Luźne przemyślenia oficera Compliance - Czemy sygnaliści nie dokonują zgłoszeń?

Dwa tygodnie temu w artykule "Sygnaliści na start" opublikowanym w Newsweek`u zamieszczone moje wypowiedzi. Najważniejsza z nich dotyczyła, czemu w Polsce ludzie nie dokonują zgłoszeń naruszeń.

W mojej ocenie z trzech głównych powodów dlaczego ludzie często wolą odwrócić wzrok widząc zło niż zareagować. 

Po pierwsze boją się działań odwetowych. Niestety praktyka pokazuje, że organizacja lub koledzy i koleżanki, nie ściga tych co łamią prawo ale tych co przynoszą złe wieści lub  nazywają zło po imieniu. I niestety bez ustawy nie udaje się lub bardzo trudno jest pomóc sygnalistom, którzy spotkali się z działaniami odwetowymi.

Po drugie boją się, że zostaną uznani za donosicieli lub kapusiów – to pozostałość po latach zaborów i czasach PRL. Problemem jest nie tylko co inni mogą o nas pomyśleć ale i co sami o sobie pomyślimy. Dokonanie zgłoszenia często wiąże się z pokonaniem wewnętrznych oporów przed zabraniem głosu. Wyjścia przed szereg.

Po trzecie często nie wierzą, że ktoś się rzetelnie zajmie ich zgłoszeniem i podejmie odpowiednie działania. Jak pisałem w artykule "Jaki jest warunek sine qua non skutecznych działań następczych po zgłoszeniu Sygnalisty w przypadku zgłoszenia zewnętrznego lub ujawnienia publicznego? " bez niezależnej Prokuratury i niezależnych i pluralistycznych mediów nie ma szans na sygnalistów. Sygnaliści oczekują, że ktoś rzetelnie zajmie się ich zleceniem. Liczy, że zostanie rzetelnie przeprowadzone postępowanie wyjaśniające, a potem przestępca nie uniknie kary.

Co trzeba zrobić by ludzie nie milczeli widząc zło?

Potrzebna jest zmiana mentalności oraz zbudowanie zaufania. 

Ludzie muszą wierzyć, że nie można milczeć widząc zło lub naruszenie prawa ale trzeba reagować i alarmować. Ludzie muszą mieć pewność, że jak złożą zgłoszenie to ktoś się faktycznie nim zajmie, rzetelnie wyjaśni i podejmie odpowiednie działania następcze, a nie zamiecie sprawę pod dywan. A zgłaszającego (zwanego też sygnalistą lub demaskatorem) lub jego bliskich nie spotka odwet. To wszystko między innymi nakazuje wprowadzić dyrektywa Unijna.

Przed oficerami Compliance staje więc trudne zadanie. Muszą im zaufać pracownicy i musi im z drugiej strony zaufać najwyższe kierownictwo. Muszą oni edukować interesariuszy i budować Kulturę Compliance. 

Jak? To już temat innego postu.

 Niech moc Compliance będzie z wami.

I pamiętajcie zaufanie buduje się długo swoją codzienną działalnością, a można stracić przez jeden błąd. Kluczem jest Komunikacja i bycie Integrity.

Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami