Pojem compliance je definován jako proces pro zajištění souladu organizace s pravidly. Obecně závaznými pravidly (zákony, regulace), ale i dobrovolně přijatými závazky, ve formě implementovaných standardů, certifikací, kodexů chování atd.
Cílem compliance útvarů je zajistit, aby organizace při své činnosti neporušovala právní předpisy, smlouvy s dodavateli a klienty, své interní směrnice ani další, dobrovolně přijaté závazky.
Zdá se to celkem jednoduché: Všechno budeme dělat správně, klienty ani dodavatele podvádět nebudeme, budeme včas platit faktury a nebudeme nikoho podplácet. Tak co se může stát?
Od švýcarské banky ke švédskému výrobci telefonů
Co se může stát? Pojďme si to ukázat na několika aktuálních případech.
Nedávno v médiích rezonoval únik informací ze švýcarské banky Credit Suisse. Podle zveřejněných dokumentů tato banka poskytovala své produkty různým daňovým podvodníkům, drogovým dealerům, osobám napojeným na diktátorské režimy nebo na zločinecké struktury. A dělala to zcela vědomě, nebo alespoň úmyslně nedělala nic proto, aby svoje související povinnosti dodržela.
Čelí za to nejen reputačnímu riziku, zhoršení vztahů s korespondenčními bankami v dalších státech a celkově výrazné finanční ztrátě. Včetně pokut, které už za to od švýcarských dozorových orgánů dostala.
Finanční ztráta se již materializovala v obdobně eticky problematické kauze. Ta se týká švédské společnosti Ericsson a korupce.
Firma Ericsson sice má nastavený interní compliance program, který má předcházet korupci, ale soudě podle jeho výsledků není zcela dokonalý. Ericsson se tak v roce 2019 dohodl s americkými federálními úřady na vyrovnání ve výši 1 miliardy amerických dolarů a na nastavení interního compliance programu. Toto vyrovnání se týkalo několika případů, kdy byla společnost podezřelá právě z korupčního jednání, například v Číně, Džibuti či Vietnamu. Ericsson bohužel domluvený postup zcela nedodržel, proto v roce 2023 dostal pokutu dalších 207 milionů dolarů.
V roce 2019, společnost Ericsson zahájila interní vyšetřování obchodních praktik svých zaměstnanců na Blízkém východě. Vyšetřování odhalilo závažná podezření z možného předávání úplatků představitelům tzv. Islámského státu. Výsledky vyšetřování se před dostaly na veřejnost a hodnota akcií firmy na stockholmské burze rázem klesla o 7 %.
Korupce se bohužel nevyhýbá ani dalším společnostem. Německá softwarová firma SAP se dostala do problémů s americkými a jihoafrickými úřady. Ty jí začaly vyšetřovat právě pro podezření z korupčních praktik. Řízení bylo zastaveno na začátku roku 2024 tím, že se firma SAP s úřady dohodla na vyrovnání ve výši 220 milionů amerických dolarů.
GDPR pokuty
Nedostatečný compliance systém zaměřený na zpracování a ochranu osobních údajů může také znamenat nepěkné starosti.
Například irský úřad pro ochranu v roce 2023 uložil společnosti Meta (provozovatel sociálních sítí a aplikací Facebook, WhatsApp atd.) astronomickou pokutu za porušení GDPR. Ve výši 1,2 miliardy EUR. Kolik to je v českých korunách? Pro většinu z nás těžko představitelných 29 miliard Kč.
Lucemburský úřad pro ochranu osobních údajů dal v roce 2021 dal pokutu další americké společnosti, Amazonu, a to ve výši 746 milionů euro (cca 18,5 miliardy českých korun). Za co Amazon tak vysokou pokutu dostal? Nesprávně nastavený proces pro získávání souhlasů klientů s marketingem, zejména v online prostředí.
Na podobně vysoké pokuty si budou muset zvykat i české společnosti. Firmě Avast, která je známá především pro antivirový a obecně bezpečnostní software, český Úřad pro ochranu osobních údajů uložil pokutu ve výši 14 milionů euro, tedy 320 milionů korun. Pokuta zatím není pravomocná, Avast se odvolal.
Za co pokutu dostali? Jedna z jejich dceřiných společností v USA, Jumpshot, totiž prodávala data uživatelů. A od amerických úřadů za to v únoru 2024 dostali také pokutu. Tentokrát 16,5 milionů amerických dolarů.
5 důvodů pro zavedení compliance systému
Compliance není téma jen pro velké, nadnárodní společnosti. Správně nastavený compliance systém ochrání každou organizaci i její vedení před rizikem pokut, postihů, neplnění smluvních závazků a dalších negativních důsledků porušneí pravidel
Proč by měla o alespoň základním compliance systému uvažovat každá organizace, obchodní společnost, firma, úřad či územně samosprávný celek? Existuje pro to nejméně pět dobrých důvodů:
1) Regulace stále bobtná
Počet směrnic, nařízení, zákonů, vyhlášek a metodik se rozhodně nesnižuje. Evropská unie i český parlament chrlí nové předpisy, dozorové úřady nezahálejí a výsledkem je poněkud nepřehledná spleť dokumentů a pravidel, ve které se do detailu vyznají jen úzce zaměření experti.
Věděli jste například, že metodika k vyřízení práva na přístup k osobním údajům podle GDPR má 60 stran? A to se jedná jen o jedno z mnoha práv a povinností upravených v GDPR.
Říkají vám něco pojmy jako whistleblowing? Nebo ePrivacy či NIS2? Pokud tato témata neřešíte, tak byste rozhodně měli začít. Sami kvůli sobě, ochraně svých zájmů a svého majetku. A také kvůli regulaci, které se v této oblasti mění a bude měnit.
2) Pokuty se zvyšují
Již řadu let sledujeme jednoznačný trend zvyšování pokut. A nejedná se jen o notoricky známé GDPR, které maximální pokutu za porušení pravidel pro zpracování osobních údajů zvýšilo z dřívějších 10 milionů korun na 20 milionů euro nebo 4 % z ročního obratu. Byť i tato změna se již v praxi projevuje.
Pokuty se ale zvyšují i v řadě dalších oblastí: Ochraně hospodářské soutěže, kybernetické bezpečnosti, ochraně spotřebitele, pravidlech pro předcházení praní špinavých peněz, regulaci umělé inteligence atd. A na obzoru je ePrivacy nařízení, které má za cíl pokuty za porušení pravidel pro ochranu soukromí online, třeba pro využívání cookies nebo online marketingu, sladit s pokutami nastavenými v GDPR.
3) Blíží se hromadné žaloby
Česká republika je povinna zavést zákon o tzv. hromadných žalobách. Ukládá nám to směrnice EU o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů.
Předmětem této regulace, v podmínkách České republiky zcela nové, je možnost spotřebitelů, klientů, jednodušeji a rychleji uplatnit svá práva vůči konkrétního podnikateli u soudu. Jinými slovy, tam, kde dnes hrozí jedna dvě kvalifikované žaloby nespokojeného klienta za rok, bude příští rok hrozit hromadná žaloba stovek či tisíců klientů. Ti sice jednotlivě mohou požadovat jen malou kompenzaci, v celkovém počtu už to ale může představovat významnou částku. A nový zákon jim jejich společný postup výrazně usnadní.
4) Může jít firma do vězení?
Ne, samozřejmě nemůže. Ale již řadu let mohou být obchodní společnosti trestně stíhány, třeba za porušení pravidel hospodářské soutěže nebo korupci. Hrozí jim nejen pokuty, ale i zákaz účasti ve veřejných zakázkách nebo úplné zrušení společnosti. Compliance program, resp. funkční a efektivní compliance program, je i podle zákona o trestní odpovědnosti právnických osob možností, jak se riziku odsouzení vyhnout. Tak proč to nezkusit?
5) Etika na neposledním místě
Definování hodnot, ke kterým se organizace hlásí, a jejich vymáhání v praxi, nemusí být jen formálním cvičením. Na etické hodnoty a závazky také nemusíme hledět jen jako na nástroj, jak se vyhnout pokutě nebo trestnímu stíhání. Nebo vy sami chcete pracovat ve firmě, která uplácí teroristy, ničí životní prostředí nebo podvádí zranitelné skupiny spotřebitelů?
Jak na compliance systém?
Compliance není stav. Není to jednorázově dosaženém souladu se všemi předpisy.
Compliance je proces.
Proces zahrnující řadu na sebe navazujících a pravidelně se opakujících kroků. Od identifikace závazků a compliance rizik, přes nastavení opatření a kontrol, až po pravidelné hodnocení toho, jak compliance v praxi funguje.
Pouze compliance systém, který je přizpůsobený konkrétní organizaci, reflektuje předmět její činnosti, její právní závazky a rizika, kterým čelí, může skutečně efektivně všem čelit hrozbám, které jsme výše popsali.