ČESKÁ TECHNICKÁ NORMA

ICS 03.100.02; 03.100.01; 03.100.70                                                                                                    Listopad 2022

Systémy managementu oznamování protiprávního jednání – Směrnice

ČSN
ISO 37002

01 0395

 

Whistleblowing management systems – Guidelines

Systèmes de management des alertes – Lignes directrices

Tato norma je českou verzí mezinárodní normy ISO 37002:2021. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO 37002:2021. It was translated by the Czech Standardization Agency. It has the same status as the official version.

 

Národní předmluva

Souvisící ČSN

ČSN EN ISO 19011 (01 0330)Směrnice pro auditování systémů managementu

ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN EN ISO/IEC 27018 (36 9709) Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII

ČSN ISO 31000 (01 0351) Management rizik – Směrnice

ČSN ISO 37001:2017 (01 0392) Systémy protikorupčního managementu – Požadavky s návodem pro použití

ČSN ISO 37301 (01 0394) Systémy managementu shody – Požadavky s návodem pro použití

ČSN ISO/IEC 38500:2020 (36 9045) Informační technologie – Správa a řízení IT technologií v organizaci

TNI 01 0350 (01 0350) Management rizik – Slovník (Pokyn 73)

Vysvětlivky k textu této normy

V případě nedatovaných odkazů na evropské/mezinárodní normy jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními, platnými v době schválení této normy. Při používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných evropských/mezinárodních norem (včetně všech změn).

Vypracování normy

Zpracovatel: Česká společnost pro jakost, z. s., IČO 00417955, Ing. Petr Koten;          
spolupráce: HAVEL & PARTNERS s. r. o., advokátní kancelář

Technická normalizační komise: TNK 6 Management kvality a prokazování kvality

Pracovník České agentury pro standardizaci: Ing. Radmila Foretová

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

MEZINÁRODNÍ NORMA

Systémy managementu oznamování protiprávního jednání –                            ISO 37002
Směrnice                                                                                                                                       První vydání
                                                                                                                                              2021-07

ICS 03.100.02; 03.100.01; 03.100.70

Obsah

 

Contents

Strana

 

Page

Předmluva.............................................................................................................................................................................................. 6

Úvod........................................................................................................................................................................................................ 7

1......... Předmět normy....................................................................................................................................................................... 11

2......... Citované dokumenty............................................................................................................................................................. 11

3......... Termíny a definice................................................................................................................................................................. 11

4......... Kontext organizace................................................................................................................................................................ 19

4.1...... Porozumění organizaci a jejímu kontextu......................................................................................................................... 19

4.2...... Porozumění potřebám a očekáváním zainteresovaných stran.................................................................................... 20

4.3...... Stanovení rozsahu systému managementu oznamování protiprávního jednání..................................................... 20

4.4...... Systém managementu oznamování
protiprávního jednání............................................................................................................................................................ 22

5......... Vedení (leadership)............................................................................................................................................................... 23

5.1...... Vedení (leadership) a závazek............................................................................................................................................ 23

5.1.1... Orgán správy a řízení............................................................................................................................................................ 23

5.1.2... Vrcholové vedení................................................................................................................................................................... 23

5.2...... Politika oznamování protiprávního jednání...................................................................................................................... 24

5.3...... Role, odpovědnosti a pravomoci........................................................................................................................................ 25

5.3.1... Vrcholové vedení a orgán správy a řízení......................................................................................................................... 25

5.3.2... Funkce managementu oznamování protiprávního jednání.......................................................................................... 26

5.3.3... Delegované rozhodování..................................................................................................................................................... 27

6......... Plánování................................................................................................................................................................................. 27

6.1...... Opatření k řešení rizik a příležitostí..................................................................................................................................... 27

6.2...... Cíle systému managementu oznamování protiprávního jednání a plánování jejich dosažení............................. 28

6.3...... Plánování změn..................................................................................................................................................................... 29

7......... Podpora................................................................................................................................................................................... 29

7.1...... Zdroje....................................................................................................................................................................................... 29

7.2...... Kompetence............................................................................................................................................................................ 29

7.3...... Povědomí................................................................................................................................................................................ 30

7.3.1... Obecně..................................................................................................................................................................................... 30

 

Foreword................................................................................................................................................................................................... 6

Introduction............................................................................................................................................................................................... 7

1......... Scope.......................................................................................................................................................................................... 11

2......... Normative references.............................................................................................................................................................. 11

3......... Terms and definitions.............................................................................................................................................................. 11

4......... Context of the organization..................................................................................................................................................... 19

4.1...... Understanding the organization and its context................................................................................................................. 19

4.2...... Understanding the needs and expectations
of interested parties.................................................................................................................................................................. 20

4.3...... Determining the scope of the whistleblowing management system............................................................................. 20

4.4...... Whistleblowing management system.................................................................................................................................. 22

5......... Leadership................................................................................................................................................................................. 23

5.1...... Leadership and commitment................................................................................................................................................. 23

5.1.1... Governing body......................................................................................................................................................................... 23

5.1.2... Top management..................................................................................................................................................................... 23

5.2...... Whistleblowing policy.............................................................................................................................................................. 24

5.3...... Roles, responsibilities and authorities.................................................................................................................................. 25

5.3.1... Top management and governing body................................................................................................................................ 25

5.3.2... Whistleblowing management function................................................................................................................................. 26

5.3.3... Delegated decision-making................................................................................................................................................... 27

6......... Planning..................................................................................................................................................................................... 27

6.1...... Actions to address risks and opportunities.......................................................................................................................... 27

6.2...... Whistleblowing management system objectives
and planning to achieve them................................................................................................................................................ 28

6.3...... Planning of changes................................................................................................................................................................ 29

7......... Support....................................................................................................................................................................................... 29

7.1...... Resources.................................................................................................................................................................................. 29

7.2...... Competence.............................................................................................................................................................................. 29

7.3...... Awareness................................................................................................................................................................................. 30

7.3.1... General....................................................................................................................................................................................... 30

Strana

 

Page

7.3.2... Školení pracovníků a opatření ke zvyšování povědomí................................................................................................. 30

7.3.3... Školení pro vedoucí a další specifické role....................................................................................................................... 32

7.4...... Komunikace............................................................................................................................................................................ 32

7.5...... Dokumentované informace................................................................................................................................................. 33

7.5.1... Obecně..................................................................................................................................................................................... 33

7.5.2... Vytváření a aktualizace dokumentovaných
informací.................................................................................................................................................................................. 34

7.5.3... Řízení dokumentovaných informací................................................................................................................................... 34

7.5.4... Ochrana údajů........................................................................................................................................................................ 35

7.5.5... Důvěrnost................................................................................................................................................................................ 35

8......... Provoz...................................................................................................................................................................................... 36

8.1...... Plánování a řízení provozu................................................................................................................................................... 36

8.2...... Přijetí oznámení o protiprávním jednání........................................................................................................................... 40

8.3...... Posuzování oznámení o protiprávním jednání................................................................................................................ 42

8.3.1... Posouzení oznámeného protiprávního jednání............................................................................................................... 42

8.3.2... Posuzování rizik poškozujícího chování a předcházení těmto rizikům....................................................................... 43

8.4...... Řešení oznámení o protiprávním jednání......................................................................................................................... 44

8.4.1... Řešení oznámeného protiprávního jednání..................................................................................................................... 44

8.4.2... Ochrana a podpora oznamovatele..................................................................................................................................... 45

8.4.3... Řešení poškozujícího chování............................................................................................................................................. 46

8.4.4... Ochrana subjektu (subjektů) oznámení............................................................................................................................. 46

8.4.5... Ochrana příslušných zainteresovaných stran................................................................................................................... 47

8.5...... Uzavírání případů oznamování protiprávního jednání................................................................................................... 47

9......... Hodnocení výkonnosti........................................................................................................................................................... 48

9.1...... Monitorování, měření, analýza a hodnocení.................................................................................................................... 48

9.1.1... Obecně..................................................................................................................................................................................... 48

9.1.2... Ukazatele pro hodnocení..................................................................................................................................................... 48

9.1.3... Zdroje informací..................................................................................................................................................................... 49

9.2...... Interní audit.............................................................................................................................................................................. 50

9.2.1... Obecně..................................................................................................................................................................................... 50

9.2.2... Program interního auditu...................................................................................................................................................... 50

9.3...... Přezkoumání systému managementu.............................................................................................................................. 51

9.3.1... Obecně..................................................................................................................................................................................... 51

9.3.2... Vstupy pro přezkoumání systému managementu.......................................................................................................... 51

9.3.3... Výstupy z přezkoumání systému managemetu............................................................................................................... 51

10....... Zlepšování............................................................................................................................................................................... 51

10.1.... Neustálé zlepšování.............................................................................................................................................................. 51

10.2.... Neshoda a nápravné opatření............................................................................................................................................. 52

Bibliografie........................................................................................................................................................................................... 53

 

7.3.2... Personnel training and awareness measures.................................................................................................................... 30

7.3.3... Training for leaders and other specific roles....................................................................................................................... 32

7.4...... Communication........................................................................................................................................................................ 32

7.5...... Documented information........................................................................................................................................................ 33

7.5.1... General....................................................................................................................................................................................... 33

7.5.2... Creating and updating documented information............................................................................................................... 34

7.5.3... Control of documented information...................................................................................................................................... 34

7.5.4... Data protection.......................................................................................................................................................................... 35

7.5.5... Confidentiality........................................................................................................................................................................... 35

8......... Operation.................................................................................................................................................................................... 36

8.1...... Operational planning and control.......................................................................................................................................... 36

8.2...... Receiving reports of wrongdoing........................................................................................................................................... 40

8.3...... Assessing reports of wrongdoing.......................................................................................................................................... 42

8.3.1... Assessing the reported wrongdoing..................................................................................................................................... 42

8.3.2... Assessing and preventing risks of detrimental conduct.................................................................................................... 43

8.4...... Addressing reports of wrongdoing........................................................................................................................................ 44

8.4.1... Addressing the reported wrongdoing................................................................................................................................... 44

8.4.2... Protecting and supporting the whistleblower...................................................................................................................... 45

8.4.3... Addressing detrimental conduct............................................................................................................................................ 46

8.4.4... Protecting the subject(s) of a report...................................................................................................................................... 46

8.4.5... Protecting relevant interested parties................................................................................................................................... 47

8.5...... Concluding whistleblowing cases......................................................................................................................................... 47

9......... Performance evaluation.......................................................................................................................................................... 48

9.1...... Monitoring, measurement, analysis and evaluation.......................................................................................................... 48

9.1.1... General....................................................................................................................................................................................... 48

9.1.2... Indicators for evaluation.......................................................................................................................................................... 48

9.1.3... Information sources................................................................................................................................................................. 49

9.2...... Internal audit.............................................................................................................................................................................. 50

9.2.1... General....................................................................................................................................................................................... 50

9.2.2... Internal audit programme....................................................................................................................................................... 50

9.3...... Management review................................................................................................................................................................ 51

9.3.1... General....................................................................................................................................................................................... 51

9.3.2... Management review inputs.................................................................................................................................................... 51

9.3.3... Management review results................................................................................................................................................... 51

10....... Improvement............................................................................................................................................................................. 51

10.1.... Continual improvement........................................................................................................................................................... 51

10.2.... Nonconformity and corrective action.................................................................................................................................... 52

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO 2021

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · Ch. de Blandonnet 8 

CH-1214 Vernier, Geneva

Tel.: + 41 22 749 01 11

E-mail: copyright@iso.org

Web: www.iso.org

Publikováno ve Švýcarsku

Předmluva

 

Foreword

ISO (Mezinárodní organizace pro normalizaci) je celosvětová federace národních normalizačních orgánů (členů ISO). Mezinárodní normy obvykle vypracovávají technické komise ISO. Každý člen ISO, který se zajímá o předmět, pro který byla vytvořena technická komise, má právo být v této technické komisi zastoupen. Práce se zúčastňují také vládní i nevládní mezinárodní organizace, s nimiž ISO navázala pracovní styk. ISO úzce spolupracuje s Mezinárodní elektrotechnickou komisí (IEC) ve všech záležitostech normalizace v elektrotechnice.

 

ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz        
www.iso.org/directives).

 

The procedures used to develop this document and those intended for its further maintenance are des-
cribed in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see      
www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO nelze činit odpovědnou za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).

 

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

 

Any trade name used in this document is information given for the convenience of users and does not con-
stitute an endorsement.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organi-
zace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na tomto odkazu URL:      
www.iso.org/iso/foreword.html.

 

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html.

Tento dokument vypracovala technická komise ISO/TC 309 Správa a řízení organizací.

 

This document was prepared by Technical Committee ISO/TC 309, Governance of organizations.

Jakákoliv zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na adrese www.iso.org/members.html.

 

Any feedback or questions on this document should be directed to the user's national standards body. A complete listing of these bodies can be found at           
 www.iso.org/members.html.

 

Úvod

 

Introduction

Oznamování protiprávního jednání je činnost oznamování podezření na protiprávní jednání nebo na riziko protiprávního jednání. Studie a zkušenosti ukazují, že o velké části protiprávního jednání se dotčené organizace dovídají prostřednictvím oznámení od osob uvnitř organizace nebo s organizací úzce spojených.

 

Whistleblowing is the act of reporting suspected wrong-
doing or risk of wrongdoing. Studies and experience demonstrate that a large proportion of wrongdoing comes to the attention of the affected organization via reports from persons within or close to the organization.

Organizace v rostoucí míře zvažují zavedení nebo zlepšení interních politik a procesů pro oznamování protiprávního jednání v reakci na nařízení nebo na dobrovolné bázi.

 

Organizations are increasingly considering introducing or improving internal whistleblowing policies and processes in response to regulation or on a voluntary basis.

Tento dokument poskytuje organizacím návod na vytvoření, implementaci, udržování a zlepšování systému managementu oznamování protiprávního jednání, jehož výstupy jsou

 

This document provides guidance to organizations for establishing, implementing, maintaining and improving a whistleblowing management system, with the following outcomes:

a)   povzbuzování k oznamování protiprávního jednání a usnadnění tohoto oznamování;

 

a)   encouraging and facilitating reporting of wrongdoing;

b)   podpora a ochrana oznamovatelů a dalších zúčastněných zainteresovaných stran;

 

b)   supporting and protecting whistleblowers and other interested parties involved;

c)   zajišťování řádného a včasného vyřízení oznámení o protiprávním jednání;

 

c)   ensuring reports of wrongdoing are dealt with in a proper and timely manner;

d)   zlepšování kultury a správy a řízení organizace;

 

d)   improving organizational culture and governance;

e)   snižování rizika protiprávního jednání.

 

e)   reducing the risks of wrongdoing.

Potenciální přínosy pro organizaci jsou

 

Potential benefits for the organization include:

    umožnění organizaci identifikovat a řešit protiprávní jednání při nejbližší příležitosti;

 

    allowing the organization to identify and address wrongdoing at the earliest opportunity;

    pomoc při předcházení ztrátě aktiv nebo minimalizaci této ztráty a pomoc při obnovení ztracených aktiv;

 

    helping prevent or minimize loss of assets and aiding recovery of lost assets;

    zajištění souladu s politikami, postupy a právními a sociálními povinnostmi organizace;

 

    ensuring compliance with organizational policies, procedures, and legal and social obligations;

    přilákání a udržení pracovníků oddaných hodnotám a kultuře organizace;

 

    attracting and retaining personnel committed to the organization's values and culture;

    signál vůči veřejnosti, trhu, regulačním orgánům, vlastníkům a dalším zainteresovaným stranám, že organizace uplatňuje správné a etické postupy řízení.

 

    demonstrating sound, ethical governance practices to society, markets, regulators, owners and other
interested parties.

Efektivní systém managementu oznamování protipráv-
ního jednání vybuduje důvěru v organizaci tím, že

 

An effective whistleblowing management system will build organizational trust by:

    demonstruje závazek vedení předcházet protiprávnímu jednání a řešit jej;

 

    demonstrating leadership commitment to preventing and addressing wrongdoing;

    povzbuzuje fyzické osoby k co nejvčasnějšímu oznámení o protiprávním jednání;

 

    encouraging people to come forward early with
reports of wrongdoing;

    zamezuje a předchází poškozujícímu zacházení s oznamovateli a dalšími zúčastněnými osobami;

 

    reducing and preventing detrimental treatment of whistleblowers and others involved;

    podporuje kulturu otevřenosti, transparentnosti,
integrity a odpovědnosti.

 

    encouraging a culture of openness, transparency, integrity and accountability.

Tento dokument poskytuje organizacím návod, jak vytvořit systém managementu oznamování protiprávního jednání založený na zásadách důvěry, nestrannosti a ochrany. Je adaptovatelný a jeho použití se bude lišit v závislosti na velikosti, povaze, složitosti organizace a jurisdikci, ve které působí. Může organizaci pomoci zlepšit existující politiku a postupy oznamování protiprávního jednání nebo dodržovat platnou právní úpravu v této oblasti.

 

This document provides guidance for organizations to create a whistleblowing management system based on the principles of trust, impartiality and protection. It is adaptable, and its use will vary with the size, nature, complexity and jurisdiction of the organization's activities. It can assist an organization to improve its existing whistleblowing policy and procedures, or to comply with applicable whistleblowing legislation.

Tento dokument přejímá „harmonizovanou strukturu“ (tj. pořadí kapitol, společný text a společnou terminologii) vypracovanou ISO s cílem zlepšit soulad mezi mezinárodními normami pro systémy managementu. Organizace mohou tento dokument přijmout jako samostatný návod pro svoji organizaci nebo spolu s dalšími normami systému managementu, včetně řešení požadavků souvisejících s oznamováním protiprávního jednání obsažených v jiných systémech managementu ISO.

 

This document adopts the “harmonized structure” (i.e. clause sequence, common text and common terminology) developed by ISO to improve alignment among International Standards for management systems. Organizations may adopt this document as stand-alone guidance for their organization or along with other management system standards, including to address whistleblowing-related requirements in other ISO management systems.

Obrázek 1 představuje koncepční přehled doporučeného systému managementu oznamování protiprávního jednání, který ukazuje, jak zásady důvěry, nestrannosti a ochrany překrývají všechny prvky takového systému.

 

Figure 1 is a conceptual overview of a recommended whistleblowing management system showing how the principles of trust, impartiality and protection overlay all elements of such a system.

Obrázek 1 – Přehled systému managementu oznamování protiprávního jednání

Figure 1 – Overview of a whistleblowing management system

1 Předmět normy

 

1 Scope

Tento dokument obsahuje směrnice pro vytvoření, implementaci a udržování efektivního systému manage-
mentu oznamování protiprávního jednání založeného na zásadách důvěry, nestrannosti a ochrany, a to v těchto čtyřech krocích:

 

This document gives guidelines for establishing, imple-
menting and maintaining an effective whistleblowing management system based on the principles of trust, impartiality and protection in the following four steps:

a)   přijetí oznámení o protiprávním jednání;

 

a)   receiving reports of wrongdoing;

b)   posouzení oznámení o protiprávním jednání;

 

b)   assessing reports of wrongdoing;

c)   řešení oznámení o protiprávním jednání;

 

c)   addressing reports of wrongdoing;

d)   uzavírání případů týkajících se oznamování protiprávního jednání.

 

d)   concluding whistleblowing cases.

Směrnice obsažené v tomto dokumentu jsou obecné a mají být použitelné pro všechny organizace bez
ohledu na jejich druh, velikost, povahu činnosti a bez ohledu na to, zda působí ve veřejném, soukromém nebo neziskovém sektoru.

 

The guidelines of this document are generic and
intended to be applicable to all organizations, regardless of type, size, nature of activity, and whether in the public, private or not-for profit sectors.

Rozsah použití těchto směrnic závisí na faktorech uvedených v 4.1, 4.2 a 4.3. Systém managementu oznamování protiprávního jednání může být samostatný nebo může být použit jako součást celkového systému managementu.

 

The extent of application of these guidelines depends on the factors specified in 4.1, 4.2 and 4.3. The whistleblowing management system can be stand-alone or can be used as part of an overall management system.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.