poniedziałek, 25 listopada 2019

Półtora roku z RODO

Dziś mija półtora roku od kiedy zaczęliśmy stosować RODO. 

Wtedy, w dniu 25 maja 2018 r. napisałem artykuł "Co oznacza RODO-ERA?"

Wcześniej i później pisałem o swoich nadziejach i obawach związanych z RODO. O tym co jest, a czego nie ma i co powinno być.

W sumie (od początku 2018 r. do dziś) napisałem na Inforze ponad trzydzieści parę artykułów o RODO, byłem współautorem (choć w niewielkim zakresie) paru książek o ochronie danych osobowych i napisałem oraz opublikowałem za darmo "Poradnik: Co RODO zmieniło w polskim prawie – krótka ściąga".

Dziś, korzystając z tej półtora rocznicy, chciałbym się z Państwem podzielić na swoim blogu swoją refleksją.

Po pierwsze cieszy mnie wzrost świadomości prawnej wśród Polaków i podmiotów zbiorowych. Natomiast martwi mnie nadal niski poziom Kultury prawnej. Pomimo progresu nadal większość ludzi nie zna lub nie rozumie swoich praw. Co gorsze większość podmiotów zbiorowych (zarówno z sektora prywatnego jak i sektora publicznego) również nie zna lub nie rozumie RODO.

Po drugie martwi mnie brak audytów powdrożeniowych i audytów cyklicznych Systemów Bezpieczeństwa Danych Osobowych. To oznacza, że systemy nie funkcjonują w cyklu Deminga. Mało kto je aktualizuje i łata dziury. A jestem gotów się założyć, że w każdym podmiocie, nawet w tzw. wielkiej czwórce mógłbym znaleźć coś do poprawy lub niezgodność z RODO. Obawiam się, że wiele podmiotów żyje w błogiej nieświadomości miecza Damoklesa wiszącego nad ich głowami. I mam tu na myśli zarówno przedsiębiorców jak i jednostki samorządu terytorialnego czy szerzej administracji publicznej.

Po trzecie chciałbym poruszyć kwestię Inspektorów Ochrony Danych (w skrócie OID). Nie wiem co gorsze. IOD który obskakuje kilkanaście lub kilkadziesiąt podmiotów czy IOD z łapanki, który wykonuje obowiązki IOD`a obok swych głównych obowiązków. O częstym braku szkoleń dla IOD`ów, ich kiepskich wynagrodzeniach, braku możliwości stawiania przez nich czerwonych linii itp itd. nawet szkoda mówić.

Po czwarte, od początku piszę i tłumaczę, że wdrożenie RODO nie zaczyna się i nie kończy się od kupienia dokumentacji RODO. Zaczyna się od audytu, analizy ryzyk itd. itd. Ale zostawmy to. W nawiązaniu do IOD`ów ostatnio zacząłem sobie zadawać pytanie kto powinien pisać dokumentację RODO? Zwykle pisze i prowadzi ją IOD. A moim zdaniem (przyznaję się, że zmieniłem tu poglądy jakiś czas temu) powinien tylko doradzać przy ich pisaniu i prowadzeniu oraz nadzorować ten proces. 

Po piąte ktoś mi może wytłumaczyć dlaczego podmioty nagle masowo przestały w 2019 r. szkolić z ochrony danych osobowych (są oczywiście wyjątki). Jak przychodzę na audyt to między innymi zawsze sprawdzam jak wygląda kwestia przeszkolenia załogi. To jest bardzo ważna kwestia.

Po szóste działania Prezesów UODO oceniam na 4 (według szkolnej skali 1-6). Na plus można zaliczyć działalność edukacyjną i pewną wstrzemięźliwość w stosowaniu kar. Na minus należy zaliczyć mało wytycznych i tzw. dobrych wzorców, kontrowersje wokół dotychczas wymierzonych kar i wzięcie wątpliwego prawnie udziału w sporze związanym z neoKRS. Liczę na jeszcze większą działalność edukacyjna PUODO, publikacje dobrych wzorców i liczniejsze ale niższe kary. Może warto by wprowadzić, wzorem paru państw UE,  "cennik" kar.

Po siódme kodeksy postępowań. No parę się pisze lub jest uzgadnianych. Ale według mnie o wiele za mało. Na razie zatwierdzonych kodeksów brak. Certyfikowanych podmiotów też brak. A to już niepokoi. Choć z drugiej strony nie powstały monopole na rynku doradczym.

Na koniec, czy miałem rację pisząc o RODO-Erze? Z jednej strony jak pisałem mamy progres ale proces wdrożenia RODO jeszcze się nie skończył. Jeszcze nie odzyskaliśmy kontroli nad naszymi danymi. Trzymajmy kciuki i działajmy by tak się stało.

Niech moc RODO będzie z wami :-)

niedziela, 17 listopada 2019

Luźne przemyślenia prawnika część 3 - czemu piszę o zawodowych prawnikach?

Napisałem już dwa posty z serii "Luźne przemyślenia prawnika"
Pierwszy o podtytule "Co ludzie zarzucają prawnikom".
Drugi o podtytule "Po co komu zawodowy prawnik".
Ponadto o zawodzie zawodowego prawnika, w ciągu ostatnich paru lat napisałem 11 postów:
1) "Po co zawodowemu prawnikowi MBA - czyli mocne i słabe strony zawodowych prawników"
2) "Kim są zawodowi prawnicy: adwokaci, radcy prawni, sędziowie, prokuratorzy? Jaka jest ich droga do zawodu?" 
3) "Usługi prawnicze "szyte na miarę" 
4) "Czy na czele Działu prawnego powinien stać prawnik" 
5) "Prawnik in house musi być menadżerem" 
6) "Trzeba być zacnym" 
7) "Co powinien zrobić przedsiębiorca by uniknąć błędów i czy jest to w ogóle możliwe?" 
8) "Czy przedsiębiorca powinien mieć prawo do błędu? A pracownik powinien mieć prawo do błędu?"
9) "Mądry Przedsiębiorca po szkodzie ale czy tak musi być" 
10) "Sprawdź, zanim podpiszesz!" 
11) "Kim jest radca prawny"
W sumie to już mój czternasty post o prawnikach :-)

Jak pisałem ostatnio, mam takie marzenie. Aby każdy podmiot zbiorowy (Spółka, fundacja itp. itd) miało profesjonalną obsługę prawną. Aby każda osoba fizyczna podpisując umowę, idąc do Sądu itp. miała obok siebie swojego zawodowego prawnika. Aby większość sporów kończyła się negocjacjami lub mediacjami. Aby podmioty zbiorowe i zwykli ludzie zrozumieli po co im zawodowy prawnik i pozwolili mu sobie pomagać zanim wpadną w bagno po uszy. Mam takie marzenie. 

Dlatego piszę o zawodowych prawnikach. Aby edukować i zachęcać do szukania pomocy prawnej u zawodowych prawników. W miarę swych możliwości staram się zmienić Kulturę w Polsce.

Ale oprócz tego, że uczę innych to sam cały czas zdobywam nową wiedzę. Ostatnio przeczytałem artykuł z Gazety prawnej pt. "Księgowi zamiast prawników - Dlaczego Polacy rzadko korzystają z prawa?".  Autorzy opisują tam swoje badania wśród micro, małych i średnich przedsiębiorców. Wynika z nich:
1) w ciągu trzech lat, połowa podmiotów miała poważne problemy prawne,
2) z tych podmiotów prawnych, które miały poważne problemy prawne, tylko 1/3 skorzystała z profesjonalnej pomocy prawnej,
3) tylko 14% podmiotów miało stałą obsługę prawną (87% miało stałą obsługę księgową),
4) w przypadku mikroprzedsiębiorstw i samozatrudnionych problemem jest posiadania środków na pomoc prawną, w pozostałym przypadku są to inne powody,
5) najczęściej pomocy prawnej szukają podmioty na etapie konfrontacji lub by zwalczać prawnika strony przeciwne,
6) prawnikom zarzuca się oferowanie usług kompleksowych zamiast dedykowanych, zbyt duże skupienie na aspekcie prawnym z pominięciem aspektu ekonomicznego, zbyt małe sprofilowanie usług.

Co ciekawe, na marginesie, tylko 5,6 % klientów dotarło do prawnika przez Internet.  

I teraz  staram sobie wyobrazić sytuację, że te podmioty muszą mieć wdrożone systemy Compliance . Choćby tylko w zakresie przyjmowania zgłoszeń od Sygnalistów i podejmowania działań następczych (może Polski ustawodawca się ulituje i mali przedsiębiorcy nie będą musieli wdrażać systemów Compliance). I mają na to półroku pod groźba wielomilionowych kar.
Myślicie, że przy wdrożeniu RODO (a teraz przy utrzymaniu systemów bezpieczeństwa danych) działy się "cuda". 
Już przy RODO przedsiębiorcy i samorządowcy skarżyli się (przy innych okazjach też się skarżą) na problem z dostępem do rzetelnej informacji, brak wzorów itd.
Obserwowaliśmy RODO-trolli, straszenie przedsiębiorców oraz samorządowców, espertów od 7 boleści, którzy sprzedawali dokumentację i złudne poczucie bezpieczeństwa itp. 
Straszenie przedsiębiorców nową ustawę o odpowiedzialności podmiotów zbiorowych już widziałem.
Wiadomo na strachu i braku wiedzy najłatwiej i najszybciej się zarabia.

Dlatego od dawna apeluję: 
1) korzystajcie Państwo z pomocy zawodowych prawników, ekspertów od Compliance i ekspertów od ochrony danych osobowych,
2) nie czekajcie z wdrożeniem systemów na ostatni moment,
3) pamiętajcie o sprawdzaniu, uaktualnieniu i doskonaleniu systemów,
4) uczcie się.

Niech moc Compliance będzie z wami!!!