Jak zavést whistleblowing do organizace: práva, postupy a vzory

Rubrika: Právní poradenství pro firmy a podnikatele

Datum: 10.09.2025

Aktualizace: 10.09.2025

Rubriky

Mohlo by Vás zajímat

Zvažujete, jak nastavit oznamování protiprávního jednání tak, aby bylo účinné, zákonné a férové? Tento článek vás provede whistleblowingem od začátku do konce. Vysvětlíme, co whistleblowing je a proč je důležitý, jaké mohou být osobní a pracovní dopady na oznamovatele a jak je zvládnout. Stručně zasadíme téma do evropského právního rámce a ukážeme, co z něj plyne pro českou praxi, včetně požadavků zákona č. 171/2023 Sb. (kanály, lhůty 7/30, zákaz odvety, dočasná ochranná opatření, evidence).

Těžištěm je praktická implementace ve firmách a institucích: kdo za co odpovídá, jak vybrat a nastavit kanály, jak vést šetření, chránit identitu, dokumentovat a reportovat. Přidáváme checklist krok za krokem, vzorové texty a šablony, doporučené metriky, i přehled nejčastějších chyb a jak se jim vyhnout. Ať jste právník, HR, compliance specialista nebo vedoucí týmu, po přečtení budete mít jasný plán, jak whistleblowing zavést a udržet jako funkční nástroj kultury důvěry. Pojďme na to!

Obsah článku:

  • Co je whistleblowing a proč je důležitý

  • Jak se vyrovnat s následky whistleblowingu

  • Právní rámec whistleblowingu

  • Implementace whistleblowingových postupů v organizacích

 

Co je whistleblowing a proč je důležitý

Whistleblowing (oznamování) je jednání osoby, která v dobré víře a na základě důvodného podezření upozorní na protiprávní nebo jinak škodlivé jednání, k němuž dochází v souvislosti s její prací či obdobnou činností. Typicky jde o zaměstnance, dodavatele, stážistu nebo člena orgánu společnosti, který má přístup k informacím „zevnitř“ a svým oznámením chrání veřejný zájem – například před podvody, korupcí, poškozováním životního prostředí, ohrožením bezpečnosti práce, porušováním pravidel hospodářské soutěže nebo nakládáním s osobními či citlivými daty v rozporu s právem.

Důležité je odlišit whistleblowing od běžných pracovních sporů či osobních neshod. Oznámení s prvky whistleblowingu má přesah mimo individuální zájmy – poukazuje na jednání, které může škodit organizaci, klientům, veřejným financím, zdraví a bezpečnosti lidí nebo pověsti celého odvětví. Naopak sem nepatří čistě interní personální nespokojenost bez širšího dopadu či vědomě nepravdivá obvinění.

Pro organizace je whistleblowing klíčový z hlediska včasné detekce rizik. Interní oznámení často upozorní na problém dříve, než přeroste v regulatorní postih, trestní odpovědnost, reputační krizi nebo ekonomickou ztrátu. Dobře nastavený oznamovací mechanismus tím podporuje compliance kulturu, posiluje důvěru zaměstnanců a může být i konkurenční výhodou: firma působí transparentně, efektivně řeší incidenty a předchází opakování chyb.

Z pohledu společnosti má whistleblowing preventivní i očistnou funkci. Umožňuje odhalovat jednání, která by bez vnitřních informací zůstala skrytá, a tím přispívá k férovému podnikatelskému prostředí, ochraně veřejných prostředků i bezpečí občanů. Proto moderní právní řády – včetně českého – poskytují oznamovatelům ochranu před odvetou a stanovují jasná pravidla, jak oznámení bezpečně podat a prošetřit.

Aby whistleblowing fungoval, musí být splněny tři základní podmínky:

  1. Důvěra – oznamovatel musí vědět, že jeho identita bude chráněna a že se nedočká postihu.
  2. Srozumitelný proces – jasně popsané kanály (interní i externí), postupy šetření, lhůty a zpětná vazba.
  3. Nestrannost a férovost – profesionální posouzení oznámení bez předsudků, s respektem k právům všech dotčených osob.

Whistleblowing není „udavačství“. Je to odpovědné oznámení ve veřejném zájmu, které – pokud je správně nastaveno a chráněno – pomáhá organizacím i společnosti předcházet škodám.

Jak se vyrovnat s následky whistleblowingu

Oznámení protiprávního či škodlivého jednání je správný krok ve veřejném zájmu, ale může mít pro oznamovatele (i jeho okolí) pracovní, sociální, psychologické a právní dopady. Níže najdete praktický, srozumitelný návod, jak rizika řídit – a co by současně měli dělat zaměstnavatelé.

1. Ještě před podáním oznámení: připravte se

  • Zmapujte rizika a cíle. Ujasněte si, co přesně chcete oznámit, jaké důkazy existují a jaký výsledek očekáváte (zastavení škody, náprava procesu, odpovědnost konkrétních osob).
  • Volba kanálu. Preferujte vnitřní oznamovací systém (pokud je funkční a bezpečný). Zvažte i externí kanál u příslušného orgánu (v ČR mj. Ministerstvo spravedlnosti) – zejména není-li interní kanál důvěryhodný nebo hrozí-li zničení důkazů.
  • Důkazy shromažďujte zákonně. Zachovejte integritu dokumentů (čas, místo, původ). Nesdílejte více informací, než je nutné („zásada minimalizace“). Neobcházejte zákony o ochraně utajovaných informací či osobních údajů – ochrana oznamovatelů neznamená „volnou ruku“ pro nezákonné získávání dat.
  • Nepište na firemní kanály, pokud by to ohrozilo důvěrnost. Je-li to přiměřené, používejte soukromé zařízení a oddělte pracovní a osobní komunikaci.
  • Diskrétní konzultace. Před podáním oznámení se můžete poradit s advokátem, firemním odborníkem na dodržování předpisů (compliance), ombudsmanem nebo se specializovanou neziskovou organizací. Cílem je ověřit, že vaše podání splňuje zákonné požadavky, že s důkazy nakládáte zákonně a že volíte nejbezpečnější kanál. Tím předejdete zbytečným chybám.

2. Krátce po podání: chraňte se a komunikujte chytře

  • Veďte si záznamy. Archivujte potvrzení o přijetí oznámení, průběžné odpovědi, poznámky z hovorů, jména zúčastněných osob, časovou osu událostí.
  • Hlídání lhůt a komunikace. Sledujte, zda odpovědná osoba postupuje v zákonných lhůtách a informuje vás o krocích. Ptejte se na stav věcně, bez emocí, písemně.
  • Nesdílejte případ na sociálních sítích. Veřejná medializace může ztížit vyšetření a zvýšit rizika (včetně nařčení z porušení loajality či mlčenlivosti). Pokud je zvažována, dělejte to až po právní konzultaci a s vědomím možných dopadů.

3. Pokud přijde tlak či odveta: jednejte rychle

  • Rozpoznejte odvetu. Propouštění, snižování mzdy, degradace, šikana, změna směn, vyloučení z informací, poškozování pověsti – to vše může mít povahu odvety.
  • Okamžitě dokumentujte. Sbírejte důkazy (e-maily, zápisy, svědectví). Každý incident si zapisujte s datem, místem a osobami.
  • Využijte ochranu a opravné prostředky. Obracejte se na odpovědnou osobu, interní compliance, odbory či právníka; zvažte podání k externímu orgánu. V pracovněprávních sporech se v otázkách odvety obvykle přenáší důkazní břemeno na zaměstnavatele, aby prokázal legitimní důvody svého postupu.
  • Mezitímní ochranná opatření. Požádejte o dočasnou změnu nadřízeného, týmu nebo pracoviště, o zákaz kontaktu s osobami, které vůči vám vystupují, případně o práci z domova – vždy tak, aby tato opatření nepůsobila jako skrytý postih.

4. Psychická a sociální odolnost: myslete na své zdraví

  • Cítit stres, úzkost či nejistotu je normální. Využijte psychologickou podporu (EAP, terapeut), oporu rodiny a přátel; určete si „spojence“ v práci.
  • Nastavte hranice. Regulujte expozici konfliktu (notifikace, pracovní chaty), plánujte odpočinek, dbejte na spánek a pohyb.
  • Finanční bezpečnost. Zvažte rezervu pro případ dočasného výpadku příjmu a pojištění právní ochrany.

Co by měl dělat zaměstnavatel (minimum dobré praxe)

  • Nulová tolerance odvety. Jasně komunikujte, že odveta je zakázaná; porušení řešte disciplinárně. Školte management i zaměstnance.
  • Důvěrnost a ochrana identity. Omezte okruh osob, které znají identitu oznamovatele; logujte přístupy k informacím.
  • Férové a nestranné šetření. Pověřte kompetentní a nezávislé osoby; definujte metodiku, rozhovory, evidenci, reporting. Pracujte s presumpcí dobré víry oznamovatele.
  • Dočasná opatření. Oddělte zúčastněné strany, zaveďte zvýšený dohled nad týmem a oznamovateli zajistěte bezpečnostní i psychologickou a sociální podporu.
  • Zpětná vazba a nápravná opatření. V zákonných lhůtách informujte oznamovatele o krocích, přijměte a zdokumentujte nápravu (procesní změny, sankce, školení).
  • Reintegrace a reputace. Po uzavření případu pomozte s návratem do běžného pracovního režimu, snižujte stigmatizaci (komunikace bez detailů, ale s jasným vzkazem o neakceptovatelnosti odvety).

Rychlý tahák pro oznamovatele

  1. Připravte si stručné, faktické shrnutí a seznam důkazů.
  2. Zvolte bezpečný kanál (interní → externí, podle okolností).
  3. Vše pište a archivujte.
  4. Na tlak reagujte věcně, písemně, s právní oporou.
  5. Pečujte o psychickou pohodu a opřete se o podporu.

Dobře zvládnutá práce s následky chrání nejen oznamovatele, ale i organizaci – snižuje právní a reputační rizika a posiluje kulturu otevřenosti.

Právní rámec whistleblowingu

Mezinárodní kontext a „dobré standardy“

Whistleblowing je dnes vnímán jako součást moderní správy a boje proti korupci. Na mezinárodní úrovni existují „měkké“ standardy, které doporučují klíčové prvky ochrany oznamovatelů – zejména více možností oznámení (interní, externí, veřejné), zákaz odvety, důvěrnost, jasné lhůty a účinné nápravy. Patří mezi ně například G20 High-Level Principles for the Effective Protection of Whistleblowers a materiály OECD k integritě a protikorupčním opatřením.

G20 High-Level Principles for the Effective Protection of Whistleblowers; OECD – anti-corruption and integrity in SOEs

Evropská unie: směrnice (EU) 2019/1937

Zásadním předpisem pro EU je směrnice (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie. Ta stanoví minimální standardy ochrany v oblastech, jako jsou finanční služby, AML/CFT, ochrana spotřebitele, ochrana osobních údajů, bezpečnost dopravy či ochrana životního prostředí. Směrnice vymezuje, kdo je chráněn, jaké kanály mají být k dispozici (interní i externí) a jaká procesní pravidla mají členské státy zajistit (důvěrnost identity, zákaz odvety, povinnost poskytovat zpětnou vazbu ve lhůtách).

EUR-Lex – směrnice (EU) 2019/1937

Povinnost zřídit interní kanály

Veřejné instituce a soukromé subjekty s 50 a více pracovníky musí zřídit a provozovat vnitřní oznamovací systém. Směrnice připouští určitou flexibilitu (např. sdílení zdrojů v rámci skupiny pro menší organizace), ale důraz klade na efektivitu, dostupnost a důvěrnost.

Ochrana před odvetou a procesní garance

Jádrem je zákaz jakékoli odvety (propuštění, snížení mzdy, degradace, šikana, přeložení apod.) a povinnost členských států zajistit účinné prostředky nápravy. Orgány mají postupovat nestranně, chránit identitu oznamovatele a poskytovat mu závaznou zpětnou vazbu v zákonných lhůtách. Evropská komise v roce 2024 připomněla, že kvalitní kanály a silná ochrana proti odvetě jsou klíčové pro funkčnost systému a vynutitelnost práva EU.

Co z právního rámce plyne pro praxi organizací

Bez ohledu na jurisdikci se opakují stejné prvky „zásad řádného procesu“:

  1. Dostupné kanály (alespoň interní a externí) a jasné postupy,
  2. Důvěrnost a ochrana identity,
  3. Zákaz odvety a možnost rychlé nápravy,
  4. Lhůty a zpětná vazba pro oznamovatele,
  5. Evidence, školení a průběžné vyhodnocování účinnosti systému.

Tyto principy jsou jádrem evropské směrnice i mezinárodních doporučení a tvoří „kontrolní seznam“ pro compliance týmy.

V následující části článku se zaměříme na českou úpravu – zákon č. 171/2023 Sb., o ochraně oznamovatelů – a na to, jak s těmito požadavky prakticky naložit ve firmách a institucích.

Český zákon o whistleblowingu

Základní rámec a účinnost

Českou úpravu představuje zákon č. 171/2023 Sb., o ochraně oznamovatelů. Účinný je od 1. 8. 2023; pro zaměstnavatele s 50–249 zaměstnanci platilo přechodné období do 15. 12. 2023 (zavedení vnitřního oznamovacího systému). Zákon odkazuje na směrnici (EU) 2019/1937, která byla následně změněna nařízením (EU) 2023/1114 (MiCA), které rozšířilo unijní oblast finančních služeb o kryptoaktiva. Prakticky to znamená, že oznamování porušení předpisů v této oblasti může spadat do chráněného rámce.

Co je „oznámení“ podle zákona

Za oznámení se považuje podnět z pracovního kontextu, který upozorňuje zejména na:

  • trestný čin,
  • přestupek s horní hranicí pokuty ≥ 100 000 Kč,
  • porušení zákona o ochraně oznamovatelů,
  • porušení jiného právního předpisu nebo předpisu EU ve vyjmenovaných oblastech (např. finanční služby, AML, ochrana spotřebitele, bezpečnost výrobků a dopravy, ŽP, ochrana osobních údajů, veřejné zakázky, hospodářská soutěž atd.).

Pozn.: Zákon neukládá povinným subjektům přijímat anonymní oznámení; umožnit anonymitu je však možné v rámci vnitřní politiky. Právní ochrana se standardně váže na oznamovatele, jehož identita je známá. Sektorové předpisy (např. AML) mohou ukládat další oznamovací mechanismy.

Kdo je chráněn a jaká jednání jsou vyloučena

Ochrana se vztahuje na široký okruh osob v pracovním či obdobném vztahu (zaměstnanci, OSVČ/dodavatelé, členové orgánů, stážisté, dobrovolníci, osoby ucházející se o práci aj.). Zákon zároveň stanoví některé výluky (např. informace, jejichž oznámení by bezprostředně ohrozilo podstatný bezpečnostní zájem ČR, činnost zpravodajských služeb, zpovědní tajemství).

Cesty oznámení a podmínky ochrany

Oznamovatel má tři chráněné cesty:

  1. vnitřní oznamovací systém u povinného subjektu,
  2. Ministerstvo spravedlnosti (externí kanál),
  3. uveřejnění informací je chráněno, pokud hrozí bezprostřední nebezpečí nebo riziko nenapravitelné újmy, nebo pokud po interním či externím podání nedošlo ve lhůtách k účinné nápravě. Podmínky vymezuje český zákon (viz § 7) a rámcově čl. 15 směrnice.

Kdo musí zavést vnitřní systém

Povinnost mít vnitřní oznamovací systém dopadá zejména na:

  • zaměstnavatele s ≥ 50 zaměstnanci (k 1. lednu daného roku),
  • veřejné zadavatele (s výjimkami, např. obce < 10 000 obyvatel a některé malé veřejné PO),
  • vybrané orgány veřejné moci a subjekty v regulovaných odvětvích (např. civilní letectví, námořní doprava, ropa/plyn v moři),
  • určité finanční a kapitálové instituce (pojišťovny, zprostředkovatelé apod.) a nově dle odkazu i některé subjekty na trzích kryptoaktiv. Právo EU umožňuje sdílet zdroje pro příjem oznámení v rámci skupiny u subjektů s 50–249 pracovníky, ale každá právnická osoba musí mít vlastní vnitřní kanál a lokální možnost podat oznámení; centrální řešení skupiny nemůže lokální kanál zcela nahradit.

Jak má vnitřní systém fungovat (minima procesu)

Povinný subjekt musí zejména:

  • určit příslušnou osobu (bezúhonná FO) a zveřejnit její kontakty,
  • umožnit písemné i ústní podání (na žádost i osobně do 14 dnů),
  • do 7 dnů potvrdit přijetí, do 30 dnů vyhodnotit (možno prodloužit 2× o 30 dnů),
  • zachovat důvěrnost identity a vedení evidence; přijatá opatření/nápravu doručit oznamovateli; uchovávání dokumentace min. 5 let.

Zákaz odvety a okamžitá ochrana oznamovatele

Zákon zakazuje jakoukoliv odvetu (např. propuštění, degradace, snížení mzdy, změna směn, zásah do pověsti) nejen vůči oznamovateli, ale i dalším vyjmenovaným osobám (pomocníci, blízcí, kolegové, právnické osoby spojené s oznamovatelem). Porušení může vést k sankcím a k právu na přiměřené zadostiučinění.

Kontrola a sankce

Dohled vykonává Ministerstvo spravedlnosti; u zaměstnavatelů v působnosti zákona o inspekci práce též orgány inspekce práce. Za porušení povinností hrozí pokuty – např. pro povinné subjekty až 1 000 000 Kč (u vybraných deliktů do 400 000 Kč), za vědomě nepravdivé oznámení až 50 000 Kč; sankcionovány mohou být i příslušné osoby a třetí osoby (např. za vyzrazení identity).

Praktické poznámky pro praxi

  • Povinné subjekty musí zveřejnit způsob podání a kontakty příslušné osoby; zajištění přístupu k oznámením jen pro příslušnou osobu je povinnost.
  • Anonymní oznámení: zákon je nevyžaduje přijímat (typicky nejsou „oznámením“ ve smyslu § 2 odst. 2), výjimkou jsou některé AML-povinné osoby, které anonymy přijímat mají dle speciálních AML pravidel/metodiky FAÚ. Doporučujeme tuto politiku vyjasnit v interní směrnici.
  • Externí kanál MSp (Ministerstva spravedlnosti ČR) je plně funkční (kontakty, lhůty, způsob záznamu) a může být využit paralelně nebo následně po interním oznámení. 

Aktuální informace k podání externího oznámení a kontakty najdete na portálu Ministerstva spravedlnosti pro oznamovatele.

Implementace whistleblowingových postupů v organizacích

(praktický, detailní návod – použitelné pro firmy i veřejné instituce v ČR)

Níže najdete ucelený „playbook“: kdo je za co odpovědný, jaké kanály zvolit, jak nastavit procesy a ochranu oznamovatelů, jak dokumentovat a měřit, jak školit i jak se vyhnout nejčastějším chybám. Text je psaný populárně-naučně, ale s důrazem na právní i provozní praxi.

1. Řízení a odpovědnosti (governance)

Cíl: vymezit pravomoci, nezávislost a střet zájmů.

  • Příslušná osoba (nebo tým): jmenovat bezúhonnou osobu s odbornou způsobilostí; zajistit jí nezávislost (přímé reportování statutárovi/výboru dohledu).
  • Zástup: jmenovat alespoň 1–2 náhradníky; průběžná zastupitelnost kvůli dovoleným a nemocem.
  • RACI (zkráceně):
Činnost Kdo plní (odpovědný) Kdo ručí za výsledek S kým se radíme Koho informujeme
Příjem a evidence oznámení Příslušná osoba Statutární zástupce / vedení Pověřenec pro ochranu osobních údajů (DPO), právní oddělení Interní audit
Šetření Příslušná osoba + interní/externí vyšetřovatel Statutární zástupce / vedení Personalistika (HR), právní oddělení, dodržování předpisů (compliance) Dotčená oddělení
Ochranná opatření (zákaz odvety) Personalistika (HR) + příslušná osoba Statutární zástupce Právní oddělení, odbory / rada zaměstnanců Vedoucí pracovníci
Nápravná opatření Vlastník příslušného procesu Statutární zástupce Dodržování předpisů (compliance), právní oddělení Příslušná osoba
Zprávy a ukazatele (reporting a metriky) Příslušná osoba Vedení / výbor pro audit Dodržování předpisů (compliance), pověřenec pro ochranu osobních údajů (DPO) Management

2. Předimplementační analýza (scope a rizika)

  • Mapa rizik: kde v organizaci nejpravděpodobněji vznikají protiprávní jednání (finance, zakázky, IT, BOZP, GDPR, AML, konkurence).
  • Stakeholdeři: HR, IT, právní, compliance, interní audit, odbory/zaměstnanecká rada, DPO (ochrana osobních údajů).
  • Dostupnost: kolik máte zaměstnanců, kolik poboček/jazyků, jaké pracovní režimy (směnný provoz, výrobní haly). To ovlivní volbu kanálů a komunikaci.

3. Volba a nastavení oznamovacích kanálů

Princip: více cest, zachovaná důvěrnost, jednoduchost.

  • Povinné minimum: písemný a ústní kanál, na žádost možnost osobního podání.
  • Praktické řešení (kombinace):
    • Webový formulář (přístupný z mobilu, bez přihlášení, s možností přiložit soubory).
    • Dedikovaný e-mail (spravovaný jen příslušnou osobou).
    • Telefonní linka (záznam s informovaným souhlasem; protokolace).
    • Fyzická schránka (pro provozy bez IT; vybírá jen příslušná osoba).
  • Anonymita vs. důvěrnost: zákon vyžaduje důvěrnost; anonymitu lze nad rámec povinností umožnit (zvyšuje počet legitimních hlášení).
  • Nepřetržitost: 24/7 příjem (alespoň asynchronní); potvrzení do 7 dnů, vyhodnocení do 30 dnů (možno 2× prodloužit o 30).
  • Použít externí platformu? Výhody: auditní stopa, anonymní obousměrná komunikace, notifikace, workflow (procesní tok). Zhodnoťte vendor lock-in, bezpečnost a DPA (smlouva o zpracování osobních údajů).

4. Interní směrnice (základní osnova)

  1. Účel a působnost (kdo, kde, jaká jednání).
  2. Definice pojmů (oznamovatel, odvetné opatření, příslušná osoba…).
  3. Kanály a postup (písemně/ústně/osobně; jak požádat o osobní schůzku).
  4. Lhůty (7 dní potvrzení, 30 dní vyhodnocení + možnosti prodloužení).
  5. Ochrana identity a evidence (kdo má přístup, logování, uchovávání min. 5 let).
  6. Zákaz odvety + příklady nepřípustných jednání, postup hlášení odvety.
  7. Šetření (role, metodika, důkazní standardy, nestrannost, dokumentace).
  8. Nápravná opatření (disciplinární, procesní, kontrolní).
  9. GDPR (účel, právní základ, doby uchování, práva subjektů).
  10. Reporting (board, audit, metriky, frekvence).
  11. Školení a komunikace (frekvence, přezkum znalostí).
  12. Přechodná a závěrečná ustanovení (účinnost, revize 1× ročně).

Tip: Směrnici nepište jen „pro právníky“. Stručné shrnutí pro zaměstnance dejte zvlášť (1–2 strany „Jak oznámit a co čekat“).

5. Ochrana dat a bezpečnost (GDPR a informační bezpečnost)

  • Role a právní základ: správce = organizace; účel = vyřizování oznámení a ochrana oznamovatelů; právní základ zpravidla právní povinnost.
  • Minimalizace dat: nevyžadujte zbytečné osobní údaje; citlivé údaje (zdraví, odbory) zpracovávejte jen pokud nezbytné.
  • DPIA (posouzení vlivu): doporučeno u větších řešení či sdílených skupinových platforem.
  • Přístupy: need-to-know, vícefaktorová autentizace, šifrování dat „v klidu“ i „při přenosu“.
  • Logování a auditní stopa: kdo, kdy, co viděl/změnil; export pro audit.
  • Doba uchování: dokumentace k oznámením min. 5 let (v souladu se zákonem); právní spisy podle vnitřního spisového a skartačního plánu.
  • DPA s dodavateli: (cloud/platforma, přepisová služba, forenzní poradci).
  • Přeshraniční přenosy: zohlednit, pokud dodavatel sídlí mimo EHP.

6. Procesní tok (workflow) – od podání po uzavření

Textový „diagram“:

  1. Přijetí → automatické ID případu; kontrola obsahu; potvrzení do 7 dnů.
  2. Triage → klasifikace (oblast práva, závažnost, střet zájmů, potřeba interim ochrany).
  3. Plán šetření → hypotézy, důkazní zdroje, harmonogram, RACI.
  4. Zajištění důkazů → zajištění dat (legal hold), archivace e-mailů, IT forenzní kopie (řetězec předání důkazů – chain of custody).
  5. Rozhovory a analýza → naplánovat pořadí, zajistit nestrannost, zápisy, možnost doprovodu.
  6. Průběžná komunikace → oznamovateli dát mezizprávu (typicky po 30 dnech).
  7. Závěrečná zpráva → skutková zjištění, hodnocení důkazů, závěr, doporučení nápravy.
  8. Nápravná opatření → odpovědní vlastníci, termíny, verifikace účinnosti (follow-up).
  9. Uzavření a zpětná vazba → informovat oznamovatele v mezích zákona; archivace spisu; získané ponaučení.

7. Lhůty a SLA (doporučení do praxe)

  • Potvrzení přijetí: do 7 dní (automat + personalizace do 24–48 h).
  • Vyhodnocení: do 30 dní (možno 2× prodloužit o 30).
  • Dočasná opatření: do 5 pracovních dnů od zjištění rizika odvety.
  • Mezizprávy oznamovateli: každých 30 dní, je-li šetření delší.
  • Uchovávání spisu: min. 5 let; přezkum archivace 1× ročně.

8. Ochrana oznamovatele a „interim“ opatření

  • No-retaliation politika: jasné příklady zakázaných postupů (degradace, přeložení, šikana, odebírání projektů, negativní hodnocení bez objektivních podkladů). :contentReference[oaicite:0]{index=0}
  • Dočasná opatření: změna nadřízeného, přemístění bez zhoršení, home-office (práce z domova), „no-contact“ pravidla, dočasné omezení přístupu k citlivým agendám osob ve střetu. :contentReference[oaicite:1]{index=1}
  • Kanál pro hlášení odvety: rychlá dráha. :contentReference[oaicite:2]{index=2}
  • Reintegrace po uzavření případu: návratový plán, citlivá komunikace do týmu, koučink. :contentReference[oaicite:3]{index=3}
  • Oddělení zúčastněných stran a podpora: zvýšený dohled nad týmem; bezpečnostní, psychologická a sociální podpora oznamovateli. :contentReference[oaicite:4]{index=4}

9. Vyšetřování: metodika a standard důkazu

  • Nestrannost: vyloučení osob ve střetu; možnost externího vyšetřovatele. :contentReference[oaicite:5]{index=5}
  • Důkazní standard: „převaha pravděpodobnosti“ pro interní závěry; u trestních oznámení přenechat věc orgánům činným v trestním řízení. :contentReference[oaicite:6]{index=6}
  • Dokumentace: index důkazů, časová osa, záznamy o přístupech k souborům. :contentReference[oaicite:7]{index=7}
  • Forenzní postupy: zajištění e-mailů, logů, přenosných médií; hash otisků; protokoly o převzetí. :contentReference[oaicite:8]{index=8}

10. Nápravná a disciplinární opatření

  • Typy: procesní změny, školení, varování, finanční sankce dle předpisů, ukončení pracovního poměru, oznámení orgánům.
  • Princip přiměřenosti: vázat na míru porušení a důsledky.
  • Následné follow-up testy: za 3–6 měsíců ověřit, zda se problém neopakuje.

11. Komunikace a školení

  • Interní kampaň (min. 2 kola ročně): intranet, plakáty v provozu, krátká videa, FAQ.
  • Onboarding: whistleblowing do vstupních školení.
  • E-learning s testem: mikro-moduly po 10–15 min; závěrečný kvíz.
  • Školení manažerů: jak reagovat na oznámení, zákaz odvety, jak vést citlivé rozhovory.
  • Příklad shora: krátké video nebo dopis od vedení (např. generálního ředitele) posílí důvěru a jasně vysvětlí smysl.

12. Měření a reporting - ukazatele (KPI/OKR)

Doporučené metriky:

  • Počet oznámení na 100 zaměstnanců (neplatí: „víc = horší firma“; často naopak signalizuje důvěru).
  • Podíl substanciovaných oznámení (% s potvrzeným základem).
  • TTF Acknowledge (čas potvrzení) a TTR (čas uzavření).
  • Počet a typ dočasných opatření; počet stížností na odvetu.
  • Recidiva: opakované případy v jednom útvaru do 12 měsíců.
  • Spokojenost oznamovatelů (anonymní dotazník po uzavření).

Reporting: kvartálně vedení/boardu; roční anonymizovaná zpráva zaměstnancům (posiluje důvěru).

13. Testování a audit

  • Skrytý test: 1× ročně – otestujte kanály a reakční dobu.
  • Interní audit: soulad se směrnicí, GDPR, bezpečností; náprava nálezů do 90 dnů.
  • Penetrační test: pokud používáte externí webový formulář/portál.

14. Speciální situace

  • Skupiny společností: menší dceřiné firmy mohou sdílet systém, ale lokální možnost podat interní oznámení musí zůstat; respektujte jazyk a lokální právo.
  • Veřejný sektor: koordinace s nadřízeným orgánem; spisová služba, zákon o přístupu k informacím (zveřejňování jen v souladu s ochranou osobních údajů a utajovaných informací).
  • Regulované oblasti (AML, finance, kritická infrastruktura): konzultace s compliance; častěji externí vyšetřování a oznamování dozorovým orgánům.
  • Odbory a rady zaměstnanců: včasná konzultace změn směrnic; kolektivní smlouvy.

15. Nejčastější chyby (a jak jim předejít)

  • Omezení přístupu: příliš mnoho lidí „vidí“ do spisu → zúžit oprávnění, logovat.
  • Chybí interim ochrana: oznamovatel mezitím čelí tlaku → mít šablonu dočasných opatření.
  • Nejasné lhůty a ticho: žádná mezizpráva → nastavit SLA (služební lhůty / dohodnuté lhůty) a automatické notifikace.
  • Směrnice „jen na papíře“: bez školení a komunikace → roční kampaň, onboarding.
  • Zaměňování osobních stížností s whistleblowingem: mít vstupní roztřídění (triage) a odklonit na HR.
  • Nedokumentované šetření: později neobhajitelné závěry → standardizované zápisy, checklisty.
  • „Lov na čarodějnice“: identita oznamovatele koluje → striktní důvěrnost, sankce za únik.

16. Vzorové šablony (zkrácené – můžete převzít a upravit)

A. Text pro intranet / nástěnku (1 odstavec):

Máte podezření na protiprávní či škodlivé jednání? V dobré víře nám ho můžete oznámit prostřednictvím vnitřního oznamovacího systému. Zaručujeme důvěrné nakládání s vaší identitou, zákaz odvety a zpětnou vazbu ve lhůtách stanovených zákonem. Postup a kontakty najdete zde: [odkaz]. V případě potřeby lze oznámení podat písemně, ústně nebo si dohodnout osobní schůzku.

B. Potvrzení přijetí (do 7 dnů):

Dobrý den, potvrzujeme přijetí Vašeho oznámení ID [XXXX] dne [datum]. Příslušná osoba jej vyhodnocuje v souladu se zákonem č. 171/2023 Sb. a interní směrnicí. O dalším postupu Vás budeme informovat do 30 dnů.

S pozdravem
[Příslušná osoba], kontakty

C. Mezizpráva (po 30 dnech):

Dobrý den, šetření oznámení ID [XXXX] pokračuje. Potřebujeme dodatečné ověření některých skutečností. Lhůta pro vyřízení se prodlužuje o 30 dnů. Ochrana Vaší identity a zákaz odvety zůstávají zachovány.

S pozdravem
[Příslušná osoba]

D. Protokol o osobním podání (výňatek):

  • Datum/čas, místo, přítomné osoby, poučení o ochraně identity, souhlas se záznamem,
  • stručný obsah, přiložené důkazy, podpisy.

E. Check-list triage:

  • Spadá pod definici „oznámení“?
  • Hrozí okamžitá škoda/bezpečnostní riziko?
  • Je střet zájmů u příslušné osoby? (→ reassign)
  • Potřeba interim ochrany?
  • Právní povinnost informovat orgány?
  • GDPR rizika / potřeba DPIA?

17. 90denní plán implementace (realistický harmonogram)

Týdny 1–2: jmenování příslušné osoby a zástupů; governance (řízení a odpovědnost); úvodní workshop; výběr kanálů (build vs buy).

Týdny 3–4: návrh směrnice + konzultace s DPO/HR/odborovou organizací; DPA s dodavateli; DPIA (pokud třeba).

Týdny 5–6: technické zprovoznění kanálů; evidence případů; šablony dokumentů; skryté testy (mystery report).

Týdny 7–8: školení managementu a HR; intranetová stránka; plakáty; e-learning pro zaměstnance.

Týdny 9–10: pilotní provoz; nastavení metrik a dashboardu; ladění procesů.

Týdny 11–12: ostrý start; první kvartální reporting; plán roční revize.

18. Co říct zaměstnancům (klíčové sdělení)

  • „Oznámení je pomoc organizaci, ne udavačství.“
  • „Vaše identita je chráněna; odveta je zakázaná a sankcionovaná.“
  • „Dáme vám zpětnou vazbu ve lhůtách; víme, že čekání je náročné.“
  • „I když se oznámení nepotvrdí, neznamená to postih – hodnotíme dobrou víru.“

19. Minimální „must-have“ pro malé a střední organizace (50–249)

  • Jednoduchý webový formulář + dedikovaný e-mail a telefonní linka.
  • Jedna příslušná osoba + zástup; jednoduchá evidence (číslování, šablony).
  • Jasná směrnice (max. 5–7 stran) + jednostránkové shrnutí pro zaměstnance.
  • Školení: 30 min. e-learning 1× ročně + onboarding.
  • Základní metriky a čtvrtletní report statutární osobě.

20. Krátké FAQ pro praxi

  • Musíme přijímat anonymní oznámení? Zákon to neukládá, ale dobrovolné umožnění anonymních hlášení obvykle zvyšuje efektivitu.
  • Co když oznámení přichází mimo kanál (např. k manažerovi)? Manažer je povinen bezodkladně předat příslušné osobě; vyškolte je, ať nic „neřeší bokem“.
  • Můžeme se oznamovateli omluvit a věc uzavřít bez šetření? Ne. Vždy proveďte základní ověření a dokumentujte postup.
  • Kdy informovat orgány činné v trestním řízení/dozory? Jakmile existuje podezření na trestný čin nebo porušení regulace, která takovou povinnost stanoví.

 

POŽÁDEJTE O ZASLÁNÍ

NABÍDKY JEŠTĚ DNES