Pracovní právo

Whistleblowing v praxi: vnitřní oznamovací systém a ochrana oznamovatelů

Zákon o ochraně oznamovatelů (č. 171/2023 Sb.) platí od srpna 2023 a netýká se jen velkých korporací — povinný vnitřní oznamovací systém musí mít každý zaměstnavatel s 50 a více zaměstnanci. Za jeho absenci, nedodržení lhůt nebo za odvetné opatření vůči oznamovateli hrozí pokuty až do 1 000 000 Kč. Pokud máte „papírovou" směrnici, ale kanál reálně nefunguje, riskujete sankci i ztrátu kontroly nad únikem citlivých informací.

Proč whistleblowing řešit hned a co firma riskuje

Whistleblowing přestal být dobrovolnou součástí firemní kultury a stal se zákonnou povinností. Zákon č. 171/2023 Sb., o ochraně oznamovatelů, kterým se do českého práva promítla evropská směrnice (EU) 2019/1937, ukládá povinným subjektům zavést vnitřní oznamovací systém (VOS), jmenovat příslušnou osobu, dodržet zákonné lhůty a — což bývá podceňováno — chránit oznamovatele před jakýmkoli odvetným opatřením.

Riziko není teoretické. Za nezavedení systému, za bránění oznámení nebo za uplatnění odvety hrozí pokuty v řádu statisíců až 1 000 000 Kč. Vedle pokuty přichází reputační škoda, riziko, že se oznámení dostane rovnou k orgánům veřejné moci či do médií místo k vám, a v neposlední řadě pracovněprávní spory s zaměstnancem, který tvrdí, že byl postižen za oznámení. Pro firmu je proto fungující VOS současně nástrojem řízení rizik — zachytí problém uvnitř dříve, než eskaluje ven.

Koho se povinnost týká: prahy počtu zaměstnanců

Klíčový práh je 50 a více zaměstnanců. Zaměstnavatel, který tento počet dosáhl k 1. lednu příslušného kalendářního roku, je povinen provozovat vnitřní oznamovací systém. Do počtu se započítávají zaměstnanci v základním pracovněprávním vztahu; promyslete proto i dohody (DPP/DPČ), agenturní zaměstnance a sezónní výkyvy.

Bez ohledu na počet zaměstnanců povinnost dopadá i na některé subjekty podle jejich činnosti — typicky na povinné osoby podle zákona proti praní špinavých peněz (AML), poskytovatele finančních služeb a další regulované sektory. Tyto subjekty musí mít VOS, i kdyby měly jen několik zaměstnanců.

Veřejný sektor má vlastní specifika. Zaměstnanci správních úřadů a územních samosprávných celků mají zvláštní povinnosti loajality a mlčenlivosti podle zákoníku práce (§ 303§ 303 § 303(1) Zaměstnanci a) ve správních úřadech, b) zaměstnanci v 1. Policii České republiky, 2. ozbrojených silách České republiky83), 3. Generální inspekci bezpečnostních sborů, 4. Bezpečnostní informační službě, 5. Úřadu pro zahraniční styky a informace, 6. Vězeňské službě České republiky, 7. Probační a mediační službě, 8. …Oficiální znění ↗), které je třeba s režimem oznamovatele citlivě sladit — oznámení podle zákona o ochraně oznamovatelů má přednost a nelze je trestat jako porušení mlčenlivosti, je-li oznamovatel v dobré víře.

Tip pro střední firmy: Zaměstnavatel s 50–249 zaměstnanci může vnitřní oznamovací systém sdílet s jiným subjektem v rámci skupiny nebo si jeho výkon zajistit externě. Velcí zaměstnavatelé od 250 zaměstnanců sdílení v plném rozsahu obvykle nemohou.

Co lze oznamovat a kdo je oznamovatel

Oznamovatelem je fyzická osoba, která se o protiprávním jednání dozvěděla v souvislosti s prací nebo obdobnou činností. Není to jen zaměstnanec — patří sem uchazeči o zaměstnání, OSVČ, dodavatelé, stážisté, dobrovolníci, ale i členové orgánů společnosti.

Předmětem oznámení je protiprávní jednání, které:

  • má znaky trestného činu,
  • má znaky přestupku s horní hranicí pokuty alespoň 100 000 Kč, nebo
  • porušuje zákon o ochraně oznamovatelů či vymezené oblasti práva EU (finanční služby, AML, ochrana spotřebitele, bezpečnost potravin a výrobků, ochrana životního prostředí, hospodářská soutěž, daně z příjmů právnických osob, ochrana osobních údajů a další).

Ochrana se vztahuje na oznamovatele jednajícího v dobré víře. Vědomě nepravdivé oznámení ochranu nepožívá a může být i přestupkem.

Vnitřní oznamovací systém: kanály a forma

VOS musí umožňovat podání oznámení písemně i ústně, a na žádost oznamovatele i osobně v přiměřené lhůtě. V praxi to znamená kombinaci:

KanálPožadavek
Elektronický (formulář / e‑mail)Zabezpečený přístup, šifrování, oddělené úložiště
Listovní / schránkaDůvěrné doručení jen příslušné osobě
Telefonní / hlasová linkaMožnost záznamu se souhlasem oznamovatele
Osobní schůzkaNa žádost, v přiměřené lhůtě (zpravidla do 14 dnů)

Zásadní je důvěrnost a ochrana totožnosti. K totožnosti oznamovatele a osob, o nichž se v oznámení hovoří, nesmí mít přístup nikdo kromě příslušné osoby. Tu nelze sdělit třetí osobě ani zaměstnavateli bez výslovného souhlasu oznamovatele (s úzkými výjimkami pro orgány činné v trestním řízení). Při nastavování systému proto dbejte i na ochranu osobních údajů a na pravidla narušování soukromí (§ 316§ 316 OCHRANA MAJETKOVÝCH ZÁJMŮ ZAMĚSTNAVATELE A OCHRANA OSOBNÍCH PRÁV ZAMĚSTNANCE(1) Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. (2) Zaměstnavatel nesmí bez závažného…Oficiální znění ↗) — VOS nesmí sloužit ke skrytému plošnému monitoringu zaměstnanců.

Zaměstnavatel je rovněž povinen uveřejnit základní informace o způsobech oznamování (zpravidla na intranetu a webu) tak, aby byly snadno dohledatelné. To navazuje na obecnou informační povinnost vůči zaměstnancům a součinnost se zástupci zaměstnanců (§ 276§ 276 ZÁKLADNÍ USTANOVENÍ(1) Zaměstnanci v základním pracovněprávním vztahu uvedeném v § 3 mají právo na informace a projednání. Zaměstnavatel je povinen informovat zaměstnance a jednat s nimi přímo, nepůsobí-li u něj odborová organizace, rada zaměstnanců nebo zástupce pro oblast bezpečnosti a ochrany zdraví při práci (dále jen "zástupci zaměs…Oficiální znění ↗, § 279§ 279 § 279(1) Zaměstnavatel je povinen informovat zaměstnance o a) ekonomické a finanční situaci zaměstnavatele a jejím pravděpodobném vývoji, b) činnosti zaměstnavatele, jejím pravděpodobném vývoji, jejích důsledcích na životní prostředí a jeho ekologických opatřeních, c) právním postavení zaměstnavatele a jeho změnách, vnitřní…Oficiální znění ↗).

Příslušná osoba a její role

Srdcem systému je příslušná osoba. Musí být bezúhonná, zletilá a plně svéprávná. Může jí být zaměstnanec (typicky compliance, právní oddělení, HR) nebo externí subjekt — výhodou externisty je nezávislost a odbornost při posuzování.

Příslušná osoba zejména:

  • přijímá a posuzuje důvodnost oznámení,
  • navrhuje zaměstnavateli nápravná opatření,
  • vyrozumívá oznamovatele ve lhůtách,
  • vede evidenci oznámení a uchovává je po stanovenou dobu (zpravidla 5 let),
  • zachovává mlčenlivost o totožnosti i obsahu.

Příslušná osoba musí mít zajištěnu nezávislost a nesmí být za řádný výkon funkce postihována. Zaměstnavatel jí musí umožnit přístup k informacím potřebným k prošetření.

Lhůty, které nelze podcenit

Lhůty jsou tvrdé a jejich porušení je přestupkem:

  • Do 7 dnů od přijetí oznámení musí příslušná osoba oznamovatele vyrozumět o přijetí oznámení (nebrání-li tomu výslovná žádost oznamovatele nebo riziko prozrazení totožnosti).
  • Do 30 dnů od přijetí musí oznamovatele vyrozumět o výsledku posouzení důvodnosti. Tuto lhůtu lze ve složitých případech prodloužit, a to nejvýše dvakrát o 30 dnů (celkem tedy až 90 dnů).

Vedle vnitřního kanálu existuje externí oznamovací systém u Ministerstva spravedlnosti a možnost uveřejnění za zákonem stanovených podmínek. Oznamovatel si může vybrat — povinnost vyčerpat nejprve interní kanál zákon nestanoví. Funkční a důvěryhodný VOS je tak vaší nejlepší pojistkou, aby oznamovatel volil cestu dovnitř firmy.

Zákaz odvetných opatření — jádro ochrany

Nejcitlivější je zákaz odvetných opatření. Oznamovatele (a navázané osoby — kolegy, rodinné příslušníky, právnickou osobu, již ovládá) nelze postihnout v souvislosti s oznámením. Za odvetu se považuje například:

  • výpověď, okamžité zrušení nebo neprodloužení pracovního poměru,
  • snížení mzdy, odebrání benefitů, přeřazení na horší práci,
  • neumožnění kariérního postupu, negativní hodnocení,
  • šikana, diskriminace, ukončení smlouvy s dodavatelem.

Mimořádně významné je obrácení důkazního břemene: tvrdí‑li oznamovatel, že utrpěl újmu v důsledku oznámení, předpokládá se, že újma odvetou byla, dokud zaměstnavatel neprokáže opak. Pro firmu to znamená nutnost dokumentovat věcné a objektivní důvody každého personálního kroku vůči osobě, která oznámení podala. Bez prokazatelných podkladů je obrana před soudem velmi obtížná.

Tato logika doplňuje obecnou ochranu zaměstnanců, kteří upozorňují na nedostatky — například v oblasti BOZP (§ 106§ 106 Povinnosti zaměstnavatele při pracovních úrazech a nemocech z povolání(1) Zaměstnanec má právo na zajištění bezpečnosti a ochrany zdraví při práci, na informace o rizicích jeho práce a na informace o opatřeních na ochranu před jejich působením; informace musí být pro zaměstnance srozumitelná. (2) Zaměstnanec je oprávněn odmítnout výkon práce, o níž má důvodně za to, že bezprostředně a zá…Oficiální znění ↗, § 108§ 108 § 108(1) Zaměstnanci nesmějí být zbaveni práva účastnit se na řešení otázek souvisejících s bezpečností a ochranou zdraví při práci prostřednictvím odborové organizace a zástupce pro oblast bezpečnosti a ochrany zdraví při práci. (2) Zaměstnavatel je povinen odborové organizaci a zástupci pro oblast bezpečnosti a ochrany zd…Oficiální znění ↗): i zde platí, že upozornění na rizika nesmí být zaměstnanci na újmu.

Sankce: kolik to může stát

Přestupky podle zákona postihuje Ministerstvo spravedlnosti. Pokuty se odstupňují podle závažnosti:

  • až 1 000 000 Kč za bránění oznámení, za uplatnění odvetného opatření nebo za porušení důvěrnosti totožnosti oznamovatele,
  • až 400 000 Kč za nezavedení vnitřního oznamovacího systému nebo za nedodržení jeho náležitostí a lhůt,
  • sankce hrozí i příslušné osobě za porušení mlčenlivosti.

K finanční sankci se přidává riziko žaloby zaměstnance a náhrady škody i nemajetkové újmy.

Praktické nastavení: směrnice a kanál krok za krokem

  1. Posuďte, zda jste povinný subjekt (práh 50 zaměstnanců k 1. 1., regulovaný sektor).
  2. Zvolte model — interní vs. externí příslušná osoba, případně sdílení v rámci skupiny u 50–249 zaměstnanců.
  3. Zaveďte vícekanálový systém (elektronický formulář, e‑mail, telefon, osobní schůzka) se zabezpečeným, odděleným úložištěm.
  4. Jmenujte příslušnou osobu písemně, vymezte její nezávislost, přístup k informacím a zastupitelnost.
  5. Zpracujte vnitřní směrnici o whistleblowingu — předmět oznámení, postup, lhůty (7 a 30 dnů), pravidla evidence a archivace, mlčenlivost, zákaz odvety, GDPR.
  6. Uveřejněte informace o kanálech na dostupném místě a proškolte vedoucí zaměstnance.
  7. Nastavte protokol pro personální rozhodnutí vůči oznamovatelům — vždy s doloženým objektivním důvodem (kvůli obrácenému důkaznímu břemenu).
  8. Pravidelně revidujte funkčnost systému a aktualizujte směrnici.

Nejčastější chybou je „směrnice do šuplíku" — formálně existující dokument bez reálně funkčního kanálu, bez kompetentní příslušné osoby a bez školení. Taková formálnost firmu před sankcí ani před únikem informací neochrání.

Jak vám pomůžeme / Další krok

V Legal Partners (systém řízení rizik QUADMOND™, kvadrant Q1) nastavujeme vnitřní oznamovací systémy „na míru" — od posouzení, zda jste povinným subjektem, přes výběr modelu příslušné osoby (včetně možnosti externího výkonu) až po směrnici odolnou vůči kontrole i soudnímu sporu. Pomůžeme vám ošetřit lhůty, důvěrnost, GDPR a zejména obranu před tvrzením o odvetném opatření.

Pokud řešíte, zda váš systém obstojí, nebo jej teprve zavádíte, využijte nezávaznou konzultaci zdarma s advokátem Legal Partners. Projdeme vaši situaci, identifikujeme rizika a navrhneme konkrétní řešení. Ozvěte se nám — předejít pokutě i úniku informací je vždy levnější než je řešit zpětně.

Časté dotazy

Od kolika zaměstnanců musíme mít vnitřní oznamovací systém?

Povinnost dopadá na zaměstnavatele s 50 a více zaměstnanci (počítáno k 1. lednu kalendářního roku). Bez ohledu na počet ji mají i některé regulované subjekty, typicky povinné osoby podle AML předpisů a poskytovatelé finančních služeb. Zaměstnavatelé s 50–249 zaměstnanci mohou systém sdílet v rámci skupiny nebo jej zajistit externě.

Jaké lhůty musí příslušná osoba dodržet?

Do 7 dnů od přijetí oznámení musí oznamovatele vyrozumět o jeho přijetí a do 30 dnů o výsledku posouzení důvodnosti. Třicetidenní lhůtu lze ve složitých případech prodloužit nejvýše dvakrát o 30 dnů, tedy celkem až na 90 dnů. Nedodržení lhůt je přestupkem.

Co hrozí za odvetné opatření vůči oznamovateli?

Za odvetu (výpověď, snížení mzdy, přeřazení, šikanu apod.) hrozí pokuta až 1 000 000 Kč. Navíc platí obrácené důkazní břemeno: pokud oznamovatel tvrdí újmu v souvislosti s oznámením, předpokládá se odveta, dokud zaměstnavatel neprokáže objektivní a doložený důvod svého kroku.

Stačí mít zpracovanou směrnici o whistleblowingu?

Nestačí. Vedle směrnice musíte mít reálně funkční vícekanálový systém (elektronicky, ústně i osobně na žádost), jmenovanou bezúhonnou příslušnou osobu se zajištěnou nezávislostí, zabezpečené důvěrné úložiště, uveřejněné informace o kanálech a proškolené vedoucí. Pouze formální dokument firmu před sankcí neochrání.

whistleblowingochrana oznamovatelůvnitřní oznamovací systémpříslušná osobapracovní právocomplianceprůvodce

Potřebujete jistotu u svého případu?

Tato odpověď je obecná. Konkrétní situaci s vámi nezávazně probere advokát Legal Partners.

Nezávazná konzultace →

Máte podobný, ale konkrétnější dotaz?

Zeptat se asistenta →

⚖️ Tento nástroj poskytuje obecnou právní orientaci, není to právní rada. Odpovědi mohou obsahovat chyby — vždy ověřte u citovaného paragrafu. U závažných nebo sporných případů konzultujte advokáta.

Obecná informace, nenahrazuje individuální právní poradu.

Související

Trestní odpovědnost právnických osob a compliance program: ochrana firmy i vedení

Jak se firma vyviní z trestní odpovědnosti? Efektivní compliance program, typické trestné činy a praktické kroky podle ZTOPO a inspirace ISO 37301.

trestní odpovědnost firemcompliancecriminal complianceiso 37301

NIS2 a kybernetická bezpečnost: na koho dopadá a co s tím

NIS2 a nový zákon o kybernetické bezpečnosti: zjistěte, zda vaše firma spadá pod regulaci, jaké máte povinnosti, jak hlásit incidenty a čím ručí vedení.

nis2kybernetická bezpečnostgdprcompliance

AI Act v praxi firmy: rizikové kategorie a AI governance krok za krokem

AI Act mění pravidla hry. Zjistěte, jak klasifikovat rizika AI, jaké máte povinnosti jako poskytovatel či nasazovatel a jak nastavit firemní AI governance bez pokut.

ai actgdprai governanceochrana osobních údajů

Transparentnost odměňování dle směrnice EU 2023/970: na co se připravit

Směrnice EU 2023/970 zavádí transparentnost odměňování, reporting gender pay gapu a obrácené důkazní břemeno. Co čeká české firmy a jak se připravit.

pracovní právotransparentnost odměňovánísměrnice eu 2023/970gender pay gap