Pokazywanie postów oznaczonych etykietą RODO. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą RODO. Pokaż wszystkie posty

niedziela, 26 maja 2024

Szósta rocznica RODO

Wczoraj była szósta rocznica RODO. RODO zostało opublikowane 8 lat temu, a obowiązuje 6 lata, od 25 maja 2018 r.

To było niezwykłe 8 lat. Najpierw wszyscy lekceważyli RODO. Potem 7 lat temu zaczęły się wdrożenia - żeby było ciekawie do dziś mam zlecenia na wdrożenia. W maju 2018 r. miałem pełny portfel zamówień aż do września. Druga połowa 2018 r. i pierwsza połowa 2019 r. to była hossa na szkolenia. Potem zapanowała cisza. Pojedyncze szkolenia i audyty. Bardzo pojedyncze.

O dziwo od roku znowu zaczął się ruch w interesie. Może dlatego, że PUODO się uaktywniło.

Co ciekawe po politycznym PUODO, od paru miesięcy mamy nowego, niezależnego Prezesa Urzędu Ochrony Danych Osobowych. Trzymamy go za słowo, że będzie konsultował i słuchał środowisk eksperckich.

Sam należę do dwóch. Do SPOD i do SABI. Wiedzy i wymiany doświadczeń, nigdy za dużo.

W chwili obecnej eksperci od ochrony danych osobowych zmagają się:
1) nadal z RODO - to w ogóle ciekawy temat jak ODO ewoluowała i ewoluuje i ile nadal stanowi problemów,
2) DORA,
3) NIS2,
4) AI,
5) nowymi regulacjami unijnymi.

Już w 2018 r. niezbędne były zespoły wdrożeniowe - bezpiecznik, informatyk i prawnik.
Dziś już wyraźnie widać, że w zakresie ochrony danych osobowych dochodzi do coraz większej specjalizacji.
Jeżeli w 2018 r. wydawało się, że można być IOD wszędzie i IOD może wszystko ogarnąć, to dziś wiadomo, że IOD`owie się specjalizują i IOD nie ma dziś szansy wszystkiego ogarnąć.

Przy ochronie danych osobowych:
1) nie da się nudzić,
2) cały czas coś się dzieje nowego i zawsze coś jest do poprawy,
3) człowiek non stop się uczy.

Niech moc RODO będzie z wami.
 
Pamiętajcie:
1) zarządzanie ryzykiem to fundament,
2) komunikacja, w tym szkolenia to podstawa,
3) papier służy komunikacji i celom dowodowym.

niedziela, 21 stycznia 2024

Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami

 

niedziela, 19 listopada 2023

ESG - jak rozpoznać ściemę część 2

Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.

Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.

W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem  jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.

W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.

Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.

Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu. 

Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?
Sprawdzimy?
Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

niedziela, 15 października 2023

Zaproszenie na konferencje - 20 X i 24 X

 Dziś mam przyjemność zaprosić Państwa na dwa niezwykłe wydarzenia

I. Trójmiejski Wieczór z Praktykami Compliance w dniu 20 października 2023 r.

 

„Chcesz iść szybko, to idziesz sam. Chcesz iść daleko – idziesz z innymi”.
Ta maksyma towarzyszy Praktycy Compliance Stowarzyszenie (PCS) od samego początku i jest motorem naszych działań.💪
Jako Stowarzyszenie chcemy zajść daleko m.in. w propagowaniu przydatnej wiedzy na temat compliance oraz budowaniu i integrowaniu środowiska specjalistów oraz pasjonatów z tego obszaru. Wymiana doświadczeń między praktykami oraz bieżące, merytoryczne wsparcie ekspertów z różnych dziedzin daje niezwykłą możliwość rozwoju oraz wywierania pozytywnego wpływu na nasze otoczenie nie tylko zawodowe, ale także społeczne.

💥🔥Dlatego od października br. rozpoczynamy nowy projekt, który ma przybliżyć nas do realizacji założonych celów - Wieczory z Praktykami Compliance.💥🔥
To cykliczne spotkania z członkami PCS w różnych regionach naszego kraju. Każdemu z tych spotkań, dedykowanym różnym obszarom compliance, będą towarzyszyły ciekawe wystąpienia ekspertów, wymiana doświadczeń oraz długie rozmowy, dzięki którym uczestnicy nawiążą nowe, cenne relacje. Mamy nadzieję, że tym samym, taka aktywność pomoże tworzyć i integrować lokalne i regionalne środowiska praktyków i pasjonatów compliance, między innymi w ramach naszego Stowarzyszenia.

UWAGA❗❗❗ Pierwsze otwarte spotkanie z członkami PCS odbędzie się na terenie Trójmiasta już w październiku br. i będzie poświęcone tematyce systemów zgłaszania naruszeń oraz ochrony sygnalistów. Poniżej znajduje się więcej informacji na temat tego wydarzenia.

📌 "Trójmiejski Wieczór z Praktykami Compliance"

📅 Data: 20 października 2023 r. (piątek)

🕕 Godzina: 18:00 - 21:00

🗺 Miejsce: Sopocka Akademia Nauk Stosowanych, ul. Rzemieślnicza 5 w Sopocie, Aula (1. piętro)

Temat przewodni: Praktyczne aspekty wdrażania i zarządzania systemami whistleblowingowymi

📝 Program spotkania:
1. Powitanie uczestników przez zarząd PCS i kilka słów o Stowarzyszeniu.

2. Wystąpienia ekspertów PCS
2.1 Praktyczne aspekty wdrożenia skutecznego systemu whistleblowingowego
Prelegent: ekspert ds. whistleblowingu Rafał Hryniewicz
2.2 Specyfika wdrożenia i utrzymania systemu zgłaszania naruszeń w sektorze publicznym
Prelegent: radca prawny i ekspert ds. compliance Paweł Bronisław Ludwiczak ACO, ACE, miniMBA
2.3  Działania następcze na gruncie Dyrektywy UE w sprawie ochrony osób zgłaszających naruszenia prawa Unii i projektu polskiej ustawy implementującej -  praktyczne problemy i wyzwania
Prelegent: adwokat i ekspert z zakresu prawa karnego Paweł Sawicki

3. Panel dyskusyjny

4. Podsumowanie i zakończenie spotkania

🔥🔥🔥 Wstęp wolny!

Spotkanie jest bezpłatne, prosimy o dokonanie rejestracji na wydarzenie, poniżej link do zapisu:
https://forms.office.com/e/BwXpBCzkGZ


Jeżeli chcesz poznać ciekawych, inspirujących ludzi, pogłębić swoją wiedzę z obszaru compliance, a także współtworzyć z nami Stowarzyszenie Praktyków Compliance serdecznie zapraszamy Ciebie na spotkanie oraz do samego Stowarzyszenia.
Zaangażuj się na rzecz budowania nowej jakości compliance w Polsce!

 

II.  Trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” w dniu 24 października 2023 r.

 



Zapraszam na III konferencję online DAPR "Na styku RODO i Cyberbezpieczeństwa”. Tym razem spora dawka praktycznej wiedzę z zakresu prawa, IT, #Compliance i cyberbezpieczeństwa.
Możesz się zapisać tu: 
https://3konferencjarodo.dapr.pl/

Ja oczywiście będę mówił o Compliance i RODO, a moją sentencją przewodnią będzie: "Compliance, RODO i CYBER - trzy różne systemy o wspólnym fundamencie i wspólnym celu".

Niech moc COMPLIANCE i RODO będzie z wami.

niedziela, 20 sierpnia 2023

Wizja Orwella z książki "Rok 1984" w 2023 roku

Jeszcze nie dawno ja i inni eksperci ds. prywatności byliśmy przerażeni ilością wiedzy, którą o nas ludziach mają Big Tech'y. Google, Apple, Microsoft, Amazon i Facebook zebrali i przetwarzali niesamowite ilości danych osobowych. Daje im to dziś olbrzymią przewagę konkurencyjną.
Afera Cambridge Analytica pokazała, że przy pomocy tych danych nie tylko można wpływać co kupujemy ale i wpływać na wybory np. w USA czy referendum w sprawie Brexit. W ten sposób np. Ruscy pomogli wygrać Triumpowi czy doprowadzili do Brexitu.
Do tego socjal media zamknęły nas w bańkach informacyjnych. Decydują nie tylko co kupujemy ale co czytamy i wiemy. Internet obiecywał Wolną wymianę informacji. Dziś zmagamy się z dezinformacją, fake'newsami, hejtem itp. itd.

Jednocześnie ufaliśmy Państwu, że zbiera i przetwarza nasze dane tylko w zakresie niezbędnym do dobrego rządzenia państwem i prowadzenie mądrej polityki zdrowotnej, socjalnej itp. itd. Robi to w sposób rzetelny, celowy, legalny i niezbędny.
Pierwsze ostrzeżenie przyszło od Sygnalisty Snowdena. Amerykańskie służby "podsłuchiwały" wszystkich.
Drugie ostrzeżenie to była totalna kontrola wprowadzona w Chinach i system oceny obywatela.
Trzecie ostrzeżenie to było przejęcie mediów i zakłamywanie pod bieżące potrzeby rzeczywistości przez Dyktatury, Autokracje i populistów.
A Państwo, zwłaszcza kontrolując Banki, służbę zdrowia, energetykę itd. wie o nas wszystko od urodzenia aż po naszą śmierć.
Jednocześnie po zamachach w dniu 11 września, Społeczeństwo ze strachu przed terroryzmem dało pozwolenie na ograniczenie swej Wolności i Prywatności w zamian za złudzenie bezpieczeństwa.
Dziś np. w Polsce, Państwo może się dowiedzieć o nas wszystkiego i nas śledzić, bez niezależnej kontroli lub ze złudzeniem kontroli. A co więcej nie musi nas o tym informować.
Władza deprawuje a władza absolutna deprawuje absolutnie.
Służby pozbawione kontroli nad sobą mogą mieć olbrzymią pokusę nadużycia władzy.
Dlaczego musimy się tego obawiać?
Podam tylko parę faktów:
1) szefem służb jest minister skazany nieprawomocnie za nadużycie uprawnień. Według informacji z kuluarów słynie podobno ze zbierania haków na wszystkich,
2) Premier i niektórzy ministrowie przesyłali tajemnice Państwowe i Partyjne nie przez zabezpieczone służbowe skrzynki e-mail tylko przez prywatne. Od dłuższego czasu możemy poznawać kulisy obecnej władzy dzięki aferze Dworczaka. Czyżby Premier i inni ministrowie nie ufali swemu koledze?
3) afera Pegasusa pokazała, że zamiast podsłuchiwać przestępców i terrorystów, służby podsłuchiwały opozycję w czasie wyborów i niewygodnych prokuratorów, adwokatów itp. itd., czemu przypomina mi się PRL?
Do tego Pegasus nie służy tylko do podsłuchiwania rozmów. Możesz podsłuchiwać wszystko, ściągnąć dowolne pliki z telefonu lub wgrać dowolne pliki komuś na telefon. A potem go skazać za to, że posiada te pliki na swoim telefonie,
4) afera Niedzielskiego pokazało, że minister może mieć dostęp do danych wrażliwych (stan zdrowia) i wbrew prawu ujawnić je by przyłożyć obywatelowi, który jako lekarz nawet nie skrytykował ministra, tylko uskarżał się na problem z receptami. Minister został odwołany ale nadal nie przeprosił,
5) sprawa Pani Joanny z Krakowa pokazała, że Policja zamiast chronić obywatela i przestrzegać prawa, może łamiąc prawo zaatakować go ujawniając nagrania i dane wrażliwe w mediach publicznych.
Słyszałem, że to nie Policja ujawniła pierwsza te informacje i tylko się broniła. Powiem tak. Na funkcjonariuszach publicznych i zawodach zaufania publicznego ciążą szczególne obowiązki. Jak np. ktoś mnie krytykuje w internecie to niezależnie czy pisze prawdę czy mnie zniesławia i znieważa nie wolno mi naruszyć tajemnicy radcowskiej lub złamać prawo ujawniając jego dane wrażliwe by mu przyłożyć lub się bronić.
Policja to służba. Ma szczególne przywileje ale i obowiązki. Policji nie wolno łamać prawa lub krzywdzić obywatela. Jeżeli łamie prawo lub nie chroni obywatela, a go krzywdzi to mamy do czynienia z milicją z PRL-u.
Nie ważne kto zaczął. Nie ważne że Policja jest krytykowana (słusznie lub nie). Nie wolno jej krzywdzić obywatela, łamać prawa lub ujawniać danych wrażliwych. Nie wolny i już. Obywatel ma ufać Policji, a nie jej się bać. Policja ma służyć  obywatelowi i chronić obywatela oraz przestrzegać prawa.
Ujawnienie nagrań i danych wrażliwych Pani Joanny to nie była próba obrony Policji, tylko atak na obywatelkę. Obywatelkę, której prawa już wcześniej naruszyła Policja (co potwierdza choćby pierwsze orzeczenie sądowe). Ja rozumiem, że służby mogą się mylić. Ale powinny wtedy przeprosić i zadośćuczynić, a nie grzebać w danych obywatela i atakować go przez ujawnianie jego danych i to w zmanipulowany sposób.

Dziś ryzyko ziszczenie się wizji Orwella jest olbrzymia. Państwo już wie wszystko lub prawie wszystko. W niektórych Państwach już kontroluje wszystko i kreuje wizję rzeczywistości w oderwaniu od faktów.
W niektórych Państwach niepochlebny wpis o rządzących może złamać karierę lub grozić więzieniem.
AI może dać rządzącym lub korporacjom władzę absolutną. Będą mogli w pełni nas monitorować i nami sterować.
Już nie wsadzimy tego Dżina do butelki. Ale możemy stworzyć system kontroli, nadzoru niezależnych instytucji i gwarancji prawnych, które pozwolą nam obywatelom zachować kontrolę. 
Niezależnych nie tylko de iure (według prawa) ale i dr facto (faktycznie) i nie bojące się surowo karać korporacje lub funkcjonariuszy publicznych za naruszenia prawa, niezależnie od ich barw partyjnych.
O ile już nie jest za późno. 
W Chinach czy Rosji już jest. W Chinach czy Rosji nikt już nie skrytykuje władzy. Bo się boi i woli sam się ocenzurować. Zwłaszcza w internecie. W Polsce też już zlecenia, dotacji itd. ze środków kontrolowanych bezpośrednio lub pośrednio przez rządzących nie dostanie ktoś kto władzę skrytykuje lub pokaże jej kłamstwa. 
Po 2014 możliwości inwigilacji wzrosły. 
Dziś widać, że władza nie zawaha się użyć tych informacji. 
Pamiętaj o tobie też wie wszystko. 
A jak mówił kardynał Richelieu "daj mi trzy linijki napisane przez najbardziej cnotliwego męża, a ja znajdę powód by zamknąć go w Bastylii". Na każdego znajdzie się paragraf.
No cóż ja wolę żyć w kraju gdzie ja patrzę władzy na ręce, a nie ona na moje. 
A ty? 

czwartek, 26 stycznia 2023

Dzień inspektorów ochrony danych

Dziś, w dniu 26 stycznia jest dzień inspektorów ochrony danych. Z tej okazji chciałbym przypomnieć moje trzy teksty o IOD`ach:

IOD`om życzę by pytali nas przed a nie po, słuchali i rozumieli co mówimy oraz żebyśmy mieli zapewnione odpowiednie zasoby.
 
W dniu 28 stycznia jest Europejski Dzień Ochrony Danych Osobowych. Z tej okazji parę wieści o RODO

Prezes UODO zatwierdził pierwszy w Polsce kodeks postępowania zgodnego z RODO. „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany został przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Organ nadzorczy udzielił również akredytacji dla RS Jamano, który będzie pełnił funkcję podmiotu monitorującego stosowanie kodeksu. Po upływie 4,5 roku mamy więc pierwszy kodeks i pierwszy akredytowany podmiot monitorujący w Polsce. Obstawiam, że do końca tej dekady ilość kodeksów nie przekroczy liczby 10.

Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na 2023 rok. Z kontrolą muszą się liczyć podmioty:
1) przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym,
2) przetwarzające dane osobowe przy użyciu aplikacji mobilnych,
3) przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych),
UODO będzie zwracało szczególną uwagę na sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji lub aplikacji internetowej (webowej).
 
Przy okazji przypominam, że:
1) RODO chroni prawa i wolności osób fizycznych,
2) w ochronie danych osobowych chodzi o zarządzanie systemem ochrony danych osobowych, a nie o dokumentację (ta jest ważna z uwagi na komunikację i rozliczalność),
3) podstawą zarządzania systemem ochrony danych osobowych jest zarządzanie ryzykiem prawnym. Tak samo jak w Compliance, ESG czy w ogóle w zarządzaniu,
4) każde przetwarzanie danych osobowych musi mieć podstawy prawne.
 
Niech moc RODO będzie z wami.

sobota, 24 września 2022

Ogłoszenia o kongresach Compliance

Najgorsze starochińskie przekleństwo to, żebyś żył w ciekawych czasach. Niewątpliwie czasy są ciekawe. Rzeczywistość przypomniała nam czym jest pandemia, wojna, rządy populistów i autokratów itd. W życiu zawodowym też się dzieje, choć na szczęście dla odmiany pozytywnie.

W dniu 20 września br. odbyła się II Konferencja DAPR pod tytułem "Korzyści z RODO dla Biznesu". GoTek Rysuje przygotowała znowu nieziemskie podsumowanie mojej prezentacji.

Domyślacie się, że mówiłem o budowaniu świadomości w organizacji i roli IOD`a.

W dniu 29 września br., będę miał przyjemność wystąpić jako gość na Konferencji Raczkowski Compliance Day 2022 r. Wraz z innymi gośćmi będę dyskutował o realiach pracy compliance oficera w polskich organizacjach. Będę mówił o praktyce, a nie teorii. Serdecznie zapraszam, zwłaszcza, że wydarzenie jest bezpłatne.

Natomiast w dniach 20-21 października br. odbędzie się III Polski Kongres Compliance. Występowałem na I i II, więc przyjąłem zaproszenie i na III. Będę mówił o odpowiedzialności za wdrożenie i utrzymanie systemu Compliance w świetle nowelizacji kodeksu spółek handlowych oraz projektu nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Czyli będzie i o Compliance, i o zarządzaniu, i prawie handlowym i prawie karnym. Wszystko to co tygryski lubią najbardziej. Oczywiście serdecznie zapraszam na wydarzenie.

Obserwujcie bacznie stronę stowarzyszenia Praktycy Compliance na Linkedin oraz stronę www. Niedługo będzie się działo.

Niech moc Compliance będzie z wami.

niedziela, 24 lipca 2022

IOD w świetle pytań PUODO

Zawsze jak szkolę z ochrony danych osobowych to pytam "kto odpowiada za ochronę danych osobowych?". Zwykle pada odpowiedź: "IOD".

Oczywiście jedną z osób, która odpowiada za system ochrony danych osobowych jest Inspektor Ochrony Danych w skrócie IOD.

Jednym z mitów dotyczących IOD jest to, że odpowiada on za wszystko. Za wszystko to odpowiada Administrator. IOD odpowiada za doradztwo, nadzór i swoje obowiązki m.in. jako punkt kontaktowy.

Drugi mit, to że IOD albo jest hamulcowym który nie rozumie biznesu i się czepia bez sensu (bo pilnuje, żeby administrator wypełniał swe obowiązki) albo że ma podpisywać i nie marudzić, przecież wszystko jest okey (notabene w każdej organizacji, zwłaszcza większej nie wszystko jest okey). Dlatego można IOD płacić grosze i wystarczy jak się pojawi raz, dwa razy w tygodniu papiery podpisać. 

Od dawna piszę, o tych i innych mitach związanycg z funkcją IOD. Nadal iwielu administratorów źle rozumie jego rolę lub jej nie docenia. Z wielu artykułów polecam post: "IOD - mistrz Jedi, rycerz Jedi czy padawan?".

Niedawno PUODO opublikowało pytania weryfikujące funkcjonowanie IOD'ów u Administratorów i w podmiotach przetwarzających. Co wynika z tych pytań o wizji PUODO na temat IOD'ów?

Nie będę się wymądrzał jak odpowiadać itp. Zapraszam za to do mojej analizy pół żartem pół serio (choć tematyka poważna) pytań.

1) Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
Pytanie kontrolne. Jak jest, to można sprawdzać dalej. Jak nie ma to, koniec kontroli, chyba że ma być.

2) Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
Pytanie kontrolne. Czy IOD jest, jeżeli być powinien.

3) Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub - jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
To jest ciekawa kwestia. RODO nie nakazuje publikowania imienia, nazwiska czy telefonu IOD, natomiast ustawa nakazuje opublikować imię i nazwisko IOD oraz kontakt do niego. Ktoś mi wytłumaczy po co ustawodawca krajowy każe publikować imię i nazwisko IOD'a? Według mnie to nadmiarowe przetwarzanie.
No ale PUODO stosuje zasadę dura lex sed lex.

4) Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
Pytanie kontrolne. Sprawdzenie stosowania przepisów. 

5) Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
Pytanie kontrolne.

6) Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
To pozwala ocenić, czy IOD ma czas dla organizacji czy bywa raz w tygodniu na godzinę i równie dobrze mogłoby go nie być 

7) Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
To jest ciekawe pytanie. I bardzo dobre :-)))) Trzeba udowodnić, że powołało się eksperta a nie znajomego królika, ochotnika z łapanki lub najtańszego oferenta. To jasno pokazuje, że wybierając IOD trzeba się kierować jego kompetencjami i wiedzą, a nie ceną. A jakość kosztuje.

8) Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
Według mnie jedno z najważniejszych pytań. Jeżeli IOD nie ma zasobów, to nie może skutecznie działać. I mówiąc o zasobach nie chodzi tylko o kasę ale i ludzi oraz narzędzia. 

9) W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
Drugie mega ważne pytanie. Ja w czasie audytu proszę o plan szkoleń IOD. Potem sprawdzam dostęp do publikacji itp. Szybko wychodzi szydło z worka czy IOD utrzymuje wiedzę fachową czy też jego wiedza się deaktulizuje.

10) Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
Pytanie formalno-prawne ale pomaga ocenić niezależność IOD. Według mnie podległość w strukturze pod Prezesem nie świadczy jeszcze o niezależności.

11) Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
Pytanie formalno-prawne. Ale swoją drogą stawia ciekawe pytanie o zastępcę IOD, np. czy można go powołać na stałe jako wsparcie IOD? 

12) Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
To pytanie, czy IOD ma odpowiednie zasoby ludzkie. W organizacjach liczących setki lub tysiące osób świadczących pracę, samotny IOD nie ma szans wykonać należycie swoich obowiązków.

13) W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?

To jest mega ważne pytanie. Wielu IOD skarży się, że nie są włączani we wszystkie sprawy, są włączani zbyt późno lub ich uwagi nie są należycie uwzględniane. Jednocześnie w dużych organizacjach samotny IOD nic by nie robił tylko na spotkania biegach. 
No i kwestia rozliczalności - ma zbierać podpisy? Przecież to byłby przerost formy nad treścią.

14) W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

Pytanie kontrolne. Choć ważne 

15) Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

Pytanie kontrolne ale bardzo ważne.
Niestety nadal bardzo często to IOD sporządza dokumentację systemu ochrony danych osobowych. To spadek po ABI i starej ustawie.

16) W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

Widać że teoretyk pisał te pytanie. Powiem tak. Niezależnym to się jest albo nie. Trzeba mieć autorytet i tyle. No ale jak ktoś bierze "kilkaset" złotych za funkcję IOD i podpisuje tylko papierki 2-3 razy w tygodniu to ani nie ma autorytety ani niezależności.

17) W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
Kolejne pytanie teoretyka. Patrz odpowiedź wyżej.

18) W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
Lubię pytania teoretyków. To zależy od transparentności i dojrzałości organizacji. 
Ja tam zawsze mam dowód na piśmie jak coś doradzałem. Nie raz mnie to uratowało.

19) W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
Pytanie kontrolne 

20) Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
To jest ciekawe zagadnienie i ważne.

a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
Ciekawie kto prowadzi ewidencję czasu pracy w tym zakresie 

b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?
Ciekawe pytanie na osobnego posta. Z chęcią bym zobaczył jakieś wzory a potem sprawdził jak działają w praktyce. Bo wiecie papier przyjmie wszystko.

c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
Ważne pytanie kontrolne. IOD nie powinien mieć dwóch panów.

21) Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
Teoretycy kochają dokumenty. A papier przyjmie wszystko.
Choć procedury są bardzo ważne to .....

22) Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
Pytanie kontrolne. Swoją drogą jak IOD nie ma na miejscu to jak nadzoruje?

23) Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
Naprawdę teoretycy kochają papierologię.
A nie lepiej sprawdzić ile zrobił kontroli i szkoleń.

24) Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
Pytanie kontrolne 

25) Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
To jest ciekawa kwestia. Ja myślałem że komunikacja IOD i Administrator to podstawa. Oczywiście jak wszystko jest okey to można 1-2 razy do roku. Jak mamy incydenty czy zdarzenia to trzeba utrzymywać gorącą linię.

26) Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
Pytanie kontrolne 

27) Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Ciekawe pytanie. Według mnie IOD działa jak oficer Compliance na drugiej linii obrony (częściowo na trzeciej). Według mnie to komórki audytu i kontroli wraz z najwyższym kierownictwem powinny kontrolować pracę IOD.
Ale jeżeli tylko on ma wiedzę w organizacji?

Ciekawe jak PUODO będzie modyfikował pytania i jak wykorzysta to narzędzie - ankiety.

Niech moc ochrony danych osobowych będzie z wami.

niedziela, 17 lipca 2022

Czy masz system ochrony danych osobowych, zgodnie z RODO, w swojej organizacji? A czy działa? A skąd to wiesz?



To było w ostatnią środę. Na linkedln napisał do mnie znajomy przedsiębiorca czy może przedzwonić?

Odpowiedziałem się, że nie ma problemu, po godzinie 17 może spokojnie do mnie zadzwonić i możemy chwilę porozmawiać.

I faktycznie, po 17, do mnie przedzwonił. Powiedział, że wie, że jestem ekspertem od RODO i ma drobne pytanko. 

Na takie pytania odpowiadam standardowo, że jak drobne to oczywiście niech pyta i postaram się pomóc ale jak to coś poważniejszego to uzyskanie odpowiedzi będzie go kosztować - w końcu zarabiam odpowiadając na pytania lub sam pytając, zapobiegając problemom, rozwiązując problemy i minimalizując straty czyli udzielając pomocy prawnej

Powiedział, że rozumie.  Wczoraj czytał jeden z moich artykułów i zrozumiał, że nie wie czy u niego w przedsiębiorstwie działa skuteczny system ochrony danych osobowych. Co prawda 4 lata kupił zestaw dokumentacji RODO od znajomej kancelarii i jakiś ekspert pomagał mu poprawić stronę 3 lata temu, ale po moim artykule nabrał wątpliwości czy to wystarczy.

Dopytałem, jak dużą ma firmę i czy przetwarza dużo danych osobowych?

Okazało się, że firma jest średnia, ma kilkadziesiąt pracowników i przetwarza "chyba" dużo danych osobowych.

Odpowiedziałem szczerze, że jakbym miał zgadywać, to system ochrony danych osobowych u niego jest pozorny i nieskuteczny. Jak chce wiedzieć co nie działa lub czego brak i co trzeba poprawić to trzeba zrobić audyt. Audyt średniego przedsiębiorstwa kosztuje u mnie od kilkunastu tysięcy w górę + VAT. Oczywiście po uzyskaniu odpowiedzi na parę dodatkowych pytań przedstawię konkretną ofertę. Audyt kończy się raportem z zaleceniami oraz moją ofertę - w czym mogę pomóc w działaniach naprawczych i ile to będzie kosztować. Oczywiście może działania korygujące lub naprawcze zlecić tak jak audyt mnie lub komuś innemu. Nawet mogę polecić parę kancelarii i ekspertów, którzy naprawdę się znają na ochronie danych osobowych, a nie tylko sprzedają dokumentację "podobno" zgodną z RODO.

Klient powiedział, że się zastanowi i się grzecznie pożegnał. Zobaczymy czy potraktuje ten wydatek jako inwestycję w bezpieczeństwo czy jako koszt. W sumie to "rozumiem". Na skuteczny system trzeba wydać od kilku do kilkaset tysięcy złotych (wdrożyć i utrzymać), a kary i odszkodowania to tylko od kilkudziesięciu tysięcy do kilku milionów złotych (tyle na razie maksymalnie nałożył PUODO), do tego koszty pomocy prawnej przed PUODO, WSA i NSA - kolejne kilkadziesiąt lub kilkaset tysięcy + utrata reputacji. No i co z tego, że coraz więcej kontrahentów wymaga bycia Compliance. No cóż przetrwanie czy rozwój nie są obowiązkowe jak mówi znajomy ekspert od zarządzania ryzykiem.

Jak obserwuję rynek, wykonują zlecenia audytów, aktualizacji lub naprawy systemu lub poprawy dokumentacji RODO to stwierdzam, że mimo tego, że prawo ochrony danych osobowych mamy w Polsce od ćwierć wieku, a RODO obowiązuje od 4 lat to:
1) nieliczni przedsiębiorcy i część sektora publicznego są świadomi swoich obowiązków z zakresu ochrony danych osobowych i utrzymują skuteczne i efektywne systemy ochrony danych osobowych,
2) spora część przedsiębiorców i sektora publicznego coś tam ma. Mniej lub bardziej pozornego lub nieskutecznego. Zwykle bardziej pozornego i mało skutecznego,
3) nadal spora część przedsiębiorców i sektora publicznego nie ma nic lub ma tylko półkownika - zakurzony i nieużywany segregator z niby dokumentacją RODO, której nikt nie czytał i nikt nie stosuje.

Dla mnie skuteczny i efektywny system ochrony danych osobowych to między innymi:
1) kwestia bezpieczeństwa organizacji i najwyższego kierownictwa,
2) kwestia przewagi konkurencyjnej,
3) kwestia odpowiedzialności - za brak, pozorność lub nieskuteczność systemu grozi odpowiedzialność administracyjna (finansowa), cywilna, karna,
4) kwestia kultury organizacyjnej.

Ludzie coraz bardziej są świadomi swoich praw i składają coraz więcej skarg do PUODO, a PUODO na nie reaguje.

PUODO prowadzi coraz więcej kontroli i nakłada coraz więcej kar.

Rośnie stres, zagrożenie cyberbezpieczeństwa itp - w każdym podmiocie w końcu dojdzie do naruszenia ochrony danych osobowych. Pytanie tylko kiedy i ile to będzie kosztować.

Mam teraz do ciebie trzy pytania:

1) Czy masz system ochrony danych osobowych w swojej organizacji? (bo jakieś dane osobowe na pewno przetwarzasz.
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 2.
 
2) Czy ten system działa skutecznie i efektywnie?
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 3.  

3) A skąd to wiesz?
Jeżeli robisz co rok audyty i kontrole (u różnych i sprawdzonych ekspertów) to super. Byle byś im płacić za to by naprawdę sprawdzili, a nie za certyfikat, że wszystko jest okey.
Jeżeli nie robisz audytów i kontroli to nie wiesz, a zgadujesz. I masz problem.
 
Niech moc RODO będzie z wami.
Ps a jak masz problem to wiesz jak się ze mną skontaktować :-) Wycenę robię indywidualnie pod klienta. Przy większych pracach montuję zespoły.

sobota, 28 maja 2022

Czwarta rocznica RODO

W wigilię czwartej rocznicy RODO miałem przyjemność być prelegentem na konferencji "Rozliczalność to podstawa RODO" - podsumowanie mojego wystąpienia widać na grafice - oraz posłuchać bardzo dobrych innych prelegentów.
 
Poczytałem sobie też artykuły z okazji 4 rocznicy RODO i ostatnią publikację PUODO - "Wiedza na temat bezpieczeństwa danych osobowych w Polsce - raport".
 
Ochrona danych osobowych w Polsce ma już 25 lat. To ćwierć wieku.
RODO zostało opublikowane 6 lat temu, a obowiązuje 4 lata, od 25 maja 2018 r.
I nadal powoduje problemy. Jako podmioty z sektora prywatnego i sektora publicznego ze zrozumieniem i przestrzeganiem przepisów RODO, jako społeczeństwo z ochroną swoich danych osobowych i zrozumieniem swoich praw.
Mam wrażenie, że coś poszło nie tak.
A co poszło według mnie nie tak:
1) zabrakło edukacji, choć obecnie jest już sporo publikacji, webinarów (za darmo na you tubie) itd. to nadal świadomość nie jest wysoka. Może warto by wprowadzić podstawy prawa w szkole. Natomiast PUODO powinien wznowić publikację poradników. Ponadto PUODO mogło by opracować wzorce dokumentacji we współpracy z ekspertami (mam tu na myśli głównie dwa główne stowarzyszenia inspektorów danych osobowych). Jednocześnie ludzie stali i stają się coraz bardziej świadomi, że mają prawo do ochrony swoich danych. Szczerze muszę przyznać, że jest progres i jest lepiej niż było,
2) RODO odwołuje się do innej tradycji. Miałem nadzieję, że RODO zmniejszy papierologię. Niestety zasada rozliczalności jest często czytana - na wszystko musi być papier. Do tego wszystkiego nakłada się formalizm. Zamiast dbać o ochronę praw i wolności zbyt często skupiamy na literalnym brzmieniu przepisów,
3) RODO jest bardzo lekceważoną regulacją. Świadczą o tym choćby budżety na IOD`ów i systemy ochrony danych osobowych. Z jednej strony powoduje to brak świadomości (to wina braków w edukacji).
Z drugiej strony zamiast tłumaczyć, że ochrona danych osobowych to nasz wspólny interes, a dla przedsiębiorców to szansa uzyskania przewagi konkurencyjnej, przed wejściem w życie RODO i w pierwszym roku większość straszyła karami - do milionów EURO - absurdalna wysokość dla większości podmiotów. Do tego żeby kary były skuteczne muszą być nieuchronne. Sama surowość prawie nikogo nie nastraszy. PUODO pierwszą karę nałożył w marcu 2019 r. Przez cztery lata, PUODO nałożył 35 kar finansowych na łącznie 2,2 mln euro. Najmniejsza 1168 euro, największa 1 milion euro. Według mnie kar powinno być więcej ale powinny być niższe. Może powinien być jakiś cennik.
Cieszy mnie pierwsza systemowa kontrola RODO - tzw. 27 pytań o IOD - omówię je już w osobnym poście.
4) najczęstsze grzechy w ochronie danych osobowych - brak systemów ochrony danych osobowych lub pozorność/nieskuteczność tych systemów. 
 
Na zakończenie mam taką refleksję. Mimo upływu takiej ilości czasu, rola i skala wyzwań w zakresie ochrony danych osobowych będzie tylko rosła.

Niech moc RODO będzie z wami.

czwartek, 12 maja 2022

Zaproszenie na konferencje - RODO i Compliance

 

Po pierwsze chciałbym zaprosić wszystkich zainteresowanych na mój panel podczas Konferencji DAPR „ROZLICZALNOŚĆ TO PODSTAWA RODO”. W dniu 24 maja 2022 o 14.30 będę mówił na temat "Case study - zespołowe zarządzanie ryzykiem RODO ". Link do zapisów: https://konferencjarodo.dapr.pl/". Oczywiście zapraszam też do wysłuchania innych panelistów.
Konferencja jest darmowa



Po drugie, dwa dni później, w dniu 26 maja br. występuję na II Kongresie Compliance. Będę mówił na temat "Compliance by design/Compliance by default – postulat vs rzeczywistość". Konferencja jest płatna - link do zapisów: https://konferencje.mustreadmedia.pl/kongres-compliance/
 
Jak  nie RODO to Compliance, jak nie Compliance to RODO.
No nic prezentacje same się nie przygotują, więc wracam do pracy.
Niech moc Compliance i RODO będzie z wami.

czwartek, 14 kwietnia 2022

Życzenia Wielkanocne i Ciekawostki z prawa handlowego i nie tylko - odcinek nr 41

Chciałbym moim czytelnikom i klientom życzyć zdrowych i spokojnych Świąt Wielkanocy. 
Trwająca już ponad dwa lata pandemia pokazała nam, że:
1) zdrowie jest bardzo ważne,
2) epidemie i pandemie mogą się zdarzyć,
3) rozwój cywilizacji pozwala się rozszerzyć się epidemii błyskawicznie na cały Świat, jednocześnie rozwój nauki pozwala nam opracować szczepionki również w rekordowym tempie. I jak zawsze trwa starcie nauki z zabobonami.
Trwająca wojna na Ukrainie, pokazuje jak ważny jest spokój i pokój. Jednocześnie uświadomiło nam to, że wojna zawsze może się zdarzyć i trzeba być na nią gotowym, w tym warto mieć sojuszników by nie stać się ofiarę silniejszego, np. Rosji.
Ukraina dziś wykuwa swój nowy mit założycielski. Pamiętajmy, że to nasze siostry i nasi bracie i wspierajmy ich. I w czasie wojny i potem w czasie pokoju (mam nadzieję, że Ukraina wygra i to jak najszybciej). 

Przez całą naszą historię aż do 1945 r. byliśmy społeczeństwem wielokulturowym. Zaowocowało to niezwykłą kulturą polską gdzie widać wpływy i zachodu i wschodu. Choćby moja kochana Łódź była miastem 4 kultur (polskiej, niemieckiej, żydowskiej i rosyjskiej) i 4 religii (katolickiej, protestanckiej, żydowskiej i prawosławnej).
Od 1945 aż do 2021 r. byliśmy jednak Państwem o dość jednolitej kulturze. Zapomnieliśmy jak żyć w jednym Państwie z ludźmi o innej kulturze i religii. Obecnie gościmy w Polsce kilka milionów uchodźców z Ukrainy. Mają podobny język, kulturę i religię ale jednak inną. Pamiętajmy więc o wzajemnym szacunku i życzliwości. Niech to co nas różni nas wzbogaca, a nie dzieli.

Dawno nie było ciekawostek z prawa handlowego ale wybrałem parę najważniejszych lub najciekawszych według mnie informacji.
 
Zaczynamy tym razem od RODO.
Prezes UODO rozpoczął weryfikację przestrzegania przepisów dotyczących inspektora ochrony danych w formie ankiety z pytaniami - LINK. Pytań 27, rozesłanych do podobno kilkudziesięciu podmiotów. Skromnie ale zakładam, że testują dopiero system.
Pytanie pokazują to o czym piszę non stop:
1) IOD musi posiadać odpowiednie zasoby,
2) IOD musi posiadać odpowiednie upoważnienia i pozycję w organizacji,
3) IOD musi być od początku o wszystkim informowany,
4) IOD musi non stop się szkolić.
 
Czas na Compliance
Najpierw się pochwalę. Stowarzyszenie Praktycy Compliance, które jestem współzałożycielem i Wiceprezesem Zarządu, objęło swoim patronatem, nowy kierunek studiów podyplomowych "Menedżer bezpieczeństwa biznesu z elementami Whistleblowing", na Wyższej Szkole Bankowej w Poznaniu, Wyższej Szkole Bankowej w Chorzowie i Wyższej Szkole Bankowej w Szczecinie. Wśród wykładowców przeważają członkowie naszego stowarzyszenia tj. Maciej Zygmunt, Paweł Sawicki, Michał Lorenc, Rafał Hryniewicz i JA.
Koniec chwalenia się. W dniu 12 kwietnie br. pojawiała się kolejna wersja projektu ustawy o ochronie osób zgłaszających naruszenia prawa - LINK. Należy zauważyć m.in., że zgodnie z najnowszym projektem ustawy:
1) vacatio legis wynosi 2 miesiące
2) od wejścia w życie ustawy będzie miesiąc na realizację obowiązku ustalenia procedury wewnętrznej przyjmowania zgłoszeń i podejmowania działań następczych,
3) do urzędów lub jednostek organizacyjnych gmin liczących mniej niż 10 000 mieszkańców nie stosuje się przepisów dotyczących zgłoszeń wewnętrznych,
4) podmiot prawny na rzecz którego wykonuje pracę mniej niż 50 osób, może ustalić procedurę wewnętrzną ale nie musi.
W sumie ministerstwo uwzględniło sporo uwag ale jednak sporej części nie uwzględniło, m.in.:
1) cały czas wymaga się by była procedura, czyli papier, a nie skuteczny i efektywny system przyjmowania zgłoszeń, prowadzenia postępowań następczych i ochrony sygnalistów, w tym kara nadal jest za brak papieru lub jego niezgodność z ustawą a nie za brak lub pozorność systemu,
2) nadal nie ma wymogu by chociaż jeden kanał był anonimowy, choć przyznano też ochronę anonimowemu sygnaliście,
3) nadal jest wymóg by procedurę konsultować ze związkami zawodowymi
4) nadal zgłoszenie ustne za pomocą bezpośredniego spotkania może być tylko na wniosek Sygnalisty, a domyślnie ustne oznacza przez telefon,
5) nadal jako wymienia się Rzecznika Praw Obywatelskich jako organ do przyjmowania zgłoszeń zewnętrznych, choć obok podmiotów publicznych.
 
Chciałbym jednak zwrócić Państwa uwagę, że nadal projekt ustawy nie trafił do Sejmu i nie wiadomo kiedy to się stanie. Nie wiadomo też sprawnie pójdą prace legislacyjne i jakie Sejm wprowadzi zmiany do projektu. Proszę więc nie traktować tego projektu jako ostateczny. Jednocześnie zalecam wdrażanie systemów dla sygnalistów z pomocą ekspertów. 
 
Na końcu chciałbym zwrócić uwagę na DEZINFORMACJĘ. Musieliśmy się z nią zmagać w  czasie pandemii (w sianiu fake-news mistrzami byli antyszczepionkowcy), obecnie zmagamy się z dezinformacją ruskich trolli (co ciekawe wcześniej siali antyszczepionkowe bzdety). Cały czas też zmagamy się z nią w życiu publicznym (najgorsze że sieją ją media publiczne zamienione w partyjną propagandową tubę).
Polecam artykuły ekspertów w tym zakresie, fundacji Panoptykon: LINK  

Niech moc Compliance i RODO będą z wami
A króliczek przyniesie wam prezenty