29. 8. 2018
ID: 108085upozornění pro uživatele

Zavedení compliance programu aneb GDPR je pouze vrchol ledovce

Od konce května letošního roku, kdy nabylo účinnosti Obecné nařízení o ochraně osobních údajů, tzv. GDPR, plní všechny emailové schránky požadavky na udělení souhlasu se zpracováním osobních údajů. Internet je zaplaven články zabývajícími se ochranou osobních údajů, zaměstnanci navštěvují školení o GDPR, provádí se interní audity a zavádějí se vnitřní směrnice, které stanovují postup při zpracování osobních údajů. Vše za účelem zajištění souladu podnikatelské činnosti s GDPR.

 
 ŘANDA HAVEL LEGAL advokátní kancelář s. r. o.
 
Přestože je GDPR stále žhavým tématem, nelze pro ně zapomínat na compliance program jako takový. Ochrana osobních údajů v podobě GDPR je totiž pouze vrcholkem ledovce, který v současné době ve společnosti rezonuje. Pod hladinou se ale ukrývají další části compliance, o kterých by každý podnikatel, bez ohledu na velikost svého podnikání, měl vědět. Jedná se zejména o trestněprávní compliance v oblasti praní špinavých peněz, protikorupční program a financování terorismu; dále o compliance v oblasti pracovního práva, korporační compliance a compliance v souvislosti s pravidly na ochranu hospodářské soutěže.

Důvodem pro zavedení fungujícího compliance programu je zejména ochrana členů volených orgánů korporací, vrcholového managementu a vedoucích zaměstnanců před osobní odpovědností, kterou mohou nést za protiprávní jednání obchodní korporace, a to i v případě, že se pochybení dopustila jiná osoba. Osobní odpovědnost za protiprávní jednání obchodní korporace může nést také představitel obchodní korporace, který se takového jednání přímo nedopustil, ale odpovídá za činnost svých podřízených zaměstnanců či jiných osob.

Účelem dobře fungujícího compliance programu je zajištění souladu podnikatelské činnosti se souvisejícími právními, etickými a jinými předpisy. Cílem compliance programu je ujištění, že klíčové osoby ve vedení obchodní korporace, kterým potenciálně hrozí osobní odpovědnost, znají a rozumí všem základním „pravidlům hry“.  V rámci compliance programu jsou tato pravidla aplikována „uvnitř“ obchodní korporace, dochází k jejich pravidelné revizi a kontrole jejich dodržování.

Neexistující, nefungující či zastaralý compliance program může ovlivnit jak obchodní korporaci, tak členy statutárních orgánů i vedoucí zaměstnance ve formě veřejnoprávní i soukromoprávní odpovědnosti. Z toho důvodu nestačí pouhé zavedení compliance programu, ale je nutná i jeho pravidelná aktualizace a zejména průběžné a skutečné vymáhání pravidel compliance programu. Pokud dojde k porušení pravidel compliance programu nebo-li k tzv. non-compliance, může to obchodní korporaci, případně členy statutárního orgánu či vedoucí zaměstnance stát nemalou částku:

  • náklady interních a externích šetření;
  • náhrada způsobené škody a újmy;
  • pokuty a jiné sankce ve správním řízení;
  • trestněprávní sankce;
  • ztráta či ohrožení konkurenční výhody;
  • zákaz výkonu činnosti;
  • vyloučení z veřejných zakázek; a
  • poškození dobrého jména[1].

K selhání compliance programu zpravidla v podnikatelské praxi vede souhrn následujících skutečností:

  • i. nevhodná korporační kultura upřednostňující rychlá, levná, snadno dostupná a často neetická či dokonce nelegální řešení;
  • ii. neznalost zákonných ani vnitřních pravidel zejména ze strany zaměstnanců, což může být způsobeno nedostatkem komunikace a podpory ze strany statutárního orgánu, ale i vrcholového a středního managementu;
  • iii. neefektivní interní kontrola[2].

Aby compliance program správně fungoval, je třeba také zavést monitorovací plán, který spočívá jak v pravidelné rutinní kontrole, tak v nárazových kontrolách dodržování právních, etických, vnitřních a dalších pravidel. Během kontroly je třeba identifikovat rizika, která jsou následně analyzována (tzv. risk assessment). Tuto činnost lze svěřit proškolenému za compliance zodpovědnému zaměstnanci, či členu statutárního orgánu. V případě většího rozsahu činnosti lze zřídit i celé compliance oddělení.

Compliance program by měl být každé obchodní korporaci šitý na míru a zohledňovat jedinečnost jejího podnikání za současného respektování obecných pravidel compliance. Obchodní korporace by se měly zaměřit nejen na zavedení oborových právních a etických pravidel, ale i na:

  • 1. Zavedení compliance v trestněprávní oblasti – v této oblasti je nutné zohlednit prevenci praní špinavých peněz a financování terorismu a protikorupční program;
  • 2. Zavedení pravidel pro ochranu osobních údajů – uvedení všech vnitřních postupů do souladu s GDPR;
  • 3. Zavedení pravidel pro zdraví a bezpečnost (nejen zaměstnanců);
  • 4. Zavedení pravidel pro vyhnutí se případnému střetu zájmů a další korporační compliance;
  • 5. Zavedení pravidel pro informační bezpečnost;
  • 6. Zavedení pravidel pro ochranu hospodářské soutěže, tzv. soutěžní compliance.

Správně fungující compliance program vytváří podklad pro pozitivní korporátní kulturu, která může vést k vyšší spokojenosti a efektivitě zaměstnanců, kladnějšímu hodnocení obchodní korporace ze strany veřejnosti, zákazníků i investorů. Další velmi významnou výhodou je včasné podchycení případného non-compliance, a to v jeho počáteční fázi, kdy toto pochybení ještě nepřekročilo „hranice“ obchodní korporace. Takové pochybení pak lze vyřešit s menším úsilím a za vynaložení nižších finančních prostředků s mírnějšími dopady. Vytvoření fungujícího compliance programu tak přináší opodstatnění i z pohledu výkonnosti a ziskovosti obchodní korporace.


Mgr. Jana Sabová

Mgr. Jana Sabová,
advokátní koncipientka


ŘANDA HAVEL LEGAL advokátní kancelář s.r.o.

Truhlářská 13-15
110 00  Praha 1

Tel.:    +420 222 537 500 – 501
Fax:    +420 222 537 510
e-mail:    office.prague@randalegal.com


____________________________
[1] SCHENKOVÁ, K. a Jan LASÁK. Compliance v podnikové praxi. V Praze: C.H. Beck, 2017. Právní praxe. ISBN 978-80-7400-668-5, str. 11.
[2] Ibid., str. 12.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz