Jak novela zTOPO posiluje význam compliance programu a proč by jej měla mít zavedený každá právnická osoba?

Konkrétně z ustanovení § 14 odst. 1 zTOPO vyplývá, že soudy přihlédnou ke skutečnosti, zda má právnická osoba zavedený účinný soubor preventivních opatření zajišťující dodržování právních předpisů, které by měly dále směřovat k předcházení trestné činnosti. Zároveň se bude přihlížet i k tomu, zda právnická osoba přistoupí k zavedení takových opatření po spáchání trestného činu s cílem zamezení opětovného spáchání stejné nebo obdobné trestné činnosti. Účinný compliance program se tak novelou promítá do úvah o druhu a výměře trestu a jeho individualizace a může významně zmírnit trestněprávní dopady pro právnickou osobu, a to i v případě, že k protiprávnímu jednání došlo.

Compliance program získává zásadní význam i ve fázi výkonu trestu, kdy ustanovení § 22a odst. 1 zTOPO říká, že soud může podmíněně upustit od výkonu jeho zbytku za podmínky, že odsouzená právnická osoba v době výkonu trestu svou další činností prokázala, že dalšího výkonu tohoto trestu není třeba, zejména pokud doloží účinný soubor preventivních opatření a nápravných opatření.

Soudy vyhodnocují účinnost a funkčnost compliance programu pomocí Aktualizované metodiky Nejvyššího státního zastupitelství k aplikaci § 8 odst. 5 zTOPO [1] (dále jen „Metodika“). Tato Metodika pojímá compliance program jako funkční a vzájemně provázaný compliance management systém (dále jen „CMS“). Compliance program by měl být účinný a skutečně používaný, nemělo by se jednat pouze o formální dokumentaci. Klíčovou roli v Metodice hraje princip proporcionality a tzv. risk-based přístup, tedy přizpůsobení systému konkrétní právnické osobě, její velikosti, povaze činnosti, regulatornímu prostředí a reálnému rizikovému profilu.

Základním stavebním kamenem v tomto systému je etický kodex. Ten slouží jako klíčový referenční rámec pro chování zaměstnanců, managementu a dalších spolupracujících osob. Etický kodex by měl představovat konkrétní hodnoty, principy a očekávané standardy jednání v organizaci, včetně přístupu k dodržování právních předpisů, prevenci protiprávního jednání, ochranu informací, předcházení střetu zájmů, korupci nebo zneužití pravomoci. Hodnocena není pouze jeho existence, ale především faktické uplatňování v praxi, komunikace zaměstnancům, vynucování a propojení s dalšími interními procesy, kontrolními mechanismy a disciplinárními postupy. Teprve funkční a reálně uplatňovaný etický kodex může představovat klíčový důkaz existence účinného compliance programu. Dále Metodiky pro vyhodnocování funkčnosti CMS zahrnuje záznamy o školeních a ověření znalostí, záznamy o kontrolách, evidované incidenty, způsob jejich šetření a řešení, vyvození důsledků, pravidelné revize dokumentů a vyhodnocování efektivity, reporting směrem k vrcholnému managementu, vymezení odpovědností a pravomocí. Obzvlášť klade důraz na to, aby v rámci rizikové analýzy existovala doložitelná vazba mezi identifikovatelnými riziky a zvolenými opatřeními.

To v praxi typicky znamená nejen provedení cílené revize a případné aktualizace etického kodexu, ale také provázanou revizi navazujících interních dokumentů a procesů. Konkrétně se to týká protikorupčních pravidel, pravidel pro střet zájmů, pravidel pro třetí strany (dodavatele, zprostředkovatele), whistleblowing procesu, interních vyšetřovacích postupů, disciplinární opatření, pravidel schvalování a kontroly, a dále dokumentace a procesů v oblasti kybernetické bezpečnosti a ochrany informací (řízení přístupů, incident management, kontinuita provozu řízení dodavatelů v ICT). Smyslem je, aby interní rámec tvořil konzistentní, srozumitelný a prokazatelně uplatňovaný celek, který odpovídá reálným rizikům dané společnosti i novým regulatorním požadavkům.

To mimo jiné předpokládá i Metodika, která klade důraz nejen na aktivně využívaný compliance systém, ale i na jeho již zmíněné pravidelné vyhodnocování a průběžnou revizi, která musí zahrnovat preventivní, detekční a reakční opatření. To zahrnuje školení zaměstnanců, kontrolní mechanismy, funkční oznamovací kanály, vyšetřování incidentů a přijímání nápravných opatření. Další významnou známkou funkčnosti compliance systému je aktivní zapojení vrcholného managementu.

Compliance program má rovněž svůj význam i v oblasti hospodářské soutěže, kde je jeho cílem prevence proti porušení soutěžních pravidel. Případná pokuta může být snížena až o 10 % za podmínky, že právnické osoby mají včasně zavedený svůj compliance systém. Je nutné, aby nastavený soubor pravidel a opatření byl efektivní, funkční a skutečně používaný.

Význam compliance programů současně výrazně posiluje i nová regulatorní úprava v oblasti kybernetické bezpečnosti, zejména zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který implementuje směrnici NIS2 a zavádí komplexní požadavky na řízení kybernetických a informačních rizik, včetně povinností zavést a udržovat přiměřená technická, organizační a bezpečnostní opatření. Tato opatření jsou svou povahou integrální součástí CMS a jejich absence nebo nefunkčnost může nejen vést k regulatorním sankcím, ale současně zvyšovat riziko trestní odpovědnosti právnické osoby, zejména v případě bezpečnostních incidentů, úniků dat, selhání řízení rizik nebo porušení povinností při správě informačních systémů. Funkční compliance program proto musí systematicky zahrnovat i oblast kybernetické bezpečnosti, řízení ICT rizik a ochrany informací.

V úvodu zmíněná novela zTOPO posiluje význam compliance programu. Stává se z něho významný prvek právní ochrany právnické osoby, jenž může sehrát podstatnou roli nejen při posuzování trestní odpovědnosti a ukládání trestu, ale i ve fázi výkonu trestu. Současně se musí dbát na skutečnost, že formální existence compliance programu nepostačuje a je potřeba, aby byl skutečně efektivní, reálně aplikovaný a procházel pravidelným vyhodnocováním a případnými revizemi. Funkční compliance program není jen otázkou dobré správy společnosti, ale nezbytnou součástí odpovědného řízení obchodní společnosti.