli v prevenci těchto katastrof hrají vaši vlastní lidé. 

Právě zaměstnanci – ať už jde o vývojáře, systémové administrátory, nebo pracovníky finančního oddělení – jsou často první, kdo si všimnou anomálií, bezpečnostních zranitelností nebo interních postupů, které otevírají dveře kybernetickým útokům.

Otázka tedy zní: jak vytvořit firemní kulturu a právně ukotvený proces, který tyto zaměstnance motivuje, aby své poznatky bezpečně a bez strachu z postihu nahlásili interně?

Zákon o ochraně oznamovatelů: Váš nový spojenec v kybernetické bezpečnosti

Odpovědí na tuto výzvu je zákon č. 171/2023 Sb., o ochraně oznamovatelů, který do českého právního řádu implementuje evropskou směrnici (EU) 2019/1937. 

Ačkoliv je často vnímán jako administrativní zátěž, pro technologické firmy představuje legislativně nařízený systém včasného varování. Tento zákon dává zaměstnancům právní ochranu, pokud se rozhodnou upozornit na protiprávní jednání, o kterém se dozvěděli v souvislosti s prací.

Pro technologický sektor je zásadní, že zákon výslovně pokrývá oznámení týkající se porušení předpisů v oblasti „ochrany osobních údajů, soukromí a bezpečnosti sítí elektronických komunikací a informačních systémů“.

Tím se interní oznamovací systém stává přímou součástí vaší strategie kybernetické bezpečnosti a compliance. Nejde o byrokracii, ale o efektivní nástroj, který legálně posiluje vaše zaměstnance, aby se stali prodlouženou rukou vašeho bezpečnostního týmu.

Kdo a co musí hlásit? Specifika pro technologický sektor

Povinnost zavést vnitřní oznamovací systém (VOS) se vztahuje na každého zaměstnavatele s 50 a více zaměstnanci. 

Ochrana se navíc nevztahuje pouze na kmenové zaměstnance, ale i na široký okruh spolupracujících osob, jako jsou dodavatelé (kontraktoři), stážisté nebo dokonce uchazeči o zaměstnání, což je pro IT sektor s vysokým podílem externistů klíčové.

Co konkrétně může být předmětem oznámení ve vaší firmě?

• Vývojář objeví kritickou zranitelnost ve veřejně dostupné aplikaci, ale management na jeho upozornění nereaguje z důvodu tlaku na dodržení termínů.
• IT administrátor ví, že společnost neimplementuje bezpečnostní opatření vyžadovaná smlouvou s klíčovým klientem nebo budoucí regulací NIS2.
• Projektový manažer zjistí, že se s daty zákazníků nakládá v rozporu s GDPR a interními směrnicemi o ochraně osobních údajů.
• Pracovník finančního oddělení si všimne podezřelých plateb neznámé firmě, které mohou naznačovat tiché placení výkupného v rámci ransomware útoku.

FAQ – Právní tipy k oznamovaným hrozbám

• Může zaměstnanec nahlásit jen podezření, nebo musí mít pevné důkazy?
  Zákon chrání oznamovatele, kteří mají „oprávněné důvody se domnívat“, že jejich informace jsou pravdivé. Nemusí předkládat nezvratné důkazy, ale nesmí jít o vědomě lživé oznámení. Pro posouzení vaší konkrétní situace nás kontaktujte na office@arws.cz.
• Co když nahlášená zranitelnost ještě nebyla zneužita?
  Oznámení se může týkat protiprávního jednání, ke kterému „došlo nebo má dojít“. Nahlášení potenciální hrozby je přesně to, co zákon podporuje. Potřebujete právní pomoc s nastavením procesů? Spojte se s námi na office@arws.cz.

Nevíte si s daným tématem rady?

Jak správně nastavit interní oznamovací systém (VOS) pro hlášení kybernetických incidentů?

Funkční a důvěryhodný systém není jen o zřízení e-mailové schránky. Musí splňovat striktní zákonné požadavky, aby byl právně platný a efektivní.

Krok 1: Určení „příslušné osoby“

Zákon vyžaduje jmenování tzv. příslušné osoby, která je zodpovědná za příjem, posuzování a řešení oznámení.

Tato osoba musí být nestranná, důvěryhodná a odborně způsobilá. Jmenování interního zaměstnance, například IT ředitele, je extrémně rizikové. Pokud by oznámení směřovalo proti jeho oddělení, vzniká zjevný střet zájmů, který podkopává důvěru v celý systém.

Pověření externích právníků ARROWS rolí příslušné osoby zajišťuje absolutní nestrannost a profesionalitu, čímž se maximalizuje důvěra zaměstnanců v systém.

Krok 2: Zajištění bezpečných a dostupných kanálů

Musíte umožnit podání oznámení písemně (např. e-mailem, webovým formulářem), ústně (telefonicky) a na žádost i osobně.

V kontextu kybernetických hrozeb je naprosto zásadní, aby tyto kanály byly technicky zabezpečené, ideálně s koncovým šifrováním.

Naši právníci vám pomohou vyhotovit interní směrnice, které přesně definují fungování těchto kanálů a zajišťují soulad se zákonem i s GDPR. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Krok 3: Dodržení striktních zákonných lhůt

Zákon stanoví jasné termíny: do 7 dnů musíte oznamovateli potvrdit přijetí oznámení a nejpozději do 30 dnů ho musíte informovat o výsledku šetření. 

Tuto lhůtu lze ve složitých případech dvakrát prodloužit o 30 dnů. V případě aktivní kybernetické hrozby je však nutné jednat okamžitě.

Krok 4: Ochrana identity a zákaz odvetných opatření

Totožnost oznamovatele je přísně důvěrná a přístup k ní smí mít pouze příslušná osoba. Jakékoli odvetné opatření je zakázáno. 

V technologické firmě to neznamená jen výpověď, ale i subtilnější kroky jako stažení z klíčového projektu, negativní hodnocení výkonu, nepovýšení nebo neprodloužení kontraktu.

Co hrozí, když systém nefunguje správně?

Nefunkční nebo pouze formálně zavedený VOS není jen porušením zákona. Je to signál zaměstnancům, že vedení nebere etiku a bezpečnost vážně, což vede k toxické firemní kultuře a odchodu klíčových talentů.

Kromě toho zákon stanovuje citelné finanční sankce. Za vědomě nepravdivé oznámení hrozí pokuta až 50 000 Kč samotnému oznamovateli, což chrání firmy před zneužitím systému. Pro firmy jsou však rizika mnohem vyšší.

Finanční a reputační rizika nefunkčního VOS

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Pokuta až 1 000 000 Kč za nezavedení VOS nebo za uplatnění odvetných opatření vůči zaměstnanci, který nahlásil bezpečnostní díru.	Příprava kompletní dokumentace, která ochrání před pokutami a sankcemi. Chcete mít jistotu souladu se zákonem? Napište nám na office@arws.cz.
Únik citlivých dat nahlášený externě (např. NÚKIB nebo médiím) kvůli nedůvěře v interní systém, což vede k poškození reputace a ztrátě klientů.	Nastavení důvěryhodného a bezpečného systému, včetně možnosti outsourcingu příslušné osoby. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.
Trestní odpovědnost právnické osoby za kybernetický incident, kterému se dalo předejít včasným interním nahlášením.	Zastupování u správních orgánů a soudů a implementace compliance programů, které mohou vést k vyvinění z odpovědnosti. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.
Ztráta klíčových IT specialistů, kteří odcházejí kvůli neetické firemní kultuře, kde se bezpečnostní rizika zametají pod koberec.	Odborná školení pro zaměstnance a vedení, která budují kulturu transparentnosti a důvěry. Zajistěte si školení na office@arws.cz.

Správné nastavení interních procesů je klíčové nejen pro whistleblowing, ale i pro celkovou digitální odolnost. 

Více o našich službách v oblasti IT a softwarového práva, kyberbezpečnosti najdete na našem webu.

Na koho se můžete obrátit?

Mezinárodní přesah: Whistleblowing v globálních tech týmech

Mnoho technologických společností dnes funguje v mezinárodních týmech. Spoléhat se na jednotnou skupinovou whistleblowing politiku je však častou chybou. Takové systémy často nesplňují specifické a přísnější požadavky českého zákona, čímž se česká pobočka vystavuje plnému riziku sankcí.

Díky deset let budované síti ARROWS International prakticky denně řešíme případy s mezinárodním prvkem. 

Zajistíme, aby vaše globální postupy byly v souladu s českou legislativou a zároveň konzistentní s vaší mezinárodní firemní kulturou. Spojte se s námi na office@arws.cz a získejte právní řešení na míru pro vaše mezinárodní týmy.

Whistleblowing a NIS2: Dva pilíře vaší digitální pevnosti

Povinnosti plynoucí ze zákona o ochraně oznamovatelů je třeba vnímat v kontextu nadcházející regulace – směrnice NIS2 a nového zákona o kybernetické bezpečnosti. 

NIS2 zavádí přísné požadavky na řízení rizik, povinné hlášení incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) v řádu hodin a přímou odpovědnost managementu za selhání.

Funkční VOS je v tomto kontextu klíčovým nástrojem prevence. Umožňuje odhalit problém interně dříve, než přeroste v závažný incident, který byste museli povinně hlásit NÚKIB. 

Je to váš interní „záchranný systém“, který dává vedení šanci reagovat, než se spustí hodiny pro externí hlášení a hrozba milionových pokut.

Propojení VOS s legislativou NIS2

Riziko k řešení a potenciální problémy a sankce (NIS2)	Jak pomáhá ARROWS (prostřednictvím VOS)
Nesplnění 24hodinové lhůty pro hlášení incidentu NÚKIB, protože interní procesy jsou pomalé a informace se k vedení nedostane včas. Pokuty mohou dosáhnout až 250 mil. Kč.	Implementace VOS jako rychlého eskalačního kanálu. Zajišťujeme, že oznámení o kybernetických hrozbách jsou okamžitě doručena příslušné osobě. Pro nastavení procesů nás kontaktujte na office@arws.cz.
Osobní odpovědnost managementu za selhání v kybernetické bezpečnosti, včetně možného zákazu výkonu funkce.	Právní stanoviska a příprava interních směrnic, které prokazují, že vedení zavedlo všechny náležité mechanismy pro prevenci a detekci, včetně funkčního VOS. Chraňte svou osobní odpovědnost – napište na office@arws.cz.
Nedostatečná bezpečnost dodavatelského řetězce, která je klíčovým prvkem NIS2. Problém u dodavatele je odhalen příliš pozdě.	Rozšíření VOS i na dodavatele a revize smluv s důrazem na kyberbezpečnostní doložky a povinnost hlásit incidenty. Pro revizi smluv se obraťte na office@arws.cz.
Nedostatečné proškolení zaměstnanců o kybernetických hrozbách, což je přímým požadavkem NIS2.	Poskytování odborných školení pro zaměstnance a vedení, která pokrývají jak whistleblowing, tak základy kybernetické hygieny podle NIS2. Objednejte si certifikované školení na office@arws.cz.

ARROWS: Váš partner pro bezpečný a funkční whistleblowing

V ARROWS poskytujeme komplexní řešení na klíč: od úvodní právní analýzy, přes vypracování interních směrnic a dokumentace, až po výkon funkce externí příslušné osoby a certifikovaná školení pro vaše zaměstnance i management. 

Naše zkušenosti se opírají o dlouhodobou péči o portfolio více než 150 akciových společností a 250 společností s ručením omezeným. Zakládáme si na rychlosti a vysoké kvalitě poskytovaných služeb.

Nevíte si s daným tématem rady?

Navíc chápeme, že právo a byznys jdou ruku v ruce. Proto umíme naše klienty propojovat, pokud identifikujeme zajímavé obchodní či investiční příležitosti.

Ať už potřebujete zavést zcela nový whistleblowing systém, nebo jen zkontrolovat ten stávající s ohledem na specifika kybernetických hrozeb, jsme tu pro vás. 

Neváhejte se obrátit na naši kancelář – office@arws.cz – a domluvte si úvodní konzultaci.

FAQ – Nejčastější právní dotazy k whistleblowingu v IT

1. Musíme řešit i anonymní oznámení o kybernetických hrozbách?
Dle zákona o ochraně oznamovatelů obecně nemusíte. Nicméně v kontextu kybernetické bezpečnosti je ignorování anonymního tipu na závažnou zranitelnost obrovským rizikem. Důrazně doporučujeme systém nastavit tak, aby anonymní hlášení alespoň vyhodnotil. Pokud řešíte, jak tento proces správně nastavit, kontaktujte nás na office@arws.cz.

2. Co přesně se považuje za „odvetné opatření“ vůči IT specialistovi, který nahlásí zranitelnost?
Může to být cokoliv, co mu způsobí újmu a souvisí s oznámením. Kromě zjevné výpovědi to může být i snížení odměn, přidělení méně zajímavé práce, negativní hodnocení, nebo dokonce neprodloužení smlouvy na dobu určitou. Pokud máte podezření na odvetné opatření, naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

3. Může být „příslušnou osobou“ náš stávající IT ředitel nebo vedoucí bezpečnosti?
Technicky ano, ale je to velmi rizikové. Vzniká zde zjevný střet zájmů, pokud by oznámení směřovalo proti jeho oddělení nebo jemu samotnému. To podkopává důvěru v celý systém. Externí příslušná osoba je proto mnohem bezpečnější volba. Proberme možnosti outsourcingu pro vaši firmu – spojte se s námi na office@arws.cz.

4. Jak se liší oznamovací povinnost podle zákona o ochraně oznamovatelů a podle směrnice NIS2?
Zjednodušeně řečeno, whistleblowing je interní kanál pro zaměstnance, jak nahlásit podezření na protiprávní jednání firmě. Hlášení incidentu podle NIS2 je externí povinnost firmy nahlásit již existující kybernetický incident regulačnímu orgánu (NÚKIB) ve striktních lhůtách. Funkční whistleblowing vám pomůže odhalit problém dříve, než se z něj stane incident, který musíte hlásit externě. Pro detailní právní analýzu vašich povinností nás kontaktujte na office@arws.cz.

5. Jak dlouho musíme archivovat oznámení týkající se kyberbezpečnosti?
Zákon stanoví obecnou povinnost uchovávat oznámení a související dokumentaci po dobu 5 let ode dne přijetí oznámení. Je klíčové zajistit, aby archivace probíhala v souladu s GDPR a byla maximálně zabezpečená. Potřebujete připravit směrnici pro archivaci? Napište nám na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.