Strona Kancelarii i blog o Compliance, Sygnalistach, RODO, GDPR, prawie gospodarczym, zarządzaniu, zamówieniach in house i paru innych ciekawych rzeczach
niedziela, 24 marca 2024
Co oznacza sukces pisarza?
niedziela, 21 stycznia 2024
Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem
Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).
Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.
Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.
Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).
Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.
W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem
związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.
Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami.
Osobom szerzej zainteresowanym tematyką polecam:
1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)
2) mapę myśli z mojego wystąpienia na tej konferencji.
niedziela, 10 grudnia 2023
Ciekawostki z prawa handlowego i nie tylko - odcinek 43
Dziś chciałbym zwrócić uwagę członkom Rad Nadzorczych spółek akcyjnych, że zgodnie z art. 382 § 3w związku z § 31 Kodeksu Spółek Handlowych do obowiązków Rad Nadzorczych należy sporządzanie oraz składanie walnemu zgromadzeniu corocznego pisemnego sprawozdania za ubiegły rok obrotowy, czyli sprawozdania rady nadzorczej.
Sprawozdanie rady nadzorczej powinno między innymi obejmować ocenę sytuacji spółki, z uwzględnieniem adekwatności i skuteczności stosowanych w spółce systemów kontroli wewnętrznej, zarządzania ryzykiem, zapewniania zgodności działalności z normami lub mającymi zastosowanie praktykami oraz audytu wewnętrznego.
Czyli Rada Nadzorcza musi m.in. ocenić jak Zarząd wdrożył i jak zarządza m.in. systemem Compliance (zapewnienia zgodności). A co jak system Compliance nie funkcjonuje lub funkcjonuje pozornie?
A macie członkowie Rady Nadzorczej wiedzę jak to ocenić?
Jakby co służę pomocą. Oczywiście odpłatnie.
niedziela, 26 listopada 2023
ESG - jak rozpoznać ściemę część 3
niedziela, 19 listopada 2023
ESG - jak rozpoznać ściemę część 2
Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.
Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.
W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.
W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.
Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.
Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu.
Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.
niedziela, 12 listopada 2023
ESG - jak rozpoznać ściemę część 1
środa, 1 listopada 2023
Świat nie jest czarno biały - czyli co Etyka mówi o konflikcie Izraela z Palestyną.
niedziela, 29 października 2023
Ósma rocznica bloga Kancelarii Radcy Prawnego Paweł Ludwiczak
Według bloggera moja
strona miała łącznie (przez 8 lata) 366804 (rok temu to było 333.338 wyświetleń), z czego w ciągu ostatnich 12 miesięcy miała ponad 33,2 tysięcy wyświetleń. To oznacza, że blog co roku osiąga od paru lat stabilne ponad 30 tysięcy wyświetleń rocznie.
Biorąc pod uwagę 8 lat, najczęściej
czytane były posty:
1) Po co zawodowemu prawnikowi MBA - czyli mocne i słabe strony zawodowych prawników - 1,44 tysięcy razy
2) Recenzja książki Kazimierza Turalińskiego „Jak kraść? Podręcznik złodzieja” - 1,28 tysięcy razy
3) Luźne przemyślenia prawnika - część 4 - Opinie prawne - oczami klientów i prawników - 1,12 tysięcy razy
4) "Czy na czele Działu prawnego powinien stać prawnik" - 746 razy
5) "Recenzja książki "Czy jesteś tym który puka?" - 645 razy
Najczęściej otwierane zakładki to:
1) "Profil zawodowy" -3,65 tysięcy
2) "O mnie" - 3,44 tysięcy"
Biorąc pod uwagę ostatnie 12 miesięcy najczęściej czytane były posty:
1) Po co zawodowemu prawnikowi MBA - czyli mocne i słabe strony zawodowych prawników - 319 razy
2) "Czy na czele Działu prawnego powinien stać prawnik" - 310 razy
3) "Recenzja książki "O TYRANII - dwadzieścia lekcji z XX wieku" - Timothy Snyder" - 302 razy
Najczęściej otwierane zakładki to:
2) Kontakt - 336
Do mojej działalności publicystycznej z ostatnich 12 miesięcy, należy doliczyć 7 artykułów na Infor.pl (w sumie na Infor.pl, od 5 lutego 2018 r. opublikowałem już 216 artykułów) w tym parę artykułów opublikowałem jako współautor.
Mogę też się pochwalić, że od ponad 4 lat prowadzę na INFOR.pl dział
Compliance (LINK). Stanowi on największą bazę tekstów o
Compliance w sektorze publicznym w Polsce - wychodzi mi że jest ich ponad 117.
Do tego trzeba dodać kolejne dwadzieścia parę artykułów w Gazecie Małych i Średnich Przedsiębiorstw
(część napisałem sam, części jestem współautorem).
NIe ukrywam, że moja główna aktywność przeniosła się na Linkedln. Rok temu miałem ponad tam 4349 obserwujących, w tym 2811 osób w tzw. sieci. Dziś obserwuje mnie 4430 osób, a w sieci mam 3071 osób. Rośnie więc powoli ale stale.
W zeszłym roku miałem 182 854 wyświetleń i 4 041 reakcji.
Aktualne dane SSI na obrazku poniżej (myślę, że jest nieźle i moja strategia marketingowa działa)
Od ponad 6 lat używam Logo mojej Kancelarii. Zdecydowanie czas je uaktualnić - tyle, że non stop brak czasu :-)
Publikacji na FB, Twitterze i Instagramie nie liczą. Choć i tam jestem obecny :-)
Co roku piszę: "Uważam, że nie jest źle choć marzy mi się by było lepiej. Do
najbardziej poczytnych blogów prawniczych na pewno jeszcze mi bardzo daleko.
Ale kto wie co przyniesie przyszłość. (To powtarzam co roku :-)) Chyba warto zauważyć, że nigdy nie będę miał setek tysięcy czytelnikow, bo nie piszę np. o rozwodach czy kredytach frankowych (nie zajmuję się tym) ale mam swoje grono wiernych czytelników i powoli przybywa nowych.
Na
pewno będę pisał dalej. Jeżeli chcecie o czymś przeczytać, macie
pytania, wątpliwości lub własne przemyślenia proszę o komentarze lub
kontakt. Obiecuję że odpiszę lub oddzwonię.".
Moje wynagrodzenie jest ustalane w drodze negocjacji :-)
Wyjątkowo zgadzam się wystąpić za darmo.
Natomiast propozycje bym wystąpił i za to zapłacił odrzucam od razu.
Czasami
na blogu poruszam trudne tematy. W tym roku to był np. cykl "Program Partii Pro Państwowej". Pisałem też o zarządzaniu, Praworządności, osobach niepełnosprawnych itp.
Nie wszyscy muszą mnie lubić. Grunt by być Integrity. Tylko wtedy mogę
tego wymagać od innych.
Warto być Integrity. Hmm może napiszę o tym posta.
sobota, 7 października 2023
Program Partii Pro Państwowej czyli PPP - część 5
niedziela, 24 września 2023
Jak Putin planuje podbić Polskę
Pod moim postem "Program Partii Pro Państwowej czyli PPP - część 3 Bezpieczeństwo" na LI wybuchła ożywiona dyskusja. Osoby wierzące w #PropagandaPiS próbowały mi wmówić różne głupoty. Stwierdziłem, więc że napiszę niniejszy post.
Sun Tzu napisał, że aby zwyciężać trzeba znać i siebie i wroga.