Co dnes whistleblowing znamená pro malé firmy
Whistleblowing je interní nebo externí oznámení o možném porušení práva, etiky nebo interních pravidel. V praxi může jít o podvody, střet zájmů, korupci, porušování bezpečnosti práce, diskriminaci, zneužití dat nebo například manipulaci s účetnictvím. Pro malé firmy je důležité vědět, že povinnost zavést chráněný oznamovací systém už není jen doménou velkých zaměstnavatelů.
V českém prostředí platí, že povinnosti se týkají zejména zaměstnavatelů s 50 a více zaměstnanci, ale i menší firmy se s whistleblowingem mohou setkat nepřímo – například pokud jsou součástí dodavatelského řetězce, pracují s veřejnými zakázkami nebo chtějí posílit důvěru zaměstnanců a obchodních partnerů. Z pohledu reputace a řízení rizik je to pro malé podniky čím dál důležitější téma.
Podle evropské směrnice 2019/1937 musí být oznámení přijímána bezpečně, důvěrně a bez rizika odvety. To není jen formální požadavek. Pokud systém nefunguje, zaměstnanec raději půjde ven – na inspekci, média nebo přímo na sociální sítě.
Jaké povinnosti musí firma splnit v praxi
Základní pravidlo je jednoduché: firma musí vytvořit kanál, přes který lze oznámení podat, zajistit ochranu identity oznamovatele a určit osobu nebo osoby, které budou oznámení přijímat a řešit. U menších firem bývá problém hlavně v tom, že tuto roli často dostane někdo z vedení nebo HR bez jasných pravidel a bez oddělení od provozních konfliktů.
Prakticky je potřeba splnit několik kroků:
- Zavést bezpečný oznamovací kanál – webový formulář, e-mail, telefonní linku nebo fyzickou schránku.
- Zaručit důvěrnost – přístup k oznámením má mít jen omezený okruh pověřených osob.
- Nastavit potvrzení přijetí – obvykle do 7 dnů od podání oznámení.
- Vyřídit oznámení v zákonné lhůtě – standardně do 3 měsíců.
- Uvést interní postup – kdo vyhodnocuje, kdo šetří, kdo schvaluje výsledek.
Častá chyba malých firem je, že vytvoří pouze obecný e-mail typu compliance@firma.cz, ke kterému má přístup více lidí. To je z hlediska ochrany oznamovatele slabé místo. Lepší je řešení s omezeným přístupem, šifrováním a auditní stopou.
Jak nastavit bezpečný kanál bez velkých nákladů
Malá firma nemusí hned investovat do složité enterprise platformy. Důležité je, aby řešení bylo důvěryhodné, dohledatelné a technicky zabezpečené. V praxi se osvědčují tři úrovně řešení podle rozpočtu a rizikovosti provozu.
1. Jednoduchý, ale správně nastavený formulář
Pro menší týmy může stačit samostatná podstránka s formulářem, který běží na HTTPS a ukládá data do odděleného systému. Formulář by měl umožnit i anonymní podání, pokud to interní politika dovoluje. Důležité je vypnout nadbytečné trackování, minimalizovat sběr osobních údajů a omezit logy tak, aby neprozradily identitu oznamovatele.
2. Specializovaná whistleblowing platforma
Pokud firma řeší citlivá data nebo má více poboček, je vhodná externí platforma. Na trhu jsou například řešení typu Navex, EthicsPoint, Whispli nebo evropské alternativy zaměřené na GDPR a anonymní komunikaci. Výhodou je oddělené úložiště, možnost anonymního chatu s oznamovatelem a automatické lhůty pro zpracování.
3. Outsourcing na pověřeného poskytovatele
Menší firmy často využívají externího pověřence nebo advokátní kancelář. To dává smysl, pokud ve firmě není dostatečná nezávislost. Externí zpracovatel musí mít smluvně ošetřené mlčenlivosti, přístupová práva i postup pro předávání dokumentů.
Bez ohledu na variantu platí, že technické minimum je SSL/TLS, dvoufaktorové ověření, role-based access control, šifrování dat v klidu i při přenosu a pravidelné zálohy. Pokud firma používá WordPress nebo jiný CMS, oznamovací formulář by neměl být jen běžný plugin bez auditovatelného zabezpečení. U citlivých oznámení je lepší oddělená aplikace nebo externí služba.
Interní proces: kdo co dělá a v jakém pořadí
Technologie bez procesu nefunguje. Každá firma by měla mít jednoduchý interní předpis, který popíše, co se stane od okamžiku přijetí oznámení až po uzavření případu. U malých firem je ideální rozsah jedné až dvou stran, ale musí být konkrétní.
- 1. Přijetí oznámení – systém automaticky potvrdí přijetí a přidělí interní číslo případu.
- 2. Předběžné vyhodnocení – zda jde o relevantní oznámení spadající do whistleblowingu.
- 3. Vyšetření – kontrola dokumentů, rozhovory, technická analýza, audit logů.
- 4. Nápravná opatření – oprava procesu, disciplinární krok, změna přístupu k datům.
- 5. Uzavření a archivace – bezpečné uložení po zákonnou dobu.
V malém týmu je zásadní oddělit roli oznamovatele od role vyšetřující osoby. Pokud oznámení míří proti přímému nadřízenému, nesmí stejný člověk případ posuzovat. To je častý důvod, proč zaměstnanci nevěří internímu systému.
Pro evidenci případů lze použít i jednoduchý ticketing, například Jira Service Management, Zendesk nebo zabezpečený interní systém s omezeným přístupem. Důležité je, aby se v evidenci neobjevovala citlivá data v předmětu e-mailu, notifikacích ani ve sdílených kalendářích.
Nejčastější chyby a jak jim předejít
V praxi malé firmy nejčastěji chybují ne na úrovni zákona, ale na úrovni provozu. Typická chyba je, že oznámení přijímá recepce, asistentka nebo vedoucí provozu bez školení. Další problém bývá, že firma sice má formulář, ale nikdo nehlídá lhůty, takže oznamovatel nedostane zpětnou vazbu.
Mezi nejrizikovější selhání patří:
- sdílené e-mailové schránky bez omezení přístupu,
- ukládání oznámení do běžného CRM bez šifrování,
- absence interní směrnice a odpovědné osoby,
- příliš podrobné logování IP adres a metadat,
- nedostatečné školení vedení a HR,
- odveta vůči oznamovateli v podobě změny směn, poklesu odměn nebo vyloučení z projektů.
Právě odveta je pro firmu největší reputační i právní riziko. I když oznámení nakonec není potvrzeno, firma nesmí sankcionovat samotný fakt, že někdo upozornil na problém. Nejlepší prevence je školení manažerů a jasně popsaný zákaz odvety v interním předpisu.
Jak to propojit s GDPR, bezpečností a firemní kulturou
Whistleblowing se dotýká osobních údajů, někdy i zvláštních kategorií dat. Proto je nutné řešit i GDPR. Firma by měla mít vypracovaný účel zpracování, dobu uchování, přístupové role a informaci pro oznamovatele, jak jsou údaje chráněny. Pokud se používá externí platforma, je nutná smlouva o zpracování osobních údajů a kontrola, kde jsou data fyzicky uložená.
Bezpečnostně se vyplatí zavést několik technických opatření: 2FA pro administrátory, pravidelné aktualizace, logování přístupů, šifrované zálohy a oddělený účet pro vyšetřování oznámení. U firem s vyšším rizikem je vhodné i pravidelné testování zranitelností nebo penetrační test formuláře a backendu.
Stejně důležitá je firemní kultura. Pokud zaměstnanci věří, že oznámení bude řešeno profesionálně, počet kvalitních podnětů roste. Pokud naopak vidí, že se problémy zametají pod koberec, systém se mine účinkem. V malé firmě často stačí málo: jasná politika, reálná anonymita, rychlá reakce a transparentní komunikace o tom, že oznámení jsou brána vážně. To je rozdíl mezi papírovým compliance a funkční ochranou oznamovatelů.
