Proč je odpovědnost za pokuty ve firmě zásadní
Pokuta od úřadu může být důsledkem chyby v účetnictví, BOZP, ochraně osobních údajů, pracovněprávní agendě, reklamě nebo třeba v provozu e-shopu. Z pohledu firmy je důležité rozlišit dvě roviny: odpovědnost firmy vůči úřadu a vnitřní odpovědnost konkrétního zaměstnance, manažera nebo dodavatele. Navenek nese sankci zpravidla právnická osoba, ale uvnitř organizace může být určeno, kdo porušení způsobil a zda firma může vymáhat náhradu škody.
V praxi se nejčastěji chybuje tam, kde chybí dokumentované procesy. Například u GDPR bývají pokuty v řádu desítek tisíc až jednotek milionů korun, u BOZP nebo daní mohou být sankce ještě vyšší. Pokud firma nemá jasně definované role, vzniká chaos: nikdo neví, kdo měl povinnost data zkontrolovat, kdo schválil postup a kdo měl incident zastavit.
Nejprve si vymezte, za co firma skutečně odpovídá
Základ je rozdělit odpovědnost podle agendy. Každý typ pokuty má jiný právní režim i jinou možnost regresu. Nevyplatí se používat jedno univerzální pravidlo pro všechny situace.
- Účetnictví a daně: odpovídá obvykle statutární orgán za nastavení kontroly, účetní za správnost zpracování a případně externí účetní firma podle smlouvy.
- BOZP a požární ochrana: odpovědnost bývá sdílená mezi zaměstnavatelem, osobou odborně způsobilou a vedoucími pracovníky.
- GDPR a marketing: riziko vzniká při špatném sběru souhlasů, neaktualizovaných cookies lištách nebo nejasných interních oprávněních.
- Pracovněprávní oblast: typicky jde o chybné rozvržení směn, evidenci docházky nebo neplatné výpovědi.
- Provoz webu a e-commerce: problém může vzniknout z klamavé komunikace, nesprávných cen, chybějících obchodních podmínek nebo nefunkčního reklamního consent managementu.
Pro každou oblast si udělejte jednoduchou mapu: proces → vlastník procesu → kontrolní bod → náhradní zástupce → důkazní dokument. Tohle je v praxi důležitější než obecné interní směrnice, které nikdo nečte.
Jak nastavit interní odpovědnost, aby obstála při kontrole
Nejlepší je pracovat se systémem RACI, tedy rozdělením rolí na Responsible (kdo vykonává), Accountable (kdo nese konečnou odpovědnost), Consulted (kdo se vyjadřuje) a Informed (koho jen informujete). Tento model je praktický, protože odstraní situaci, kdy „to měl někdo udělat“, ale nikdo neví kdo.
U menší firmy často stačí jednoduchá tabulka v Google Sheets nebo Notion. U větší organizace je lepší navázat odpovědnost na interní systém řízení úkolů, například Asana, Jira nebo Monday.com. Každý kritický proces by měl mít:
- jasně pojmenovaného vlastníka,
- termín kontroly,
- povinný záznam o provedení,
- eskalační pravidlo, pokud kontrola neproběhne,
- archivaci důkazů minimálně po dobu, která odpovídá riziku a zákonným lhůtám.
Například u GDPR je praktické mít evidenci souhlasů, změn cookies lišty, logy změn formulářů a screenshoty předchozích verzí webu. Pokud přijde kontrola, firma musí doložit, kdo změnu provedl, kdo ji schválil a kdy byla nasazena. Bez logů je obrana výrazně slabší.
Smluvně ošetřete zaměstnance, manažery i dodavatele
Interní odpovědnost není jen o organizačním schématu, ale také o smlouvách a pracovních dokumentech. Když máte v týmu nebo u externí agentury lidi, kteří mohou způsobit škodu, musí být jasné, jaká pravidla platí.
U zaměstnanců použijte kombinaci pracovních náplní, vnitřních směrnic a školení. Pokud někdo spravuje web, obsah nebo reklamu, musí přesně vědět, co smí publikovat, co musí schválit právník nebo compliance a co se nesmí dělat bez kontroly. U manažerů je důležité, aby odpovědnost nebyla jen formální, ale i faktická – tedy aby měli přístup k informacím a nástrojům, které jim umožní kontrolu provést.
U externích dodavatelů je klíčová smlouva o dílo nebo rámcová smlouva s přesně definovanými SLA, odpovědností za chyby a předáváním výstupů. Pokud vám agentura spravuje web a kvůli jejímu pochybení vznikne pokuta, potřebujete doložit, že:
- byla smluvně určena odpovědnost za konkrétní část služby,
- byly nastaveny kontrolní body,
- firma neignorovala varování nebo doporučení,
- existuje auditní stopa komunikace a schvalování.
V praxi se vyplatí do smluv doplnit i povinnost dodavatele uchovávat podklady, logy a verze výstupů. U webových projektů je to zásadní třeba při řešení compliance změn, cookies lišty, formulářů nebo trackingu v GA4 a Google Tag Manageru.
Jak postupovat, když pokuta už přišla
Jakmile úřad doručí oznámení nebo rozhodnutí, je potřeba okamžitě spustit interní incident management. Nejdřív zastavte další škodu, teprve potom řešte, kdo za ni může. Zpoždění často znamená vyšší sankci nebo ztrátu možnosti účinné obrany.
Doporučený postup je tento:
- 1. Zajistit dokumenty: rozhodnutí úřadu, komunikaci, podklady, logy, interní e-maily, smlouvy a časovou osu.
- 2. Určit vlastníka incidentu: ideálně compliance, právník nebo jednatel podle typu firmy.
- 3. Vyhodnotit příčinu: byla chyba systémová, nebo šlo o individuální selhání?
- 4. Posoudit regres: lze škodu vymáhat po zaměstnanci, dodavateli nebo pojišťovně?
- 5. Nastavit nápravu: úprava procesu, školení, technická změna, kontrolní checklist.
Pokud je pokuta vysoká, zapojte právníka a daňového poradce hned na začátku. U některých sankcí může být levnější a efektivnější podat odvolání nebo rozklad, než se hned soustředit na regres vůči konkrétní osobě. Vnitřní odpovědnost musí navazovat až na dobře popsaný skutkový stav, jinak riskujete spor, který firma nevyhraje.
Prevence: kontrolní mechanismy, které reálně fungují
Nejsilnější obrana proti pokutám je procesní prevence. Nestačí jednorázové školení, protože po třech měsících většina lidí pravidla zapomene. Fungují hlavně opakované kontroly, automatizace a jasné ownershipy.
Prakticky se osvědčuje kombinace těchto nástrojů:
- Interní checklisty pro každou citlivou agendu.
- Pravidelný audit jednou za kvartál nebo pololetí.
- Automatické alerty v účetním systému, helpdesku nebo CMS.
- Verzování dokumentů v Google Workspace, Microsoft 365 nebo v DMS systému.
- Evidence školení s prezenční listinou a testem porozumění.
U webových projektů je vhodné zavést měsíční kontrolu formulářů, consent managementu, obchodních podmínek a stránek s cenami. U e-shopu se často vyplatí i automatický monitoring změn na klíčových stránkách pomocí nástrojů jako Visualping nebo Distill.io. Když se změní cena, text nebo právní informace, dostanete upozornění dřív, než problém uvidí úřad nebo zákazník.
Správně nastavená odpovědnost za pokuty není o hledání viníka po problému, ale o tom, aby bylo už předem jasné, kdo co hlídá, jak se vše dokládá a jak rychle se dá reagovat. Firmy, které mají procesy, smlouvy a důkazy v pořádku, zvládají i nepříjemnou kontrolu výrazně levněji a s menším reputačním dopadem.
