Whistleblowing 2026: kompletní průvodce povinnostmi firem podle zákona č. 171/2023 Sb.

Od 1. srpna 2023 platí v Česku zákon č. 171/2023 Sb., o ochraně oznamovatelů, který implementuje směrnici Evropské unie 2019/1937. Pro většinu firem to znamená povinnost zavést vnitřní oznamovací systém, určit příslušnou osobu, dodržet lhůty pro vyřízení oznámení a hlavně neodvetovat se oznamovateli. Za nedodržení hrozí pokuty až 1 000 000 Kč — a Ministerstvo spravedlnosti v roce 2026 zveřejnilo nové metodiky kontrol, takže riziko reálné kontroly výrazně stoupá.

V tomto článku projdu krok po kroku, kdo přesně musí systém zavést, jak ho správně nastavit, jak ošetřit ochranu oznamovatele před odvetou, co dělat s anonymními oznámeními a jak vypadá vnitřní směrnice. Na konci najdeš implementační checklist.

Proč whistleblowing zákon vůbec vznikl

Evropská unie přijala v roce 2019 směrnici 2019/1937, která vyžaduje, aby všechny členské státy zavedly minimální standard ochrany lidí, kteří nahlásí protiprávní jednání v rámci své práce. Důvod je jednoduchý: většina velkých finančních a korupčních skandálů (Wirecard, Dieselgate, Panama Papers) vyšla na světlo díky lidem zevnitř — a tito lidé byli často následně propuštěni, šikanováni nebo žalováni za pomluvu.

Česko transponovalo směrnici se zpožděním — zákon č. 171/2023 Sb. nabyl účinnosti až 1. srpna 2023, místo prosince 2021. To znamená, že v době tvorby tohoto článku platí zákon necelé 3 roky a teprve teď začínají reálné kontroly Ministerstva spravedlnosti.

Kdo musí mít vnitřní oznamovací systém

Zákon rozděluje povinné subjekty do několika kategorií:

Veřejné instituce — bez ohledu na počet zaměstnanců

Vnitřní oznamovací systém musí mít všechny veřejné instituce, a to nezávisle na velikosti. Sem patří:

• Ministerstva a ústřední správní úřady
• Kraje a obce
• Příspěvkové organizace
• Veřejné vysoké školy
• Státní podniky a státem ovládané společnosti
• Veřejní zadavatelé podle zákona o zadávání veřejných zakázek

I když má obec s rozšířenou působností jen 10 zaměstnanců, systém zavést musí.

Soukromý sektor — od 50 zaměstnanců

V soukromém sektoru je hranice 50 zaměstnanců v přepočtu na plné pracovní úvazky. Zákon zavedl postupný náběh:

• Od 1. 8. 2023— povinnost pro firmy s 250+ zaměstnanci.
• Od 15. 12. 2023— povinnost rozšířena i na firmy s 50–249 zaměstnanci.
• V roce 2026— povinnost se vztahuje na všechny firmy s 50+ zaměstnanci, bez výjimek a přechodných období.

Některé firmy bez ohledu na velikost

Existují obory, kde povinnost platí bez ohledu na počet zaměstnanců:

• Banky a úvěrové instituce
• Pojišťovny a zajišťovny
• Investiční společnosti a obchodníci s cennými papíry
• Penzijní společnosti
• Subjekty podléhající AML zákonu (např. realitní kanceláře, účetní)

Co musí vnitřní oznamovací systém obsahovat

Zákon nestanoví konkrétní technické řešení — systém může být software, webový formulář, e-mailová schránka, telefonní linka, schránka na dveřích nebo kombinace. Důležité je, aby splňoval funkční požadavky.

Dostupné komunikační kanály

Oznamovatel musí mít možnost oznámení podat:

• Písemně — typicky e-mail, webový formulář, dopis nebo fyzická schránka na pracovišti.
• Ústně — telefonicky nebo jiným hlasovým záznamem.
• Osobně— na jeho žádost musí být umožněno osobní setkání s příslušnou osobou v přiměřené lhůtě (typicky do 14 dnů).

Mlčenlivost a ochrana totožnosti

Systém musí být nastaven tak, aby totožnost oznamovatele zůstala utajená. To znamená, že:

• Přístup k oznámením má pouze příslušná osoba a případně její zástupce.
• Při sdílení informací s dalšími osobami (např. pro vyšetření) musí být anonymizovány údaje umožňující identifikaci oznamovatele.
• Systém musí být technicky zabezpečen proti přístupu neoprávněných osob — typicky šifrovaná schránka, dvoufaktorové ověření.

Anonymní oznámení

Anonymní oznámení mohou býtpřijata — zákon to nezakazuje, ale ani neukládá. Praktické doporučení: zavádět anonymní kanál ano, protože zvyšuje důvěru zaměstnanců a snižuje bariéru pro oznámení skutečně závažných věcí. Nevýhoda anonymního oznámení: nemůžeš oznamovatele informovat o průběhu a ztrácíš důležitý kontextový kanál.

Příslušná osoba — kdo, jaká kvalifikace a za co

Klíčový pojem zákona je příslušná osoba(často nazývaná „compliance officer“ nebo „pověřená osoba pro oznámení“). Tato osoba je jediným bodem komunikace mezi oznamovatelem a firmou.

Jaké požadavky příslušná osoba musí splňovat

• Bezúhonnost— nesmí mít záznam v rejstříku trestů pro úmyslný trestný čin.
• Plná svéprávnost.
• Nezávislostv rámci své funkce — nesmí být ve střetu zájmů, nemůže být současně přímý nadřízený zaměstnanců, kteří by mohli být předmětem oznámení.
• Mlčenlivost— i po skončení funkce.

Kdo může být příslušnou osobou

Firma má několik možností:

• Interní zaměstnanec — typicky HR ředitel, právník, compliance officer. Plus: zná firmu. Mínus: může mít střet zájmů.
• Externí osoba — advokát, compliance konzultant, specializovaná firma. Plus: nezávislost, profesionalita. Mínus: vyšší náklady, méně znalostí interního prostředí.
• Více osob současně — zákon umožňuje určit více příslušných osob, např. pro různé oblasti nebo regionálně rozdělené firmy.

Proces přijetí a vyhodnocení oznámení

Zákon definuje přesné lhůty, které musíš dodržet:

Lhůta 7 dnů — potvrzení přijetí

Příslušná osoba musí oznamovateli potvrdit přijetí oznámení do 7 dnů od jeho podání. Potvrzení obsahuje:

• Datum a čas přijetí.
• Informaci o dalším postupu.
• Předpokládanou lhůtu vyhodnocení.
• Kontakty na příslušnou osobu.

Potvrzení se neposílá, pokud o to oznamovatel výslovně nepožádá nebo pokud je zřejmé, že by potvrzení ohrozilo ochranu jeho totožnosti.

Lhůta 30 dnů — vyhodnocení oznámení

Příslušná osoba musí do 30 dnůod přijetí oznámení oznamovatele informovat o výsledku posouzení a přijatých opatřeních. Tato lhůta může být ve složitějších případech prodloužena až na 90 dnů— ale oznamovatel musí být o prodloužení a důvodech informován.

Co musí vyhodnocení obsahovat

• Posouzení, zda oznámení spadá do oblasti zákona (viz níže).
• Posouzení, zda je oznámení důvodné — tedy zda existují rozumné indicie protiprávního jednání.
• Návrh nebo informace o přijatých opatřeních— interní šetření, předání orgánům činným v trestním řízení, personální opatření.
• Informaci o možnosti obrátit se na externí oznamovací systém Ministerstva spravedlnosti, pokud oznamovatel není spokojen.

Oblasti, do kterých oznámení musí spadat

Ne každá stížnost je „oznámení podle zákona o ochraně oznamovatelů“. Zákon vymezuje konkrétní oblasti, ve kterých chrání oznamovatele. Pokud oznámení do žádné z nich nespadá (např. interní pomluva mezi kolegy), zákon se neuplatní — i když to neznamená, že je oznámení neplatné, jen není chráněno tímto zákonem.

Chráněné oblasti oznámení

• Finanční služby a produkty
• Praní špinavých peněz a financování terorismu
• Bezpečnost dopravy a přepravy
• Ochrana spotřebitele
• Ochrana životního prostředí
• Bezpečnost potravin a krmiv
• Ochrana zdraví zvířat
• Veřejné zdraví
• Ochrana osobních údajů a GDPR
• Bezpečnost sítí a informačních systémů
• Pravidla hospodářské soutěže
• Daně, cla a poplatky
• Veřejné zakázky
• Korupce, podplácení, zneužití pravomoci
• Trestné činys trestní sazbou minimálně 1 rok odnětí svobody
• Porušení finančních zájmů Evropské unie

Ochrana oznamovatele před odvetnými opatřeními

Jádro zákona není v procesu oznamování — ale v zákazu odvetných opatření. Oznamovatel, který v dobré víře a na základě reálných indicií podá oznámení, je chráněn před:

• Výpovědí nebo okamžitým zrušením pracovního poměru.
• Snížením mzdy nebo odměny.
• Přeřazením na jinou (horší) pozici.
• Neprodloužením pracovní smlouvy na dobu určitou.
• Nepřijetím do zaměstnání.
• Disciplinárními opatřeními.
• Vyloučením ze vzdělávacích a rozvojových programů.
• Šikanou, zastrašováním, ostrakizací.
• Podáním žaloby pro pomluvu nebo na náhradu škody.

Důkazní břemeno na straně zaměstnavatele

Důležitý detail: pokud oznamovatel po podání oznámení utrpí jakoukoli újmu, důkazní břemeno se obrací. Není to oznamovatel, kdo musí prokázat, že újma souvisí s oznámením — je to zaměstnavatel, kdo musí prokázat, že újma s oznámením NESOUVISÍ.

Praktický příklad: zaměstnanec podal v lednu oznámení o korupci. V dubnu dostal výpověď pro nadbytečnost. Soud automaticky předpokládá, že jde o odvetu — a zaměstnavatel musí prokázat, že reorganizace byla skutečně oprávněná, že rozhodnutí o organizační změně proběhlo objektivně, že pozice opravdu zanikla a že to nesouvisí s oznámením.

Pokuty za nesplnění povinností

Ministerstvo spravedlnosti je orgánem dozoru a může uložit pokuty:

• Fyzická osoba (např. příslušná osoba, statutární zástupce): až 1 000 000 Kč.
• Právnická osoba (firma): až 1 000 000 Kč nebo 5 % z ročního obratu (záleží, která částka je vyšší).

Za jaká porušení padají pokuty

• Nezavedení vnitřního oznamovacího systému (typicky 100 000–500 000 Kč).
• Neurčení příslušné osoby.
• Nedodržení lhůt pro vyhodnocení oznámení.
• Porušení mlčenlivosti o totožnosti oznamovatele.
• Odvetná opatření vůči oznamovateli (nejvyšší pokuty, často 500 000+ Kč).
• Neposkytnutí součinnosti při kontrole Ministerstva spravedlnosti.

Externí oznamovací systém Ministerstva spravedlnosti

Vedle vnitřního systému existuje externí oznamovací systém provozovaný Ministerstvem spravedlnosti na adrese oznamovatel.justice.cz. Oznamovatel se na něj může obrátit:

• Kdykoli — souběžně s vnitřním oznámením.
• Když firma nemá zaveden vnitřní systém.
• Když mu firma do 30 dnů (nebo prodloužených 90) neodpověděla.
• Když se obává odvety nebo nevěří, že interní systém je nestranný.

Když Ministerstvo přijme oznámení, může ho prošetřit samo nebo předat příslušnému orgánu (Policie ČR, finanční úřad, Úřad pro ochranu osobních údajů atd.). Firma se o externím oznámení dozví typicky až ve fázi, kdy už probíhá šetření — což je obvykle horší pozice než interní řešení.

Vnitřní směrnice o ochraně oznamovatelů — co musí obsahovat

Formálním základem celého systému je vnitřní směrnice (nebo politika, předpis — název nezáleží), kterou firma vydá a zveřejní. Směrnice musí obsahovat:

• Identifikaci povinného subjektu — firma, IČO, sídlo, statutár.
• Definici oznamovatele— kdo všechno může oznámení podat (zaměstnanci, OSVČ spolupracující s firmou, uchazeči o zaměstnání, stážisté, dodavatelé).
• Identifikaci příslušné osoby — jméno, kontakty, otevírací hodiny pro osobní jednání.
• Popis komunikačních kanálů — e-mailová adresa, telefonní číslo, webový formulář, fyzická adresa, způsob osobního setkání.
• Postup zpracování oznámení — lhůty, kroky vyhodnocení, informování oznamovatele.
• Garance ochrany oznamovatele — výslovný zákaz odvety, sankce za porušení.
• Pravidla pro anonymní oznámení— zda se přijímají a jak.
• Doba uchování dokumentace — typicky 5 let od přijetí oznámení.
• Odkaz na externí systém Ministerstva spravedlnosti.

Kde směrnici zveřejnit

Směrnice musí být snadno dostupná všem potenciálním oznamovatelům. Standardní místa:

• Webové stránky firmy — typicky v sekci „O nás“ nebo „Compliance“.
• Intranet pro zaměstnance.
• Nástěnka na pracovišti.
• Onboarding materiály pro nové zaměstnance.

Praktické tipy pro implementaci

Pro firmy 50–100 zaměstnanců

Nejnákladově efektivní řešení:

1. Externí příslušná osoba— advokát nebo specializovaná služba (např. Allwhistlebridge, FaceUp, Eticko). Roční náklad 30 000–80 000 Kč.
2. Hostovaný webový formulář — bezpečný, šifrovaný, přístupný 24/7.
3. Jednostránková směrnicezveřejněná na webu a intranetu.
4. Krátká informace pro zaměstnance — e-mail, nástěnka, onboarding.

Pro firmy 250+ zaměstnanců

1. Interní compliance officernebo tým, s jasným zařazením v organizační struktuře (typicky přímo pod CEO nebo představenstvem).
2. Specializovaný softwarepro whistleblowing s auditní stopou.
3. Pravidelné školení vedoucích pracovníků— co je zákaz odvety, jak se chovat k oznamovateli, jak komunikovat.
4. Interní audit systému jednou ročně.

Pro skupinu společností

Zákon umožňuje, aby skupina společností sdílela jeden centralizovaný vnitřní oznamovací systém — typicky na úrovni mateřské společnosti. Důležité je, aby:

• Každá dceřinná společnost o tomto sdíleném systému formálně rozhodla (statutárním orgánem).
• Oznamovatelé měli jasnou informaci, jak systém funguje a kdo je příslušná osoba.
• Lhůty pro vyhodnocení byly dodržovány centrálně.

Implementační checklist — kroky pro firmu, která ještě nemá systém

1. Ověř, zda spadáš pod zákon — počet zaměstnanců, obor (banka, pojišťovna, AML subjekt).
2. Rozhodni o modelu příslušné osoby — interní nebo externí.
3. Připrav vnitřní směrnici— buď z předlohy advokáta, nebo z ověřeného vzoru.
4. Nastav komunikační kanály — e-mail, formulář, schránka, telefon.
5. Zajisti technické zabezpečení — šifrování, oddělené účty, dvoufaktorové ověření.
6. Schvalování statutárním orgánem — usnesení představenstva nebo jednatele.
7. Zveřejni systém — web, intranet, nástěnka.
8. Komunikuj zaměstnancům — úvodní e-mail, krátká prezentace, možnost dotazů.
9. Vyškol vedoucí pracovníky — co je odveta, jak nereagovat panicky.
10. Nastav proces vedení evidence— kniha oznámení, archivace 5 let.
11. Pravidelně reviduj — jednou ročně audit fungování.

Časté chyby firem při implementaci

Pouze formální zavedení

Mnoho firem vyřeší zákon jednou A4 zveřejněnou někde na webu a e-mailovou adresou, kterou nikdo nečte. Když přijde reálné oznámení, nikdo neví, co s ním dělat — a lhůty propadnou. Tohle je nejčastější důvod pokut.

Příslušná osoba je personalista

Personalista bývá v přímém kontaktu s managementem a může mít střet zájmů — zvlášť pokud oznámení směřuje proti řediteli nebo majiteli. Lepší je externí osoba nebo právník na pozici nezávislé na operativním řízení.

Odveta v zastření

„Reorganizace“ pozice oznamovatele 3 měsíce po jeho oznámení, snížení prémií, vyloučení z projektů — tohle všechno soud považuje za odvetné opatření. Když uděláš jakékoli personální rozhodnutí týkající se oznamovatele, musíš ho být schopen/schopna obhájit nezávisle na jeho oznámení.

Porušení mlčenlivosti

Manažer řekne kolegovi: „Víš, kdo nás udal? Petr z účetnictví.“ Za pár týdnů to ví celá firma. Tohle je nejen porušení zákona, ale taky často spouštěč dalších odvetných opatření a žaloby. Mlčenlivost musí být absolutní — i vůči majiteli firmy.

Aktualizace v roce 2026

V roce 2026 nedošlo k žádné velké novelizaci zákona č. 171/2023 Sb., ale Ministerstvo spravedlnosti vydalo několik dokumentů, které ovlivňují praxi:

• Nová metodika kontrol— Ministerstvo zveřejnilo checklist, podle kterého kontroluje povinné subjekty. Lze ho použít i jako interní audit.
• Stanovisko k anonymním oznámením— doporučení, jak s nimi pracovat, kdy je vyhodnocovat a kdy odložit.
• Stanovisko k digitálním platformám— vyjasnění, jaké technické zabezpečení je akceptovatelné u cloudových řešení.
• Vzorové směrnice— Ministerstvo zpřístupnilo otevřené šablony pro veřejné instituce, použitelné i jako základ pro soukromý sektor.

Jak Dokumentomat pomáhá s implementací

Jeden z nejnáročnějších úkolů při implementaci whistleblowing systému je sestavit a udržovat vnitřní směrnici o ochraně oznamovatelů v konzistentní podobě napříč různými dceřinkami, pobočkami nebo subjekty skupiny. Každá entita má svůj vlastní název, IČO, statutára, příslušnou osobu, kontaktní údaje — ale jádro směrnice je stejné.

Když si do Dokumentomatunahraješ vlastní Word šablonu směrnice o oznamovatelích (tu, kterou už máš zkonzultovanou s advokátem a která sedí na strukturu tvé skupiny), klikneš na místa pro vyplnění (název subjektu, IČO, sídlo, statutár, jméno a kontakty příslušné osoby, datum účinnosti) a Dokumentomat z ní udělá jednoduchý formulář. Když pak budeš implementovat systém v další dceřince nebo aktualizovat směrnici u existující entity, jen vyplníš formulář a za 2 minuty máš hotovou směrnici v Word i PDF — vždy se stejnou strukturou, vždy právně konzistentní.

Pro skupiny společností, kde se whistleblowing politika musí udržovat napříč 5, 10 nebo 50 subjekty, je to řádové zrychlení a hlavně eliminace rizika, že omylem necháš ve směrnici jméno statutára z jiné společnosti nebo špatné IČO.