Přeskočit na obsah

Interní whistleblower systém v tech firmách

Právní nastavení pro ochranu oznamovatelů kybernetických hrozeb

Pro technologické firmy nepředstavuje zákon o ochraně oznamovatelů jen další legislativní povinnost, ale strategický nástroj pro včasné odhalení kybernetických hrozeb. Tento článek vám poskytne praktický návod, jak správně implementovat interní oznamovací systém (VOS), abyste splnili zákonné požadavky a ochránili svou firmu před riziky i vysokými finančními postihy.

Na obrázku vidíte odborníka na právní ochranu oznamovatelů kybernetických hrozeb v tech firmách.

Kybernetické hrozby nejsou jen technický problém, ale i právní riziko

Škody na reputaci, ztráta důvěry klientů a potenciální soudní spory jsou jen špičkou ledovce. Klíčovou roli v prevenci těchto katastrof hrají vaši vlastní lidé. 

Právě zaměstnanci – ať už jde o vývojáře, systémové administrátory, nebo pracovníky finančního oddělení – jsou často první, kdo si všimnou anomálií, bezpečnostních zranitelností nebo interních postupů, které otevírají dveře kybernetickým útokům.

Otázka tedy zní: jak vytvořit firemní kulturu a právně ukotvený proces, který tyto zaměstnance motivuje, aby své poznatky bezpečně a bez strachu z postihu nahlásili interně?

Zákon o ochraně oznamovatelů: Váš nový spojenec v kybernetické bezpečnosti

Odpovědí na tuto výzvu je zákon č. 171/2023 Sb., o ochraně oznamovatelů, který do českého právního řádu implementuje evropskou směrnici (EU) 2019/1937. 

Ačkoliv je často vnímán jako administrativní zátěž, pro technologické firmy představuje legislativně nařízený systém včasného varování. Tento zákon dává zaměstnancům právní ochranu, pokud se rozhodnou upozornit na protiprávní jednání, o kterém se dozvěděli v souvislosti s prací.

Pro technologický sektor je zásadní, že zákon výslovně pokrývá oznámení týkající se porušení předpisů v oblasti „ochrany osobních údajů, soukromí a bezpečnosti sítí elektronických komunikací a informačních systémů“.

Tím se interní oznamovací systém stává přímou součástí vaší strategie kybernetické bezpečnosti a compliance. Nejde o byrokracii, ale o efektivní nástroj, který legálně posiluje vaše zaměstnance, aby se stali prodlouženou rukou vašeho bezpečnostního týmu.

Kdo a co musí hlásit? Specifika pro technologický sektor

Povinnost zavést vnitřní oznamovací systém (VOS) se vztahuje na každého zaměstnavatele s 50 a více zaměstnanci. 

Ochrana se navíc nevztahuje pouze na kmenové zaměstnance, ale i na široký okruh spolupracujících osob, jako jsou dodavatelé (kontraktoři), stážisté nebo dokonce uchazeči o zaměstnání, což je pro IT sektor s vysokým podílem externistů klíčové.

Co konkrétně může být předmětem oznámení ve vaší firmě?

  • Vývojář objeví kritickou zranitelnost ve veřejně dostupné aplikaci, ale management na jeho upozornění nereaguje z důvodu tlaku na dodržení termínů.
  • IT administrátor ví, že společnost neimplementuje bezpečnostní opatření vyžadovaná smlouvou s klíčovým klientem nebo budoucí regulací NIS2.
  • Projektový manažer zjistí, že se s daty zákazníků nakládá v rozporu s GDPR a interními směrnicemi o ochraně osobních údajů.
  • Pracovník finančního oddělení si všimne podezřelých plateb neznámé firmě, které mohou naznačovat tiché placení výkupného v rámci ransomware útoku.

FAQ – Právní tipy k oznamovaným hrozbám

  • Může zaměstnanec nahlásit jen podezření, nebo musí mít pevné důkazy?
    Zákon chrání oznamovatele, kteří mají „oprávněné důvody se domnívat“, že jejich informace jsou pravdivé. Nemusí předkládat nezvratné důkazy, ale nesmí jít o vědomě lživé oznámení. Pro posouzení vaší konkrétní situace nás kontaktujte na konzultace@arws.cz.
  • Co když nahlášená zranitelnost ještě nebyla zneužita?
    Oznámení se může týkat protiprávního jednání, ke kterému „došlo nebo má dojít“. Nahlášení potenciální hrozby je přesně to, co zákon podporuje. Potřebujete právní pomoc s nastavením procesů? Spojte se s námi na office@arws.cz.

POTŘEBUJETE PRÁVNÍ POMOC?

Ozvěte se nám, rádi pomůžeme.

ARROWS advokátní kancelář

Jak správně nastavit interní oznamovací systém (VOS) pro hlášení kybernetických incidentů?

Funkční a důvěryhodný systém není jen o zřízení e-mailové schránky. Musí splňovat striktní zákonné požadavky, aby byl právně platný a efektivní.

Krok 1: Určení „příslušné osoby“

Zákon vyžaduje jmenování tzv. příslušné osoby, která je zodpovědná za příjem, posuzování a řešení oznámení.

Tato osoba musí být nestranná, důvěryhodná a odborně způsobilá. Jmenování interního zaměstnance, například IT ředitele, je extrémně rizikové. Pokud by oznámení směřovalo proti jeho oddělení, vzniká zjevný střet zájmů, který podkopává důvěru v celý systém.

Pověření externích právníků ARROWS rolí příslušné osoby zajišťuje absolutní nestrannost a profesionalitu, čímž se maximalizuje důvěra zaměstnanců v systém.

Krok 2: Zajištění bezpečných a dostupných kanálů

Musíte umožnit podání oznámení písemně (např. e-mailem, webovým formulářem), ústně (telefonicky) a na žádost i osobně.

V kontextu kybernetických hrozeb je naprosto zásadní, aby tyto kanály byly technicky zabezpečené, ideálně s koncovým šifrováním.

Naši právníci vám pomohou vyhotovit interní směrnice, které přesně definují fungování těchto kanálů a zajišťují soulad se zákonem i s GDPR. Pro okamžité řešení vaší situace nám napište na konzultace@arws.cz.

Krok 3: Dodržení striktních zákonných lhůt

Zákon stanoví jasné termíny: do 7 dnů musíte oznamovateli potvrdit přijetí oznámení a nejpozději do 30 dnů ho musíte informovat o výsledku šetření. 

Tuto lhůtu lze ve složitých případech dvakrát prodloužit o 30 dnů. V případě aktivní kybernetické hrozby je však nutné jednat okamžitě.

Krok 4: Ochrana identity a zákaz odvetných opatření

Totožnost oznamovatele je přísně důvěrná a přístup k ní smí mít pouze příslušná osoba. Jakékoli odvetné opatření je zakázáno. 

V technologické firmě to neznamená jen výpověď, ale i subtilnější kroky jako stažení z klíčového projektu, negativní hodnocení výkonu, nepovýšení nebo neprodloužení kontraktu.

Co hrozí, když systém nefunguje správně?

Nefunkční nebo pouze formálně zavedený VOS není jen porušením zákona. Je to signál zaměstnancům, že vedení nebere etiku a bezpečnost vážně, což vede k toxické firemní kultuře a odchodu klíčových talentů.

Kromě toho zákon stanovuje citelné finanční sankce. Za vědomě nepravdivé oznámení hrozí pokuta až 50 000 Kč samotnému oznamovateli, což chrání firmy před zneužitím systému. Pro firmy jsou však rizika mnohem vyšší.

Finanční a reputační rizika nefunkčního VOS

Riziko k řešení a potenciální problémy a sankce

Jak pomáhá ARROWS

Pokuta až 1 000 000 Kč za nezavedení VOS nebo za uplatnění odvetných opatření vůči zaměstnanci, který nahlásil bezpečnostní díru.

Příprava kompletní dokumentace, která ochrání před pokutami a sankcemi. Chcete mít jistotu souladu se zákonem? Napište nám na konzultace@arws.cz.

Únik citlivých dat nahlášený externě (např. NÚKIB nebo médiím) kvůli nedůvěře v interní systém, což vede k poškození reputace a ztrátě klientů.

Nastavení důvěryhodného a bezpečného systému, včetně možnosti outsourcingu příslušné osoby. Naši právníci jsou připraveni vám pomoci – napište na konzultace@arws.cz.

Trestní odpovědnost právnické osoby za kybernetický incident, kterému se dalo předejít včasným interním nahlášením.

Zastupování u správních orgánů a soudů a implementace compliance programů, které mohou vést k vyvinění z odpovědnosti. Potřebujete právní pomoc? Kontaktujte nás na konzultace@arws.cz.

Ztráta klíčových IT specialistů, kteří odcházejí kvůli neetické firemní kultuře, kde se bezpečnostní rizika zametají pod koberec.

Odborná školení pro zaměstnance a vedení, která budují kulturu transparentnosti a důvěry. Zajistěte si školení na konzultace@arws.cz.

ARROWS advokátní kancelář

Správné nastavení interních procesů je klíčové nejen pro whistleblowing, ale i pro celkovou digitální odolnost. 

Více o našich službách v oblasti IT a softwarového práva, kyberbezpečnosti najdete na našem webu.

Pomohou vám naši specialisté

JUDr. Jakub Dohnal, Ph.D., LL.M.

JUDr. Jakub Dohnal, Ph.D., LL.M.

advokát, řídící partner

dohnal@arws.cz
Mgr. Petr Hanzel, LL.M.

Mgr. Petr Hanzel, LL.M.

advokát

hanzel@arws.cz
ARROWS advokátní kancelář

Mezinárodní přesah: Whistleblowing v globálních tech týmech

Mnoho technologických společností dnes funguje v mezinárodních týmech. Spoléhat se na jednotnou skupinovou whistleblowing politiku je však častou chybou. Takové systémy často nesplňují specifické a přísnější požadavky českého zákona, čímž se česká pobočka vystavuje plnému riziku sankcí.

Díky deset let budované síti ARROWS International prakticky denně řešíme případy s mezinárodním prvkem. 

Zajistíme, aby vaše globální postupy byly v souladu s českou legislativou a zároveň konzistentní s vaší mezinárodní firemní kulturou. Spojte se s námi na konzultace@arws.cz a získejte právní řešení na míru pro vaše mezinárodní týmy.

Whistleblowing a NIS2: Dva pilíře vaší digitální pevnosti

Povinnosti plynoucí ze zákona o ochraně oznamovatelů je třeba vnímat v kontextu nadcházející regulace – směrnice NIS2 a nového zákona o kybernetické bezpečnosti. 

NIS2 zavádí přísné požadavky na řízení rizik, povinné hlášení incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) v řádu hodin a přímou odpovědnost managementu za selhání.

Funkční VOS je v tomto kontextu klíčovým nástrojem prevence. Umožňuje odhalit problém interně dříve, než přeroste v závažný incident, který byste museli povinně hlásit NÚKIB. 

Je to váš interní „záchranný systém“, který dává vedení šanci reagovat, než se spustí hodiny pro externí hlášení a hrozba milionových pokut.

Propojení VOS s legislativou NIS2

Riziko k řešení a potenciální problémy a sankce (NIS2)

Jak pomáhá ARROWS (prostřednictvím VOS)

Nesplnění 24hodinové lhůty pro hlášení incidentu NÚKIB, protože interní procesy jsou pomalé a informace se k vedení nedostane včas. Pokuty mohou dosáhnout až 250 mil. Kč.

Implementace VOS jako rychlého eskalačního kanálu. Zajišťujeme, že oznámení o kybernetických hrozbách jsou okamžitě doručena příslušné osobě. Pro nastavení procesů nás kontaktujte na konzultace@arws.cz.

Osobní odpovědnost managementu za selhání v kybernetické bezpečnosti, včetně možného zákazu výkonu funkce.

Právní stanoviska a příprava interních směrnic, které prokazují, že vedení zavedlo všechny náležité mechanismy pro prevenci a detekci, včetně funkčního VOS. Chraňte svou osobní odpovědnost – napište na konzultace@arws.cz.

Nedostatečná bezpečnost dodavatelského řetězce, která je klíčovým prvkem NIS2. Problém u dodavatele je odhalen příliš pozdě.

Rozšíření VOS i na dodavatele a revize smluv s důrazem na kyberbezpečnostní doložky a povinnost hlásit incidenty. Pro revizi smluv se obraťte na konzultace@arws.cz.

Nedostatečné proškolení zaměstnanců o kybernetických hrozbách, což je přímým požadavkem NIS2.

Poskytování odborných školení pro zaměstnance a vedení, která pokrývají jak whistleblowing, tak základy kybernetické hygieny podle NIS2. Objednejte si certifikované školení na konzultace@arws.cz.

ARROWS advokátní kancelář

ARROWS: Váš partner pro bezpečný a funkční whistleblowing

V ARROWS poskytujeme komplexní řešení na klíč: od úvodní právní analýzy, přes vypracování interních směrnic a dokumentace, až po výkon funkce externí příslušné osoby a certifikovaná školení pro vaše zaměstnance i management. 

Naše zkušenosti se opírají o dlouhodobou péči o portfolio více než 150 akciových společností a 250 společností s ručením omezeným. Zakládáme si na rychlosti a vysoké kvalitě poskytovaných služeb.

POTŘEBUJETE PRÁVNÍ POMOC?

Ozvěte se nám, rádi pomůžeme.

ARROWS advokátní kancelář

Navíc chápeme, že právo a byznys jdou ruku v ruce. Proto umíme naše klienty propojovat, pokud identifikujeme zajímavé obchodní či investiční příležitosti.

Ať už potřebujete zavést zcela nový whistleblowing systém, nebo jen zkontrolovat ten stávající s ohledem na specifika kybernetických hrozeb, jsme tu pro vás. 

Neváhejte se obrátit na naši kancelář – konzultace@arws.cz – a domluvte si úvodní konzultaci.

FAQ – Nejčastější právní dotazy k whistleblowingu v IT

1. Musíme řešit i anonymní oznámení o kybernetických hrozbách?

Dle zákona o ochraně oznamovatelů obecně nemusíte. Nicméně v kontextu kybernetické bezpečnosti je ignorování anonymního tipu na závažnou zranitelnost obrovským rizikem. Důrazně doporučujeme systém nastavit tak, aby anonymní hlášení alespoň vyhodnotil. Pokud řešíte, jak tento proces správně nastavit, kontaktujte nás na konzultace@arws.cz.

2. Co přesně se považuje za „odvetné opatření“ vůči IT specialistovi, který nahlásí zranitelnost?

Může to být cokoliv, co mu způsobí újmu a souvisí s oznámením. Kromě zjevné výpovědi to může být i snížení odměn, přidělení méně zajímavé práce, negativní hodnocení, nebo dokonce neprodloužení smlouvy na dobu určitou. Pokud máte podezření na odvetné opatření, naši právníci jsou připraveni vám pomoci – napište na konzultace@arws.cz.

3. Může být „příslušnou osobou“ náš stávající IT ředitel nebo vedoucí bezpečnosti?

Technicky ano, ale je to velmi rizikové. Vzniká zde zjevný střet zájmů, pokud by oznámení směřovalo proti jeho oddělení nebo jemu samotnému. To podkopává důvěru v celý systém. Externí příslušná osoba je proto mnohem bezpečnější volba. Proberme možnosti outsourcingu pro vaši firmu – spojte se s námi na konzultace@arws.cz.

4. Jak se liší oznamovací povinnost podle zákona o ochraně oznamovatelů a podle směrnice NIS2?

Zjednodušeně řečeno, whistleblowing je interní kanál pro zaměstnance, jak nahlásit podezření na protiprávní jednání firmě. Hlášení incidentu podle NIS2 je externí povinnost firmy nahlásit již existující kybernetický incident regulačnímu orgánu (NÚKIB) ve striktních lhůtách. Funkční whistleblowing vám pomůže odhalit problém dříve, než se z něj stane incident, který musíte hlásit externě. Pro detailní právní analýzu vašich povinností nás kontaktujte na konzultace@arws.cz.

5. Jak dlouho musíme archivovat oznámení týkající se kyberbezpečnosti?

Zákon stanoví obecnou povinnost uchovávat oznámení a související dokumentaci po dobu 5 let ode dne přijetí oznámení. Je klíčové zajistit, aby archivace probíhala v souladu s GDPR a byla maximálně zabezpečená. Potřebujete připravit směrnici pro archivaci? Napište nám na konzultace@arws.cz.

MÁTE DALŠÍ DOTAZY? OZVĚTE SE NÁM

ARROWS advokátní kancelář

Autor článku:


Upozornění:

Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2025. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (konzultace@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.