Whistleblowing ve fintechu – jak zavést systém oznamování podle směrnic EU

Nikita Veremeev

13.02.2026 | 6 minutové čtení

Aktualizováno: 13.02.2026

Od roku 2016 vedu COREDO a denně vidím, jak jedna disciplína mění odolnost a hodnotu podnikání v Evropě, Asii a SNS: kvalitní program oznamování pochybení ve fintechu. Už dávno přestal být „compliance krabičkou“ a stal se součástí korporátního řízení, které ovlivňuje Licencování, přístup k bankovní infrastruktuře, náklady na kapitál a důvěru klientů. Tým COREDO realizoval desítky implementací pro platební organizace, neobanky, kryptoplatformy, makléře a společnosti budující multijurisdikční struktury v EU, ve Velké Británii, v Singapuru a v Dubaji. Níže – moje poznámky z praxe: co vyžaduje směrnice EU, jak spustit systém za 8–12 týdnů, kde se nachází ROI a jak škálovat řešení pro mezinárodní skupinu.

Proč fintech potřebuje oznamovací program

Fintechové společnosti pracují pod zvýšenou pozorností regulatorů a platební infrastruktury. Platební licence, procesy PSD2, pokyny EBA pro řízení, systémy AML/CTF a požadavky na provozní odolnost se sbíhají do jednoho bodu: schopnosti rychle odhalit a odstranit porušení. Interní program pro oznamovatele poskytuje řízený kanál včasného varování, nikoli proud úniků do sociálních sítí a k novinářům.

Normativní rámec: směrnice a zákony

směrnice EU o ochraně oznamovatelů 2019/1937 ukládá organizacím s více než 50 zaměstnanci, stejně jako společnostem z regulovaných odvětví, zavést interní kanály pro hlášení a chránit oznamovatele před odvetou. Povinnosti zaměstnavatele podle směrnice EU zahrnují:

• bezpečný a přístupný interní kanál (včetně anonymních kanálů pro hlášení, kde to připouští národní právo);
• určení odpovědných osob za zpracování hlášení a provedení vnitřního vyšetřování;
• reakce na oznámení: potvrzení přijetí do 7 dnů a závěrečná zpětná vazba do 3 měsíců;
• politika proti odvetě (non‑retaliation) a právní mechanismy ochrany oznamovatelů.

Národní zákony provádějící směrnici v zemích EU zavádějí detaily: jinde je anonymita přímo podporována, jinde je to na rozhodnutí společnosti. Praxe COREDO potvrzuje: i tam, kde anonymita není povinná, trh (banky, partneři, auditoři) vnímá anonymní kanály jako osvědčenou praxi.

Ve Spojeném království FCA očekává vyspělé postupy ochrany oznamovatelů (včetně «whistleblowing champion» pro velké firmy; viz SYSC 18). Pro platební a bankovní skupiny platí EBA Guidelines týkající se vnitřního řízení a očekávání ohledně reportingu: korporátní politika pro oznamování protiprávního jednání je považována za součást systému vnitřní kontroly. PSD2 zesiluje požadavky na provozní incidenty a bezpečnost; efektivní systém hlášení pomáhá je odhalovat a dokumentovat.

Architektura a technologie zralého systému

Popisuji orientační cílovou architekturu, kterou tým COREDO vyvíjí pro fintechy.

• Kanály: zabezpečené kontaktní formuláře (web), secure drop, linka s nahráváním, poštovní schránka, kanál pro třetí strany (externí kanál pro podání stížností třetí stranou: external reporting). Pro anonymitu používáme end‑to‑end šifrování zpráv, možnost nahrávání souborů, metadata a stupeň pseudonymizace.
• Řízení případů: nástroje pro řízení případů umožňují zaznamenávat, směrovat a vyšetřovat oznámení; důležitá je automatizace triage stížností, prioritizace incidentů a SLA pro reakci. Role‑based přístupová kontrola (RBAC), kontrola přístupu a rozdělení privilegií: povinné.
• Informační bezpečnost: standardy ISO 27001 a SOC 2 pro poskytovatele whistleblowingu; PCI DSS je relevantní, pokud jsou ve vyšetřování zapojeni plátci a prvky platebních údajů – pak navrhujeme přísné oddělení prostředí. Auditní záznam a kontrola integrity dat, logování a audit akcí v systému, chain of custody digitálních důkazů: bez toho vyšetřování a e‑discovery riskují, že neobstojí u soudu.
• Technologie podání: externí poskytovatel whistleblowingu (SaaS) versus on‑premise. SaaS urychluje spuštění a pokrývá multijurisdikčnost, ale vyžaduje právně korektní přenos dat (DPA, SCCs, seznam subprocesorů). On‑premise dává maximální kontrolu a může být odůvodněné pro banky/burzy. Řešení vyvinuté v COREDO pro jednu platební skupinu kombinuje SaaS‑portál pro zaměstnance a on‑prem uložiště důkazů.
• ML/NLP: možnosti použití ML/NLP pro klasifikaci stížností a odhalování systémových rizik používáme opatrně: automatické skórování pro triage, tematické shlukování, zvýraznění PEP/ sankčních triggerů, ale: s neustálým human‑in‑the‑loop. Strojové učení pro identifikaci vzorců podvodů dobře funguje společně s daty z AML‑alertů.

Integrace opatření proti praní peněz a postupů Poznej svého zákazníka

Integrace whistleblowingu s AML a KYC přeměňuje hlášení na operační signály pro monitoring. Stížnosti klientů a zaměstnanců často odhalují slabá místa: fiktivní účty, obchodování s muly, nekompetentní EDD, porušování sankční politiky. V praxi COREDO pomohla stížnost operátora podpory identifikovat schéma obcházení limitů v neobance; propojení stížnosti se systémem TM zkrátilo dobu do zablokování na hodiny.

Procesy KYC a vliv stížností na monitoring se projevují ve třech směrech:

• přepočet rizikového skóre klienta a segmentu;
• případy týkající se zaměstnanců a dodavatelů (riziko třetích stran) → přezkum přístupů a funkcí;
• eskalace na FIU při zjištění známek praní peněz.

AML комплаенс a spolupráce se stížnostmi vyžadují jasný režim rozdělení úkolů CCO, DMLRO a týmu vyšetřování, aby se vyloučil střet zájmů.

Zavedení ve fintech společnosti: krok za krokem

Sestavil jsem klíčové kroky do pracovní roadmapy. Tým COREDO obvykle provádí nasazení za 8–12 týdnů pro startup a za 12–16 týdnů pro zralého PSP.

1. Diagnostika a architektura
   • audit souladu se směrnicí na úrovni skupiny společností;
   • mapa jurisdikcí a posouzení mezinárodního rozdělení při stížnostech;
   • posouzení dopadů na ochranu osobních údajů (DPIA) pro whistleblowing;
   • volba modelu: SaaS vs on‑premise, požadavky na end‑to‑end šifrování, secure drop.
2. Politika a dokumenty
   • šablona vnitřní politiky pro whistleblowing pro fintech: cíle, rozsah, kanály, role a odpovědnosti (DPO, CCO, CRO, CTO), lhůty 7 dní / 3 měsíce, zákaz odvetných opatření (non‑retaliation), uchovávání dat, spolupráce s regulátory EU;
   • korporátní dokumentace: směrnice, instrukce pro vyšetřování, plán reakce na incidenty a zajištění kontinuity podnikání;
   • protikorupční politika a hlášení porušení – sladíme s obecným compliance rámcem.
3. Technologická реализация
   • výběr poskytovatele a licencování, smlouvy s poskytovateli služeb, DPA a SCCs;
   • integrace s ERM/CRM/HR systémy, nastavení RBAC, auditní záznam;
   • testování logování, kontrola integrity, chain of custody, WORM‑úložiště.
4. Procesy a SLA
   • právní posouzení stížností a triage: klasifikace právní významnosti, střety zájmů, směrování;
   • SLA pro reakci na oznámení, KPI time‑to‑resolution, % potvrzených stížností;
   • protokol vnitřního vyšetřování oznámení o porušeních, forensic investigation, e‑discovery.
5. Školení a komunikace
   • školení zaměstnanců a zvyšování povědomí (awareness) se zaměřením na non‑retaliation;
   • komunikační strategie pro zaměstnance a zainteresované strany, vícejazyčnost, FAQ;
   • externí kanál pro stížnosti od klientů, partnerů a kontrahentů.
6. Pilot a spuštění
   • kontrolní období s paralelním ručním duplikováním, „horká linka“ pro dotazy;
   • příprava na externí audity a kontroly regulátorů, dry‑run s interním auditem;
   • reportování představenstvu (board oversight), korporátní řízení a whistleblowing v jednom balíčku.

Přeshraniční: údaje a Schrems II

Rozšíření programu do několika jurisdikcí vytváří tři typy úkolů: právní, technické a manažerské. Řízení vícejurisdikční ochrany soukromí vyžaduje lokální dodatky k politice, lokální manažery případů a centrální koordinaci pro případy s přeshraniční povahou. Jak zajistit přeshraniční přenos údajů o stížnostech? Používáme SCCs, šifrování «při přenosu» a «v klidu», pseudonymizaci a minimalizaci údajů, a také technická opatření podle Schrems II (správa klíčů v EHP, bez přístupu poskytovatele ke klíčům).

návratnost investic a metriky efektivity

Hodnocení ROI zavedení systému whistleblowing vychází z metrik:

• cost‑per‑case, time‑to‑resolve, time‑to‑acknowledge;
• % potvrzených stížností a opakovaných incidentů;
• Odvrácené škody: pokuty, ztráty z podvodů, soudní náklady;
• nepřímé výhody: snížení nákladů na pojištění, zlepšení podmínek u korespondenčních bank, růst investiční atraktivity.

Náklady na zavedení vs úspory z předejitých porušení v typickém PSP se vrátí za 9–18 měsíců. V jednom z případů COREDO stížnosti z front‑office odhalily schéma krádeží cashbacku; odvrácená škoda v prvních šesti měsících překročila rozpočet na tříleté předplatné SaaS‑platformy.

Případy COREDO: neobank a PSP

Případová studie: implementace v neobance. Společnost působila v několika zemích EU a ve Velké Británii, obsluhovala miliony klientů. Úkol: jednotný systém hlášení pro zaměstnance a také externí kanál pro klienty a partnery. Rozšíření systému oznamování pochybení v nadnárodní skupině vyžadovalo rozlišení lokálních právních specifik a centralizované řízení případů. COREDO zrealizovala SaaS řešení s on‑prem archivem důkazů, E2E šifrováním, RBAC, integracemi s HRIS a TM, ML modulem pro prioritizaci. Představenstvo obdrželo čtvrtletní zprávy s KPI a postoj vedení snížil bariéry při hlášení. V důsledku doba do vyřešení klesla o 47 %, a procento potvrzených stížností se stabilizovalo na zdravé úrovni 32–38 %.

Případová studie: PSP s licencí v EU a provozem v Dubaji a Singapuru. Regulátoři očekávali přísný dohled nad dodavateli a riziko třetích stran. COREDO vypracovala korporátní politiku, zprovoznila externí kanál pro stížnosti třetí stranou, nastavila řetězec uchování důkazů, elektronické vyhledávání důkazů (e‑discovery) a postupy spolupráce s externími vyšetřovacími orgány. V jednom incidentu vedla interní stížnost k AML eskalaci a řádnému podání hlášení na FIU. Kontrola regulátora skončila bez sankcí.

Odpovědnost C‑levelu při absenci systému

Právní rizika při absenci systému stížností zahrnují sankce za nedodržení směrnice EU, zamítnutí licence nebo její omezení, zpřísnění dohledu a podmínky u platebních partnerů. Právní odpovědnost C‑levelu za absenci systému stížností: není to teorie: v řadě zemí mohou vedení nést administrativní odpovědnost. Pracovní právo a ochrana zaměstnanců před represáliemi zahrnují propuštění, degradaci, šikanu a nepřímé sankce; politika zákazu odvetných opatření a ochrana zaměstnanců by měly být zdokumentovány a uplatňovány v praxi.

Kritéria výběru poskytovatele

Doporučení pro výběr dodavatele platformy pro stížnosti:

• shoda s ISO 27001 a SOC 2 Type II, nezávislé audity, výsledky penetračních testů;
• end‑to‑end šifrování zpráv, secure drop, zabezpečené formuláře, absence sledování;
• auditní záznam, kontrola integrity, neměnné ukládání kritických artefaktů;
• flexibilní model RBAC, oddělení povinností, delegování bez odhalení identity oznamovatele;
• API integrace s ERM/CRM/HR, SSO, SCIM;
• transparentní DPA, seznam subprocesorů, možnosti umístění dat v EHP, kompatibilita se Schrems II;
• SLA pro dostupnost a time‑to‑acknowledge, jasné náklady na vlastnictví.

Technická řešení: SaaS vs on‑premise. Pro většinu fintech startupů je SaaS rozumnější kvůli rychlosti, nákladům a průběžným aktualizacím. Banky, burzy a opatrovníci aktiv často volí on‑prem nebo hybrid.

Spolupráce s regulátorem: role

Role a odpovědnosti: DPO: ochrana údajů, DPIA a přeshraniční přenosy; CCO: metodologie, triáž a komunikace s regulátory; CRO – včleňuje výsledky do mapy rizik; CTO – bezpečnost a integrace; interní audit: nezávislé ověření účinnosti a vyšetřování podvodů. Dohled představenstva: povinná součást korporátního řízení.

Otázky spolupráce s regulátory EU a národními orgány se řeší prostřednictvím protokolů: kdy a jak eskalovat, kdo kontaktuje, jaké šablony oznámení se používají. Požadavky European Banking Authority na vykazování a EBA Guidelines pomáhají nastavit strukturu. Očekávání FCA ohledně ochrany oznamovatelů ve Spojeném království je užitečné začlenit i pro firmy působící pouze v EHP — to zlepšuje disciplínu.

Anonymní vs identifikované

Anonymita a pseudonymizace zpráv zvyšují ochotu oznamovat, zejména v kulturách s hierarchií nebo v rozptýlených týmech. Výhody anonymity – více signálů, méně strachu. Nevýhody: obtížnost upřesňujících dotazů a riziko zneužití. Praktický kompromis: anonymní kanál s možností obousměrné komunikace, pseudonymizace v řízení případů a jasný filtr pro „šumové“ signály. Politika zákazu odplaty se vztahuje i na identifikované zprávy, je to důležitý ukazatel zralosti.

Integrace a licencování společnosti

Založení právnické osoby v EU: dopad na compliance je patrný okamžitě. Při otevírání bankovních účtů, získávání licencí (platební služby, forex, krypto), stejně jako při expanzi do Velké Británie, Singapur nebo Dubaje, regulátoři a banky očekávají, že uvidí nejen AML/KYC politiky, ale i fungující systém stížností. Doprovodné AML a korporátní služby, které poskytuje COREDO, zahrnují provázání oznamování pochybení s politikami sankcí, protikorupčními opatřeními, řízením rizik v oblasti compliance a korporátní etikou.

Prevence opakovaných porušení

Prevence a snížení opakovaných porušení závisí na řádném «uzavření smyčky»: analýza kořenové příčiny, konkrétní kroky, kontrola implementace a jejich ověření interním auditem. Řízení změn při zavádění nových kontrol a komunikace se zaměstnanci snižují odpor a zvyšují přijetí.

• doba do potvrzení a do vyřešení;
• % potvrzených stížností a hloubka analýzy kořenových příčin;
• podíl stížností, které vedly ke změnám v politice/procesech;
• úroveň informovanosti zaměstnanců, rozsah školení;
• metriky ROI: náklady na případ, zabráněné ztráty, doba do vyřešení.

Forenzika: důkazy u soudu

Evidování a uchovávání důkazů v souladu se zákonem: základní disciplína. Interní audit a vyšetřování podvodů se opírají o řetězec zachování důkazů, kontrolu verzí, hashové součty, uchovávání v zabezpečených kontejnerech a oddělení přístupů. Forenzní vyšetřování při vnitřních porušeních a elektronické objevování důkazů připravují společnost na soudní řízení; precizní logika postupů zvyšuje šance na úspěšnou obhajobu.

Časové rámce a etapy startupu a zralé skupiny

Časové rámce a etapy zavedení systému stížností pro fintechového startupu:

• Týdny 1–2: diagnostika, DPIA, architektura.
• Týdny 3–6: politika, smlouvy, konfigurace SaaS, integrace.
• Týdny 7–8: školení, pilot, spuštění, krátký audit.

Pro korporátní skupinu:

• Týdny 1–4: skupinový rámec, lokální dodatky, DPIA a TIAs.
• Týdny 5–10: integrace, migrace z lokálních „schránek“, školení a komunikace.
• Týdny 11–16: pilot v klíčových zemích, škálování, příprava na externí audit.

Jak COREDO pomáhá

V COREDO pokrýváme celý cyklus: od výběru poskytovatele a nastavení procesů až po integraci s AML/KYC a přípravu na kontroly regulátorů. Tým COREDO realizoval projekty v EU, v Česku, na Slovensku, na Kypru, v Estonsku, ve Velké Británii, v Singapuru a v Dubaji; to pomáhá zohledňovat místní nuance a požadavky partnerských bank. Pro neobanky a PSP je k dispozici balíček: politika a předpisy, DPIA a shoda se Schrems II, integrace s HR/ERM/TM, školení, KPI-dashboard a roční audit efektivity.

Doporučení pro C‑level na jednu stránku

– Zajistěte odpovědnost na úrovni představenstva a jmenujte odpovědné osoby (DPO, CCO, CRO, CTO).

– Zajistěte multikanálovost: vnitřní i externí kanály, anonymitu, obousměrnou komunikaci.

– Schvalte politiku proti odvetě (non‑retaliation) a skutečné záruky ochrany oznamovatelů v EU.

– Integrujte systém s AML/KYC, HR a ERM; nastavte automatizaci triáže a SLA.

– Proveďte DPIA, nastavte přeshraniční přenosy podle Schrems II, minimalizaci a pseudonymizaci.

– Nastavte auditní protokol, kontrolu integrity, chain of custody; připravte e‑discovery.

– Vyberte poskytovatele s ISO 27001/SOC 2, E2E‑šifrováním a srozumitelnou DPA.

– Zaveďte KPI a ROI metriky; proveďte pilotní projekt a pravidelné externí i interní audity.

– Vytvořte komunikační strategii a pravidelné školení; nezapomeňte na třetí strany a dodavatele.

– Mějte připravený plán reakce a plán kontinuity provozu; aktualizujte opatření po každém případu.

Závěry

Oznamování protiprávního jednání není „povinnost z direktivy“, ale manažerský nástroj, který chrání licence, obraty a reputaci. Společnosti, které stejně vážně přistupují k AML, KYC, ochraně údajů a systému stížností, získávají na rychlosti rozhodování, kvalitě kontroly a důvěře trhu. В podmínkách multijurisdikčního růstu: od ЕС до Сингапура и Дубая, единая, технологичная и юридически выверенная программа сообщений о нарушениях становится условием масштабирования.

Jsem pro průhledné, fungující systémy, které přinášejí užitek byznysu i lidem. Pokud připravujete registraci právnické osoby v EU, cílíte na novou finanční licenci nebo chcete posílit korporátní řízení, začleňte oznamování protiprávního jednání do architektury od prvního dne. Praxe COREDO ukazuje: správně navržený a poctivě implementovaný program se vyplatí, snižuje rizika a činí společnost silnější — bez ohledu na jurisdikci a fázi vývoje.