Nová směrnice o řízení dodavatelů a GDPR. Další povinnosti pro podniky na obzoru.  

Zpracování citlivých osobních údajů zaměstnanců – kvadratura kruhu.  

Ověření skutečného majitele jako součást AML kontroly.  

Povinné označování alergenů aneb brčko jako potravina.  

Nová směrnice o řízení dodavatelů a GDPR. Další povinnosti pro podniky na obzoru.

Řada obchodních společností bude v dohledné době povinna zavést proces systematického řízení dodavatelů a dceřiných společností. Řízení nikoliv ve smyslu korporátního práva nebo finančního řízení, ale kontroly zaměřené na ochranu lidských práv a životního prostředí.

Návrh směrnice, která má za cíl tyto povinnosti zavést, byl představen v únoru tohoto roku.[1] Cílem nové úpravy, která je projednávána na půdě Evropské unie, je posílit odpovědnost podniků za nepříznivý dopad činnosti jejich dceřiných společností a dodavatelů na lidská práva a životní prostředí.

Přestože lze v legislativním procesu očekávat důkladnou diskusi, s ohledem na dopady a nejasné body, který tento návrh přináší, je podle našeho názoru vhodné na něj upozornit již nyní. V následujícím článku proto shrnujeme základní principy připravované právní úpravy a blíže rozebíráme poměrně zásadní, a pro praxi ne zcela jasný, přesah, který by návrh znamenal ve vztahu k pravidlům pro zpracování osobních údajů.

Pokračování ESG trendu

Právní a regulatorní požadavky na obchodní společnosti týkající se řešení dopadů jejich činnosti na lidská práva a životní prostředí nejsou na úrovni Evropské unie novinkou. Obvykle se pro takové předpisy používá pojem ESG. E pro environmentální rizika, S pro sociální (společenská) rizika a G pro otázku vnitřního řízení (governance).

Jedním z prvních předpisů, který se touto otázkou zabýval, je tzv. směrnice o nefinančním reportingu[2]. Právě jí totiž byla do směrnice o účetních závěrkách[3] doplněna povinnost podniků nad 500 zaměstnanců pravidelně zpracovávat také tzv. nefinanční report o činnosti. Obsahem tohoto reportu mají být rovněž informace týkající se environmentálních, sociálních a zaměstnaneckých otázek, dodržování lidských práv a boje proti korupci a úplatkářství v daném podniku, identifikace rizik, jimž daný podnik v těchto oblastech čelí, a shrnutí politik, která pro snížení uvedených rizik přijal. A pokud žádné politiky nepřijal, je podnik povinen vysvětlit, proč tak neučinil.[4]

Směrnice byla do českého práva transponována v rámci zákona č. 563/1991 Sb., o účetnictví. Část osmá tohoto zákona ukládá povinnosti uvádět informace ve stejném rozsahu, jak to požaduje směrnice, velkým podnikům, tedy obchodním společnostem s více než 500 zaměstnanci, pokud jsou zároveň subjektem veřejného zájmu, případně konsolidující účetní jednotkou veřejného zájmu, která překročí počet 500 zaměstnanců na konsolidovaném základě. Subjekty veřejného zájmu jsou v § 1a tohoto zákona vymezeny jako některé finanční instituce, konkrétně banky, úvěrní družstva, pojišťovny, zajišťovny, penzijní společnosti nebo zdravotní pojišťovny. Další skupinu subjektů veřejného zájmu pak tvoří emitenti investičních cenných papírů přijatých k obchodování na evropském regulovaném trhu. Některé finanční instituce jsou pak povinny řídit ESG rizika a zveřejňovat nefinanční informace i podle jiných právních předpisů.[5]

Rozšíření povinnosti řešit ESG mimo finanční sektor

Nová směrnice rozšiřuje povinnosti v řízení ESG rizik za hranice finančního sektoru. Přesněji lze říci, že povinnosti, které si dále představíme, ukládá všem velkým podnikům bez ohledu na sektor, ve kterém působí. A až následně podnikům menší velikosti v závislosti na sektorech, ve kterých jsou činné. Směrnice se zaměřuje na ověřování a kontrolu toho, jak rizika v této oblasti řídí dodavatelé a dceřiné společnosti daných subjektů. Komise očekává, že se směrnice bude vztahovat na zhruba 13 000 společností z EU a přibližně 4 000 společností ze třetích zemí.

Co návrh nové směrnice konkrétně přináší?

Komise zdůrazňuje nutnost odpovědného chování podniků, které je nezbytné pro přechod na zelenou a klimaticky odpovědnou politiku a ke splnění cílů v oblasti lidských práv. Komise konstatuje, že řada podniků či skupin podniků přijímá v této oblasti dobrovolná opatření, která však, podle Komise, nestačí. Proto je třeba nové regulace, která bude definovat konkrétní povinnosti, jak a proč dodavatele a dceřiné společnosti řídit. Návrh směrnice také stanoví postup pro veřejnoprávní dozor a sankce za porušení pravidel.

Co se podle návrhu směrnice rozumí nepříznivým dopadem na životní prostředí? Směrnice tyto negativní dopady vymezuje odkazem na mezinárodní úmluvy o životním prostředí upravující například využívání biologických zdrojů, zákaz dovozu a vývozu chráněných druhů, nakládání s odpady, využívání některých látek atd.[6]

Nepříznivým dopadem na lidská práva pak směrnice rozumí kupříkladu dopad do práva na život, svobodu a bezpečnost, práva na uspokojivé pracovní podmínky, zákaz dětské práce a nucené práce, svobodu myšlení, svědomí a náboženství nebo ochrany soukromého života, rodiny, domova a korespondence.[7] Odkazuje přitom na Mezinárodní pakt o občanských a politických právech, Mezinárodní pakt o hospodářských, sociálních a kulturních právech a Všeobecnou deklaraci lidských práv, kterou tak fakticky povyšuje na závazný předpis.

Koho chce Komise regulovat?

Návrh směrnice vymezuje tři okruhy subjektů, na které by nová pravidla a povinnosti pro řízení dodavatelů a dceřiných společností měly dopadnout. Jsou to:

1. Obchodní společnosti založené v některém z členských států Evropské unie, pokud měly za poslední účetní období v průměru více než 500 zaměstnanců a čistý celosvětový obrat vyšší než 150 milionů euro.
2. Obchodní společnosti založené v EU, pokud měly za poslední účetní období v průměru více než 250 zaměstnanců a čistý celosvětový obrat vyšší než 40 milionů euro, pokud alespoň polovinu (50 %) z obratu společnost získala v některé z těchto taxativně vymezených odvětví:
   1. Výroba a velkoobchod s textilem, oděvy a obuví
   2. Zemědělství, lesnictví, rybolov, výroba nebo velkoobchod s potravinami nebo zemědělskými produkty
   3. Těžba nerostných surovin, jejich prvotní zpracování a velkoobchod s nimi.
3. Společnosti založené mimo EU, pokud v EU v předposledním účetním období vytvořily čistý obrat vyšší než 150 milionů euro nebo 40 milionů euro, pokud alespoň polovina z druhé uvedené částky dosažena v některém z výše uvedených odvětví (textil, zemědělství a potravinářství, těžba a zpracování surovin).

Jinak řečeno, Komise definuje povinné subjekty kombinací dvou, resp. tří faktorů. Na prvém místě se vždy musí jednat o obchodní společnosti založené v EU nebo působící v EU. Návrh dále stanoví absolutní hranici (počet zaměstnanců či výši obratu), při jejímž překročení by měla být společnost v režimu nové směrnice bez ohledu na oblast činnosti, které se věnuje, a na její potencionální dopad na životní prostředí a lidská práva. Návrh rovněž vymezuje rizikové oblasti činnosti, pro které stanoví výrazně nižší limity, po jejichž dosažení bude daná společnost povinna řídit se novými pravidly pro kontrolu svých dodavatelů a dceřiných společností.

Jaké nové povinnosti směrnice přinese?

Obchodní společnosti vymezené v předchozí části by měly zajistit, aby i jejich dodavatelé a dceřiné společnosti řešili skutečné ale i potenciální nepříznivé dopady svojí činnosti na lidská práva a na životní prostředí.

Jak konkrétně by to měly zajistit? Směrnice upřesňuje, že by proces náležité péče měl zahrnovat šest kroků definovaných v pokynech OECD pro náležitou péči na podporu odpovědného chování podniků. Povinnosti podniků podle směrnice zahrnují tyto kroky:

1. Nastavit a definovat proces, jak nepříznivé dopady svojí činnosti a činnosti svých dodavatelů a dceřiných společností identifikovat a řídit, a začlenit jej do svých politik.
2. Nastavit pravidla pro identifikaci a předcházení negativním vlivům, včetně prověřování a řízení svých dodavatelů[8] a kontroly dceřiných společností, a pro odstranění těch negativních dopadů, které již nastaly.
3. Zavést možnost, aby osoby dotčené nepříznivým dopadem, nevládní organizace a odbory mohly u regulovaných společností proti tomuto jednání podávat stížnosti a aby je společnosti byly povinny řádně prošetřit a vyřídit.[9]
4. Pravidelně hodnotit nastavený proces a v případě identifikace slabin či nedostatků tyto nedostatky odstranit.
5. Za uplynulý kalendářní rok zveřejňovat informace o dodržování pravidel při řízení dodavatelů a dceřiných společností
6. V případě zjištěného nesouladu činnosti dceřiné společnosti nebo dodavatele se stanovenými politikami zajistit nápravu, v krajním případě ukončit svůj smluvní vztah s dotčeným dodavatelem a nenavazovat nové.

Zajištění dodržování těchto pravidel bude patřit k základním povinnostem členů orgánů dotčených obchodních společností v rámci jednání s náležitou péčí.

Vymáhání povinností při řízení dodavatelů a dceřiných společností

Návrh směrnice ukládá členským státům, aby pro dohled nad dodržováním pravidel pro řízení dodavatelů a dceřiných společností určily jeden nebo více dozorových orgánů. Pokud jich bude více, například podle sektorů, pak členský stát musí zajistit, aby měly jasně vymezené působnosti a aby mezi sebou spolupracovaly.

Dozorové úřady by pak měly mít pravomoc přijímat jak předběžná opatření, tak regulovaným subjektům zakázat určitou činnost nebo uložit nápravná opatření. S ohledem na předmět směrnice si lze představit typicky povinnost ukončit spolupráci s konkrétním dodavatelem, změnit interní proces pro řízení dodavatelů a kontrolu dceřiných společností, doplnit smlouvu s určitým subjektem atd.

Dozorové úřady by rovněž měly ukládat finanční sankce. Jejich výše ani rozpětí nejsou v návrhu směrnice vymezeny. Směrnice pouze obecně uvádí, že by tyto sankce měly být účinné, přiměřené a odrazující[10]  a pokud se jedná o peněžité sankce, musí být založeny na obratu dotčené společnosti. S ohledem na výše uvedené limity, resp. velikost společností, které by měly být novou směrnicí regulovány, i na trend určování výše pokut v evropské legislativě, ať už v oblasti hospodářské soutěže, ochrany osobních údajů, boje proti praní špinavých peněz atd., lze podle autorů očekávat stanovení horní hranice možné sankce variantně podílem z obratu dané společnosti nebo případně částkou v řádech milionů či desítek milionů euro opět vázané v horní hranici na obrat.

Návrh směrnice rovněž počítá s tím, že porušení pravidel v oblasti předcházení a řešení negativních dopadů i při činnosti dodavatelů a dceřiných společností bude zakládat soukromoprávní odpovědnost regulovaných subjektů (čl. 22).

Nová směrnice a GDPR

Jedním z práv, jež má směrnice chránit, je také právo na soukromý život, resp. v souladu s článkem 12 Všeobecné deklarace lidských práv[11]  má bránit porušování „zákazu svévolného nebo nezákonného zasahování do soukromého života, rodiny, domova nebo korespondence osoby a útoků na její pověst“. S ohledem na takto vymezenou působnost návrhu samozřejmě vzniká otázka vztahu mezi povinnostmi zaváděnými touto směrnicí a povinnostmi správců a zpracovatelů podle GDPR.

Je přitom třeba předeslat, že právo na soukromí a právo na ochranu osobních údajů jsou v evropském pojetí samostatnými základními právy, byť úzce příbuznými. To vyjadřuje i Listina práv EU, která obě práva definuje odděleně v čl. 7 a čl. 8. Nicméně vztah obou práv není zcela jednoznačně vymezen a zejména právo na soukromí uvedené v čl. 12 Všeobecné deklarace má velmi široký dopad, neboť deklarace byla přijata v době, kdy speciální právo na ochranu osobních údajů ještě nebylo konstituováno. Minimálně pak je právo na soukromí do určité míry širším právem, resp. v řadě případů nezákonné zpracování osobních údajů povede taktéž k zásahu do soukromí.

Bude se aplikovat GDPR a nová směrnice zároveň?

V praxi tak jistě bude nutné vyřešit dopad návrhu směrnice na povinnosti stanovené v GDPR. V této souvislosti vzniká řada otázek, které bude muset praxe vyřešit.

Prvním problémem bude samotné rozhraní mezi směrnicí a GDPR. Podle čl. 1 odst. 1 návrhu směrnice platí, že směrnicí „… nejsou dotčeny povinnosti v oblasti lidských práv, ochrany životního prostředí a změny klimatu vyplývající z jiných legislativních aktů Unie. Jsou-li ustanovení této směrnice v rozporu s ustanovením jiného legislativního aktu Unie, který sleduje stejné cíle a stanoví širší nebo konkrétnější povinnosti, ustanovení tohoto jiného legislativního aktu Unie mají v rozsahu příslušného rozporu přednost a použijí se na tyto konkrétní povinnosti.“

Z tohoto pravidla lze dovodit, že tam, kde se přímo uplatňuje GDPR, bude mít před novou směrnicí aplikační přednost. Tak tomu bude zejména v rámci činnosti dotčených obchodních společností, pokud budou samy zpracovávat osobní údaje, dále ve vztazích mezi správci a zpracovateli ve smyslu čl. 28 GDPR a pravděpodobně i společnými správci ve smyslu čl. 29 GDPR.

Problémem ovšem může být výrazně širší věcná působnost směrnice. Pokud pro zjednodušení pomineme problematiku dceřiných společností, směrnice se i tak má totiž vztahovat na ochranu základních práv u dodavatelů v rámci tzv. zavedených obchodních vztahů, pokud souvisejí s tzv. hodnotovými řetězci. Hodnotovým řetězcem se přitom podle čl. 3 písm. g) směrnice rozumí zejména „činnosti související s výrobou zboží nebo poskytováním služeb ze strany společnosti, včetně vývoje výrobku nebo služby a používání a likvidace výrobku, jakož i související činnosti v rámci zavedených obchodních vztahů společnosti v předcházející či následující fázi dodavatelského a odběratelského řetězce…“[12]. Jinými slovy, i pokud samotná obchodní společnost, na niž budou primárně povinnosti podle směrnice dopadat, nebude v postavení správce osobních údajů zpracovávaných jejím dodavatelem, pokud v souvislosti s jí produkovanými výrobky či službami bude k takovému zpracování docházet, bude pravděpodobně i tak muset řešit vliv tohoto zpracování osobních údajů na soukromí dotčených osob.

Dalším případem, kdy bude nutné zvažovat aplikaci směrnice, bude mitigace rizik formou uzavírání smluv přímo mezi dotčenou obchodní společností (v logice GDPR např. správcem osobních údajů) s tzv. obchodním partnerem, s nímž má společnost nepřímý vztah (v logice GDPR např. tzv. podzpracovatelem osobních údajů případně zpracovatele působícím pro jiného společného správce). To předpokládá např.  čl. 7 odst. 3 či čl. 8 odst. 4 směrnice.

Je samozřejmě možné nalézt i argumenty proti výše uvedenému rozšířenému dopadu směrnice na vztahy zpracování osobních údajů, které by byly založeny buď na argumentaci jiným předmětem ochrany (tedy výše zmíněným právem na soukromí v. právem na ochranu osobních údajů) či nutnosti použití výlučně GDPR jako lex specialis. Je ovšem třeba zdůraznit, že s ohledem na široce koncipovaný dopad směrnice existuje podle našeho názoru značné riziko, že směrnici bude nutné podpůrně použít v celé řadě případů otázek zpracování osobních údajů, a to souběžně či vedle GDPR, tak, jak je naznačeno výše a pouze dodržování pravidel řízení dodavatelů (zpracovatelů) podle GDPR nebude dostačovat.

Jak identifikovat rizika pro soukromí?

Směrnice se však v praxi může projevovat i jinak. Podle čl. 6 odst. 1 návrhu totiž členské státy zajistí, aby společnosti přijaly vhodná opatření k identifikaci skutečných a potenciálních nepříznivých dopadů na lidská práva a nepříznivých dopadů na životní prostředí vyplývajících z jejich vlastních činností nebo činností jejich dceřiných společností, a pokud souvisejí s jejich hodnotovými řetězci, i z jejich zavedených obchodních vztahů.

Podle našeho názoru tam, kde obchodní společnost provedla posouzení vlivu na ochranu osobních údajů ve smyslu čl. 35 a násl. GDPR, nebude již povinna dotčené zpracování dále posuzovat. To vyplývá i z toho, že posouzení vlivu podle GDPR bude obvykle prováděno v mnohem větším detailu, než posouzení rizik podle čl. 6 směrnice. Nicméně v oblastech (tzv. ve vztahu ke zpracováním osobních údajů), kde správce nebyl povinen posouzení vlivu ve smyslu GDPR provádět, protože nebyly splněny předpoklady podle GDPR, zamýšlené zpracování byly vyhodnocení jako nízkorizikové, již bude nutné provedení posouzení rizik ve smyslu čl. 6 směrnice.

Rovněž tak budou správci povinni začlenit náležitou péči do svých politik ve smyslu čl. 5 směrnice. I když pravděpodobně ohledně zpracování osobních údajů prováděným dotčenou společností či jejími zpracovateli bude postačovat odkázat na existující vnitřní předpisy připravené podle GDPR, ve smyslu čl. 5 odst. 1 písm. c) směrnice bude nutné zahrnout do takových politik i zpracování údajů v rámci zavedených obchodních vztahů, resp. rozšíření kodexu chování dotčené obchodní společnosti na takové vztahy. Směrnice navíc vyžaduje každoroční aktualizaci příslušných dokumentů.

Zavede směrnice občanskoprávní odpovědnost za činnost dodavatelů?

Zcela samostatnou kapitolou jsou pak nová pravidla týkající se občanskoprávní odpovědnosti za činnost dodavatelů a dceřiných společností ve smyslu čl. 22 návrhu. Lze očekávat, že se bude jednat o jedno z nejvíce kontroverzních témat při projednávání návrhu směrnice.

Podle čl. 22 jsou členské státy povinny zajistit, aby obchodní společnosti nesly odpovědnost za škody, pokud:

1. nesplnily povinnosti stanovené v článcích 7 a 8 směrnice (předcházení, resp. řešení negativních dopadů jejich činnosti a činnosti jejich dodavatelů a dceřiných společností),
2. v důsledku tohoto nesplnění došlo ke vzniku nepříznivého dopadu, u něhož se měla provést vhodná opatření stanovená v článcích 7 a 8 k jeho identifikaci, prevenci, zmírnění či odstranění nebo minimalizaci jeho rozsahu a
3. tento dopad vedl ke vzniku škody.

Čl. 22 odst. 2 sice do jisté míry zmírňuje dopad prvního odstavce v případě tzv. nepřímých obchodních partnerů, ale zdaleka jej zcela nevylučuje. Čl. 22 tak, jak byl Komisí navržen, může vést k „importu“ odpovědnosti za porušování základních práv ve třetích zemích do EU vůči obchodním společnostem zde usazeným, které od daného „porušovatele“ odebírají některé subdodávky.

Zda je to politicky a hospodářsky správné, to samozřejmě záleží na úhlu pohledu. Z hlediska dotčených obchodních společností se jedná o nové velké riziko pro jejich podnikání, navíc v praxi při realistickém pohledu na věc těžko ovlivnitelné. Z hlediska GDPR pak bude důležité správně určit vztah mezi tímto novým odpovědnostním nástrojem a pravidly pro náhradu újmy a odpovědnost podle čl. 82 GDPR. V praxi by totiž mohlo dojít i k tomu, že zatímco společnost jako správce osobních údajů by za dané porušení provedené jejím nepřímým partnerem (který nebude v postavení zpracovatele osobních údajů) odpovědná nebyla, bude možné založit její odpovědnost právě na čl. 22 směrnice v důsledku nedostatku provedených mitigačních opatření.

Otázkou bude také případná duplikace správních sankcí v případě, kdy společnost bude správcem osobních údajů a porušující partner zpracovatelem, a oba tak budou tak podléhat sankčnímu mechanismu podle GDPR. Pokud by zároveň došlo k porušení povinností podle návrhu směrnice, bude nutné zkoumat, zda je možné uložit sankci podle obou předpisů.

Rovněž v oblasti sankcí a občanskoprávní odpovědnosti tak směrnice nastoluje celou řadu otázek, které nebude jednoduché odpovědět.

Mnoho otázek, málo odpovědí

Nová směrnice o náležité péči podniků v oblasti udržitelnosti bude znamenat revoluci v pojetí odpovědnosti podniků za dodržování lidských práv a ochranu klimatu. Evropská unie a členské státy jejím prostřednictvím budou na obchodní společnosti přenášet řadu povinností, které dosud v obecném pojetí stíhaly pouze členské státy a které měly být realizovány prostřednictvím zákazů a příkazů v právních předpisech. Obchodní společnosti tak budou odpovědné za zajištění lidskoprávních a politických požadavků EU ve vztahu ke svým dodavatelům a dceřiným společnostem působícím kdekoliv na světě. A to pod hrozbou značných sankcí.

Důsledkem směrnice tak bude „vývoz“ evropského pojetí lidských práv a ochrany klimatu do třetích zemí.

Odvrácenou stranou může být potenciální snížení konkurenceschopnosti evropského průmyslu a služeb v zahraniční konkurenci. Mohlo by to nastat nejen ve vztahu ke státům, které vůbec nedodržují základní katalogy lidských práv jako je Všeobecní deklarace lidských práv, ale i ke státům, které zastávají jiné pojetí těchto práv či kladou důraz na jejich jiné aspekty.

Mgr. František Nonnemann,
konzultant v oblasti compliance a řízení rizik zejména ve finančním sektoru, člen Výboru Spolku pro ochranu osobních údajů

JUDr. Vladan Rámiš, Ph.D.,
ředitel právního úseku mediální skupiny mafra, předseda Výboru Spolku pro ochranu osobních údajů

[1] Návrh směrnice Evropského parlamentu a Rady o náležité péči podniků v oblasti udržitelnosti a o změně směrnice (EU) 2019/1937

[2] Směrnice Evropského parlamentu a Rady 2014/95/EU ze dne 22. října 2014, kterou se mění směrnice 2013/34/EU, pokud jde o uvádění nefinančních informací a informací týkajících se rozmanitosti některými velkými podniky a skupinami.

[3] Směrnice Evropského parlamentu a Rady 2013/34/EU ze dne 26. června 2013 o ročních účetních závěrkách, konsolidovaných účetních závěrkách a souvisejících zprávách některých forem podniků, o změně směrnice Evropského parlamentu a Rady 2006/43/ES a o zrušení směrnic Rady 78/660/EHS a 83/349/EHS.

[4] Srov. čl. 19a směrnice 2013/34/EU.

[5] Srov. zejména Nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a o změně nařízení (EU) č. 648/2012, a Nařízení Evropského parlamentu a Rady (EU) 2019/2088 ze dne 27. listopadu 2019 o zveřejňování informací souvisejících s udržitelností v odvětví finančních služeb.

[6] Srov. čl. 3 bod b), resp. část II přílohy k návrhu směrnice.

[7] Srov. čl. 3 bod c), resp. části I oddílu 1 a 2 přílohy k návrhu směrnice.

[8] Podle čl. 12 návrhu směrnice by Komise měla vydat nezávazné vzorové smlouvy, které by tuto otázku v odběratelsko-dodavatelských vztazích řešily.

[9] Zčásti obdoba, resp. rozšíření whistleblowing procesu dle směrnice Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie.

[10] Čl. 20 odst. 1 návrhu směrnice.

[11] Směrnice nesprávně odkazuje na čl. 17, ve skutečnosti se jedná o čl.  12 všeobecné deklarace.

[12] S určitými výjimkami pro finanční sektor.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Mgr. František Nonnemann, JUDr. Vladan Rámiš, Ph.D.

12.09.2022

---

Zpracování citlivých osobních údajů zaměstnanců – kvadratura kruhu.

Generální advokát Soudního dvora EU vydal na konci září stanovisko, které vyjasňuje požadavky kladené na národní legislativu, vydanou za účelem doplnění a specifikace GDPR. Tato legislativa musí být zejména dostatečně konkrétní a musí obsahovat vhodná opatření na ochranu práv a svobod subjektů údajů – nestačí tedy jen zopakovat obecné fráze z GDPR, ale prakticky doplnit něco dalšího, detailnějšího a pro daný kontext přiléhavějšího.

Generální advokát posuzoval soulad evropského práva a německé legislativy přijaté na základě tzv. otevřeného ustanovení v GDPR. Tato ustanovení umožňují členským státům přijmout specifická pravidla pro zpracování osobních údajů v některých zvláštních oblastech, a tím se do určité míry odchýlit od jednotné evropské úpravy. V německém případě šlo konkrétně o zvláštní pravidla pro zpracování osobních údajů zaměstnanců ve školství přijatá na základě čl. 88 GDPR. Těchto ustanovení, resp. ustanovení, která nesou podobné rysy, je v nařízení celá řada, a proto je toto stanovisko generálního advokáta významné nejen pro případ německých učitelů.

Generální advokát potvrdil, že na základě otevřeného ustanovení v čl. 88 GDPR mohou členské státy přijmout konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, a to za účelem naplnění konkrétních účelů, jakými jsou např. nábor, zajištění rovnosti a rozmanitosti na pracovišti, ochrana zdraví a bezpečnosti na pracovišti nebo ochrana majetku zaměstnavatele.

Problematický bod byl ale ve způsobu, jakým se německý zákonodárce rozhodl čl. 88 GDPR využít. Příslušné ustanovení německého zákona toliko stanovilo, že osobní údaje zaměstnanců mohou být zpracovávány, pokud je to nezbytné pro účel vzniku, plnění, skončení nebo vypořádání pracovního poměru a pro provádění vnitřních plánovacích a organizačních nebo personálních nebo sociálních opatření. Jinými slovy tak německý zákon pouze vymezil velmi obecně a široce účely, pro něž je možné osobní údaje zaměstnanců zpracovat, je-li to nezbytné.

Dle názoru generálního advokáta takové ustanovení národního práva nesplňuje podmínky čl. 88, a to zejména s ohledem na to, že se nejedná o „konkrétnější ustanovení“ a nejsou v něm stanovena „zvláštní a vhodná opatření zajišťující ochranu lidské důstojnosti, oprávněných zájmů a základních práv subjektů údajů“. O konkrétnější ustanovení se nejedná zejména proto, že německý zákon v podstatě jen opakuje, že je možné zpracovávat osobní údaje nezbytné k dosažení uvedených účelů, a tedy jde v podstatě o zopakování zásady účelového omezení a minimalizace zpracování dle čl. 5 GDPR. Jakékoliv další záruky pro práva a svobody subjektů údajů pak prostě absentují.

Domníváme se, že tato logika (pokud ji akceptuje i senát Soudního dvora) bude použitelná rovněž pro další otevřená ustanovení, resp. ustanovení, kterými GDPR odkazuje na národní právo a požaduje přitom určitou kvalitu takových národních pravidel. Takovým ustanovením by mohl být např. čl. 9 odst. 2, který umožňuje zpracování tzv. zvláštních kategorií osobních údajů (např. údajů o zdravotním stavu) za předpokladu, že je takové zpracování upraveno právem členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektů údajů.

Tato ustanovení mají poměrně velký praktický význam, jelikož jsou například základem pro zpracování osobních údajů o zdraví zaměstnanců nebo pro zpracování osobních údajů při klinických testech a podobně. Osobní údaje o zdravotním stavu zaměstnanců přitom byly zpracovávány v masivním měřítku v uplynulých dvou pandemických letech. Nechme stranou, nakolik příslušná mimořádná opatření Ministerstva zdravotnictví (jež byla často a z různých důvodů rušena správními soudy) stanovovala dostatečně konkrétní pravidla a poskytovala záruky pro ochranu práv a svobod subjektů údajů. Nicméně Ministerstvo práce a sociálních věcí vydalo stanovisko, dle kterého by zaměstnavatelé měli být oprávněni testovat zaměstnance na COVID-19 (a tedy i zpracovávat příslušné osobní údaje o zdravotním stavu) na základě obecné povinnosti zajišťovat bezpečné pracovní prostředí dle § 102 zákoníku práce. Dle logiky stanoviska generálního advokáta je přitom právě takové obecné ustanovení zcela nezpůsobilé, aby sloužilo jako národní upřesnění pravidel zpracování osobních údajů dle GDPR. Nejen že není dostatečně konkrétní co do způsobu a rozsahu zpracování osobních údajů, ale neobsahuje vůbec žádné záruky pro práva a svobody subjektů údajů.

Nejedná se ale pouze o pravidla pro testování zaměstnanců na COVID-19 (která jsou, doufejme, již loňský sníh). Neuralgickým bodem zpracování citlivých údajů o zaměstnancích jsou tzv. politiky diverzity. Tj. opatření, která mají za cíl bojovat s diskriminací na pracovišti, případně pomoci napravovat některé nerovnosti v zastoupení různých skupin společnosti mezi zaměstnanci.

Ač se často jedná o věc, se kterou se potýkají zaměstnavatelé z důvodů požadavků svých matek pocházejících z anglosaského světa, stávají se tyto požadavky standardem i v zemích kontinentální (západní) Evropy. České právo v současné době přitom prakticky nedává možnost, jak zpracovávat citlivé osobní údaje zaměstnanců týkající se např. pohlaví, etnicity nebo náboženského vyznání a správci se často odvolávají právě na různá velmi obecná ustanovení zákona. Jak však již bylo řečeno, logikou aktuálního stanoviska generálního advokáta jsou taková ustanovení spíše nezpůsobilá poskytnout platný právní základ. Obdobná situace nastává, pokud chtějí zaměstnavatelé prověřovat trestní bezúhonnost potenciálních budoucích zaměstnanců. Pro zpracování souvisejících údajů o trestných činech nebo dokonce o konkrétních rozsudcích v trestních věcech ze strany zaměstnavatelů fakticky neexistuje v českém právu zákonné ustanovení, které by uspokojovalo požadavky GDPR, jak je vykládá generální advokát Soudního dvora.

Zpracování citlivých osobních údajů zaměstnanců v českém prostředí tak trochu připomíná kvadraturu kruhu. Vhodným řešením by samozřejmě bylo přijetí komplexní právní úpravy, např. formou novely zákoníku práce. Vzhledem ke kontroverznosti tohoto tématu (ať již testování na covid nebo otázek spojených s diverzitou a diskriminací na pracovišti) je to však řešení málo pravděpodobné. Proto je potřeba hledat vždy jednotlivá řešení ad hoc dle konkrétní situace každého zaměstnavatele, a to nejlépe formou nastavení a dodržování transparentních interních pravidel.

Mgr. Richard Otevřel,
counsel

Mgr. Vojtěch Bartoš,
advokát

HAVEL & PARTNERS s.r.o., advokátní kancelář

Florentinum, recepce A

Na Florenci 2116/15

110 00  Praha 1

Tel.:       +420 255 000 111

Fax:       +420 255 000 110

e-mail:    office@havelpartners.cz

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Mgr. Richard Otevřel, Mgr. Vojtěch Bartoš (HAVEL & PARTNERS)

14.11.2022

---

Ověření skutečného majitele jako součást AML kontroly

Každá povinná osoba podle AML zákona[1] („povinná osoba“) má řadu povinností, nejzákladnější z nich je identifikace a kontrola klienta a hlášení podezřelých obchodů. V případě, kdy je klientem právnická osoba nebo svěřenský fond, zahrnuje jeho kontrola mimo jiné ověření skutečného majitele.

Co si mám představit pod pojmem skutečný majitel?

Pojmem skutečného majitele se zabývá zákon o evidenci skutečných majitelů[2] („ZESM“), který do našeho právního řádu implementuje pátou AML směrnici[3]. Tyto předpisy vychází z myšlenky, že za každou právnickou osobou musí stát fyzická osoba, v jejíž prospěch je právnická osoba zřízena.

Skutečným majitelem je, zjednodušeně řečeno, každá fyzická osoba, která má fakticky nebo právně možnost vykonávat rozhodující vliv v právnické osobě nebo svěřenském fondu, nebo která je koncovým příjemcem podstatné části z celkového majetkového prospěchu tvořeného právnickou osobou nebo svěřenským fondem.

Právnické osoby a svěřenské fondy mají povinnost zapsat své skutečné majitele do evidence skutečných majitelů („Evidence“) a při každé změně zápis aktualizovat.

Pro lepší přehlednost budeme dále v článku používat pouze pojem právnická osoba, mějme ale na paměti, že stejná pravidla platí také pro svěřenské fondy.

Proč je ověření skutečného majitele při AML kontrole tak důležité?

Význam skutečného majitele pro oblast AML, tedy prevence praní špinavých peněz, je značný. Spočívá zejména v tom, že skutečný majitel významně ovlivňuje fungování dané právnické osoby a obvykle je zároveň příjemcem konečných ekonomických výhod z její činnosti.

Účelem ověření skutečného majitele je posouzení možného rizika legalizace výnosů z trestné činnosti a financování terorismu v závislosti na typu a osobě skutečného majitele.

Jak tedy v praxi postupovat při AML kontrole právnické osoby?

AML zákon stanoví, že při kontrole je třeba učinit následující kroky:

1. zjistit totožnost skutečného majitele klienta; a
2. přijmout opatření k ověření totožnosti tohoto skutečného majitele.

Ověření totožnosti skutečného majitele musí být provedeno z důvěryhodných zdrojů. Pokud klient podléhá povinnosti zápisu do Evidence, je nutné ověřit totožnost skutečného majitele minimálně ze dvou zdrojů, přičemž jedním z nich musí být Evidence[4].

Hlavním cílem kontroly je  zjistit, zda skutečný majitel není politicky exponovanou osobou nebo osobou, vůči níž Česká republika uplatňuje mezinárodní sankce.

Jak provedu kontrolu z Evidence?

Evidence je dostupná v online podobě na webovém portálu provozovaném ministerstvem spravedlnosti[5], a to ve dvou variantách. Pro běžnou veřejnost je přístupná pouze část údajů o skutečných majitelích, ovšem povinné osoby mají možnost získat přístup k Evidenci v úplné podobě.

O plný přístup do Evidence je třeba požádat prostřednictvím standardizovaného formuláře v elektronické podobě. Ministerstvo spravedlnosti následně ověří, zda je žadatel oprávněn ke zřízení přístupu a následně ztotožní fyzické osoby, které mají možnost za žadatele nahlížet do Evidence.

Oprávnění k plnému přístupu platí nejvýše 2 roky od jeho zřízení a lze jej prodloužit zasláním nové žádosti, a to i opakovaně.

Jak mám postupovat v případě, že zjistím v Evidenci nesrovnalost?

Postup pro řešení nesrovnalostí mezi skutečností a záznamem v Evidenci je rozdělen na dvě fáze.

První fáze probíhá poměrně neformálně pouze na úrovni povinné osoby a jejího klienta. Pokud má povinná osoba podezření na nesrovnalost, svého klienta na to jednoduše upozorní a zároveň dá klientovi možnost se k nesrovnalosti vyjádřit.

Pokud však klient nesrovnalost bez zbytečného odkladu neodstraní, nebo dostatečně nevysvětlí, nastává druhá fáze. Zde je povinná osoba povinna oznámit nesrovnalost soudu, který zahájí řízení o nesrovnalosti podle ZESM. Oznámení musí být doloženo skutečnostmi a písemnostmi, které nesrovnalost osvědčují a zároveň musí obsahovat také vyjádření klienta (pokud jej učinil).

Finanční analytický úřad („FAÚ“) může udělit povinné osobě pokyn, aby výše popsaný postup neuplatňovala, a to v případech, kdy by mohl zmařit nebo ohrozit šetření podezřelého obchodu nebo probíhající trestní řízení.

Co když nebudu řešit nesrovnalosti v Evidenci?

Na případy, kdy povinná osoba zanedbá své povinnosti při řešení nesrovnalostí, pamatuje AML zákon v části o přestupcích. Pokud by povinná osoba neupozornila klienta na nesrovnalost, hrozí jí pokuta do výše 100.000 Kč. V případě, že by povinná osoba nesrovnalost neoznámila soudu, nebo nedodržela pokyn FAÚ hrozí jí pokuta až do výše 1.000.000 Kč[6].

Opravdu musím provádět kontrolu skutečného majitele?

Pokud povinná osoba nesplní své povinnosti při kontrole klienta, vč. povinnosti ověření skutečného majitele předepsaným způsobem, hrozí jí v jednotlivém případě podle AML zákona pokuta do výše 10.000.000 Kč.

Pokud by však tyto povinnosti porušovala závažným způsobem, opakovaně, nebo soustavně, hrozí pokuty násobně vyšší (dle případu až 130.000.000 Kč), nebo i trest zákazu činnosti^[7]. V případě vyšší závažnosti lze uvažovat také o trestní odpovědnosti podle § 217 trestního zákoníku – legalizace výnosů z trestné činnosti z nedbalosti.

AML zákon upravuje také osobní odpovědnost fyzické osoby, jejíž jednání je přičitatelné AML povinné osobě a která porušení povinností způsobila. Tuto osobu, například člena statutárního orgánu společnosti nebo compliance officera, lze potrestat vedle AML povinné osoby.^[8] Za přestupek je možné uložit pokutu do 100.000 Kč nebo zákaz činnosti, a to zejména ve formě zákazu výkonu funkce člena statutárního orgánu jakékoli povinné osoby a výkonu závislé práce vedoucího zaměstnance jakékoli AML povinné osoby. I v případě trestního stíhání AML povinné osoby lze uvažovat o souběžné trestní odpovědnosti fyzických osob.

Co bych si z výše uvedeného měl/a odnést?

Důkladné a poctivé provádění kontroly skutečných majitelů je opravdu důležitou povinností každé povinné osoby a její zanedbání může mít vážné následky. Proto je velice důležité správně nastavit vnitřní předpisy[9] i postupy, aby celý systém fungoval efektivně a s jasnou odpovědností za provedení jednotlivých úkonů.

Mgr. Veronika Civínová,
právník

Veronika Falešníková,
paralegal

KLB Legal, s.r.o., advokátní kancelář

Letenská 121/8

118 00 Praha 1

Tel.:    +420 739 040 363
e-mail: info@klblegal.cz

 

[1] § 2 zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (“AML zákon”).

[2] Zákon č. 37/2021 Sb., o evidenci skutečných majitelů.

[3] Směrnice Evropského parlamentu a rady (EU) 2018/843 ze dne 30. května 2018, kterou se mění směrnice (EU) 2015/849 o předcházení využívání finančního systému k praní peněz nebo financování terorismu a směrnice 2009/138/ES a 2013/36/EU.

[4] § 9 odst. 2, písm. b) AML zákona.

[5] K dispozici >>> zde.

[6] § 44 AML zákona.

[7] § 44 AML zákona.

[8] § 50a AML zákona.

[9] § 21 AML zákona.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Mgr. Veronika Civínová, Veronika Falešníková

15.08.2022

---

Povinné označování alergenů aneb brčko jako potravina.

Již 1. října 2022 nabude účinnosti zákon č. 243/2022 Sb., o omezení dopadu vybraných plastových výrobků na životní prostředí. Kromě dotčených výrobců komplikuje tento zákon život také řadě alergiků a celiaků. Zjevné i na první pohled méně zjevné dopady bude mít zákon i na provozovatele stravovacích zařízení odpovědné za řádné označování alergenů v jimi podávaných pokrmech a nápojích. Poslední jmenovaní si však své staronové odpovědnosti ve vztahu k produktům nahrazujícím vybrané plastové výrobky bohužel nejsou mnohdy ani vědomi.

Nové a staronové povinnosti provozovatelů stravovacích zařízení

Nový zákon zakazuje právnickým a podnikajícím fyzickým osobám uvádět na trh nebo do oběhu vybrané plastové výrobky, mezi něž patří mj. příbory, talíře, brčka a nápojová míchátka. Provozovatelé restaurací a dalších stravovacích zařízení tak řeší, čím je nahradí. Zcela však přitom opomíjí souvislost s legislativou ukládající jim povinnost poskytovat konečným spotřebitelům informace o alergenních látkách v potravinách, která na první pohled nemusí být každému zřejmá.

Povinnost poskytnout spotřebitelům informace o alergenních látkách a produktech, které byly použity při přípravě potraviny či pokrmu, je v legislativě zakotvena na evropské úrovni přímo použitelným nařízením již od konce roku 2014 a vztahuje se na 14 skupin nejčastějších potravinových alergenů jako jsou obiloviny obsahující lepek, vejce, mléko, skořápkové plody a další.

Požadavky na deklaraci údajů o alergenech se vztahují kromě balených potravin i na nebalené potraviny, potraviny zabalené pro účely bezprostředního prodeje a pokrmy, přičemž nositelem této povinnosti jsou všechny podniky vykonávající činnost související s jakoukoli fází výroby, zpracování a distribuce potravin.

Mezi potraviny patří i nápoje, žvýkačky a jakékoli látky (včetně například vody), které jsou úmyslně přidávány do potraviny během její výroby, přípravy nebo zpracování.

Právě u nápojů, zejména točených, podávaných ve stravovacích zařízeních je tato povinnost často opomíjena a alergeny nejsou označeny ani v nápojovém lístku, a na vyžádání nejsou ani sděleny obsluhou.

Čím se nyní situace zkomplikovala?

Ve snaze vyhovět nové legislativě zakazující plastová brčka a najít za ně levnou, účelnou a zároveň ekologickou náhradu přistoupili někteří výrobci k výrobě brček ve formě těstovin. Ta jsou ovšem používána ve stravovacích zařízeních, aniž by byli spotřebitelé upozorněni na výskyt alergenu, a to obilovin obsahujících lepek.

Neposkytnutí informace o alergenech provozovatelem stravovacího zařízení je přitom dle zákona o potravinách a tabákových výrobcích přestupkem, za který hrozí pokuta ve výši až 10 milionů Kč.

S konzumací těstovinových brček spolu s nápojem přitom výrobci počítají. Brčka jsou totiž vyráběna v nejrůznějších příchutích. Navíc pod pojem konzumace je třeba zahrnout nejen to, že brčko rozkoušete a sníte, ale i to, když se jeho prostřednictvím napijete. Z hlediska celiaka to má stejný zdravotní dopad – v obou případech přišel do styku s alergenem. Je tedy zjevné, že i brčka jsou potravina, která musí být v souladu s legislativou řádně označena.

Alena Šíchová,
advokátka

Eversheds Sutherland, advokátní kancelář, s.r.o.

Oasis Florenc
Pobřežní 394/12
186 00 Praha 8

Tel.:    +420 255 706 500
Fax:    +420 255 706 550
e-mail:    praha@eversheds-sutherland.cz

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Alena Šíchová (Eversheds Sutherland)

30.09.2022