Pokazywanie postów oznaczonych etykietą RODO. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą RODO. Pokaż wszystkie posty

czwartek, 26 stycznia 2023

Dzień inspektorów ochrony danych

Dziś, w dniu 26 stycznia jest dzień inspektorów ochrony danych. Z tej okazji chciałbym przypomnieć moje trzy teksty o IOD`ach:

IOD`om życzę by pytali nas przed a nie po, słuchali i rozumieli co mówimy oraz żebyśmy mieli zapewnione odpowiednie zasoby.
 
W dniu 28 stycznia jest Europejski Dzień Ochrony Danych Osobowych. Z tej okazji parę wieści o RODO

Prezes UODO zatwierdził pierwszy w Polsce kodeks postępowania zgodnego z RODO. „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany został przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Organ nadzorczy udzielił również akredytacji dla RS Jamano, który będzie pełnił funkcję podmiotu monitorującego stosowanie kodeksu. Po upływie 4,5 roku mamy więc pierwszy kodeks i pierwszy akredytowany podmiot monitorujący w Polsce. Obstawiam, że do końca tej dekady ilość kodeksów nie przekroczy liczby 10.

Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na 2023 rok. Z kontrolą muszą się liczyć podmioty:
1) przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym,
2) przetwarzające dane osobowe przy użyciu aplikacji mobilnych,
3) przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych),
UODO będzie zwracało szczególną uwagę na sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji lub aplikacji internetowej (webowej).
 
Przy okazji przypominam, że:
1) RODO chroni prawa i wolności osób fizycznych,
2) w ochronie danych osobowych chodzi o zarządzanie systemem ochrony danych osobowych, a nie o dokumentację (ta jest ważna z uwagi na komunikację i rozliczalność),
3) podstawą zarządzania systemem ochrony danych osobowych jest zarządzanie ryzykiem prawnym. Tak samo jak w Compliance, ESG czy w ogóle w zarządzaniu,
4) każde przetwarzanie danych osobowych musi mieć podstawy prawne.
 
Niech moc RODO będzie z wami.

sobota, 24 września 2022

Ogłoszenia o kongresach Compliance

Najgorsze starochińskie przekleństwo to, żebyś żył w ciekawych czasach. Niewątpliwie czasy są ciekawe. Rzeczywistość przypomniała nam czym jest pandemia, wojna, rządy populistów i autokratów itd. W życiu zawodowym też się dzieje, choć na szczęście dla odmiany pozytywnie.

W dniu 20 września br. odbyła się II Konferencja DAPR pod tytułem "Korzyści z RODO dla Biznesu". GoTek Rysuje przygotowała znowu nieziemskie podsumowanie mojej prezentacji.

Domyślacie się, że mówiłem o budowaniu świadomości w organizacji i roli IOD`a.

W dniu 29 września br., będę miał przyjemność wystąpić jako gość na Konferencji Raczkowski Compliance Day 2022 r. Wraz z innymi gośćmi będę dyskutował o realiach pracy compliance oficera w polskich organizacjach. Będę mówił o praktyce, a nie teorii. Serdecznie zapraszam, zwłaszcza, że wydarzenie jest bezpłatne.

Natomiast w dniach 20-21 października br. odbędzie się III Polski Kongres Compliance. Występowałem na I i II, więc przyjąłem zaproszenie i na III. Będę mówił o odpowiedzialności za wdrożenie i utrzymanie systemu Compliance w świetle nowelizacji kodeksu spółek handlowych oraz projektu nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Czyli będzie i o Compliance, i o zarządzaniu, i prawie handlowym i prawie karnym. Wszystko to co tygryski lubią najbardziej. Oczywiście serdecznie zapraszam na wydarzenie.

Obserwujcie bacznie stronę stowarzyszenia Praktycy Compliance na Linkedin oraz stronę www. Niedługo będzie się działo.

Niech moc Compliance będzie z wami.

niedziela, 24 lipca 2022

IOD w świetle pytań PUODO

Zawsze jak szkolę z ochrony danych osobowych to pytam "kto odpowiada za ochronę danych osobowych?". Zwykle pada odpowiedź: "IOD".

Oczywiście jedną z osób, która odpowiada za system ochrony danych osobowych jest Inspektor Ochrony Danych w skrócie IOD.

Jednym z mitów dotyczących IOD jest to, że odpowiada on za wszystko. Za wszystko to odpowiada Administrator. IOD odpowiada za doradztwo, nadzór i swoje obowiązki m.in. jako punkt kontaktowy.

Drugi mit, to że IOD albo jest hamulcowym który nie rozumie biznesu i się czepia bez sensu (bo pilnuje, żeby administrator wypełniał swe obowiązki) albo że ma podpisywać i nie marudzić, przecież wszystko jest okey (notabene w każdej organizacji, zwłaszcza większej nie wszystko jest okey). Dlatego można IOD płacić grosze i wystarczy jak się pojawi raz, dwa razy w tygodniu papiery podpisać. 

Od dawna piszę, o tych i innych mitach związanycg z funkcją IOD. Nadal iwielu administratorów źle rozumie jego rolę lub jej nie docenia. Z wielu artykułów polecam post: "IOD - mistrz Jedi, rycerz Jedi czy padawan?".

Niedawno PUODO opublikowało pytania weryfikujące funkcjonowanie IOD'ów u Administratorów i w podmiotach przetwarzających. Co wynika z tych pytań o wizji PUODO na temat IOD'ów?

Nie będę się wymądrzał jak odpowiadać itp. Zapraszam za to do mojej analizy pół żartem pół serio (choć tematyka poważna) pytań.

1) Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
Pytanie kontrolne. Jak jest, to można sprawdzać dalej. Jak nie ma to, koniec kontroli, chyba że ma być.

2) Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
Pytanie kontrolne. Czy IOD jest, jeżeli być powinien.

3) Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub - jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
To jest ciekawa kwestia. RODO nie nakazuje publikowania imienia, nazwiska czy telefonu IOD, natomiast ustawa nakazuje opublikować imię i nazwisko IOD oraz kontakt do niego. Ktoś mi wytłumaczy po co ustawodawca krajowy każe publikować imię i nazwisko IOD'a? Według mnie to nadmiarowe przetwarzanie.
No ale PUODO stosuje zasadę dura lex sed lex.

4) Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
Pytanie kontrolne. Sprawdzenie stosowania przepisów. 

5) Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
Pytanie kontrolne.

6) Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
To pozwala ocenić, czy IOD ma czas dla organizacji czy bywa raz w tygodniu na godzinę i równie dobrze mogłoby go nie być 

7) Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
To jest ciekawe pytanie. I bardzo dobre :-)))) Trzeba udowodnić, że powołało się eksperta a nie znajomego królika, ochotnika z łapanki lub najtańszego oferenta. To jasno pokazuje, że wybierając IOD trzeba się kierować jego kompetencjami i wiedzą, a nie ceną. A jakość kosztuje.

8) Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
Według mnie jedno z najważniejszych pytań. Jeżeli IOD nie ma zasobów, to nie może skutecznie działać. I mówiąc o zasobach nie chodzi tylko o kasę ale i ludzi oraz narzędzia. 

9) W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
Drugie mega ważne pytanie. Ja w czasie audytu proszę o plan szkoleń IOD. Potem sprawdzam dostęp do publikacji itp. Szybko wychodzi szydło z worka czy IOD utrzymuje wiedzę fachową czy też jego wiedza się deaktulizuje.

10) Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
Pytanie formalno-prawne ale pomaga ocenić niezależność IOD. Według mnie podległość w strukturze pod Prezesem nie świadczy jeszcze o niezależności.

11) Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
Pytanie formalno-prawne. Ale swoją drogą stawia ciekawe pytanie o zastępcę IOD, np. czy można go powołać na stałe jako wsparcie IOD? 

12) Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
To pytanie, czy IOD ma odpowiednie zasoby ludzkie. W organizacjach liczących setki lub tysiące osób świadczących pracę, samotny IOD nie ma szans wykonać należycie swoich obowiązków.

13) W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?

To jest mega ważne pytanie. Wielu IOD skarży się, że nie są włączani we wszystkie sprawy, są włączani zbyt późno lub ich uwagi nie są należycie uwzględniane. Jednocześnie w dużych organizacjach samotny IOD nic by nie robił tylko na spotkania biegach. 
No i kwestia rozliczalności - ma zbierać podpisy? Przecież to byłby przerost formy nad treścią.

14) W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

Pytanie kontrolne. Choć ważne 

15) Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

Pytanie kontrolne ale bardzo ważne.
Niestety nadal bardzo często to IOD sporządza dokumentację systemu ochrony danych osobowych. To spadek po ABI i starej ustawie.

16) W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

Widać że teoretyk pisał te pytanie. Powiem tak. Niezależnym to się jest albo nie. Trzeba mieć autorytet i tyle. No ale jak ktoś bierze "kilkaset" złotych za funkcję IOD i podpisuje tylko papierki 2-3 razy w tygodniu to ani nie ma autorytety ani niezależności.

17) W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
Kolejne pytanie teoretyka. Patrz odpowiedź wyżej.

18) W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
Lubię pytania teoretyków. To zależy od transparentności i dojrzałości organizacji. 
Ja tam zawsze mam dowód na piśmie jak coś doradzałem. Nie raz mnie to uratowało.

19) W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
Pytanie kontrolne 

20) Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
To jest ciekawe zagadnienie i ważne.

a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
Ciekawie kto prowadzi ewidencję czasu pracy w tym zakresie 

b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?
Ciekawe pytanie na osobnego posta. Z chęcią bym zobaczył jakieś wzory a potem sprawdził jak działają w praktyce. Bo wiecie papier przyjmie wszystko.

c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
Ważne pytanie kontrolne. IOD nie powinien mieć dwóch panów.

21) Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
Teoretycy kochają dokumenty. A papier przyjmie wszystko.
Choć procedury są bardzo ważne to .....

22) Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
Pytanie kontrolne. Swoją drogą jak IOD nie ma na miejscu to jak nadzoruje?

23) Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
Naprawdę teoretycy kochają papierologię.
A nie lepiej sprawdzić ile zrobił kontroli i szkoleń.

24) Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
Pytanie kontrolne 

25) Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
To jest ciekawa kwestia. Ja myślałem że komunikacja IOD i Administrator to podstawa. Oczywiście jak wszystko jest okey to można 1-2 razy do roku. Jak mamy incydenty czy zdarzenia to trzeba utrzymywać gorącą linię.

26) Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
Pytanie kontrolne 

27) Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Ciekawe pytanie. Według mnie IOD działa jak oficer Compliance na drugiej linii obrony (częściowo na trzeciej). Według mnie to komórki audytu i kontroli wraz z najwyższym kierownictwem powinny kontrolować pracę IOD.
Ale jeżeli tylko on ma wiedzę w organizacji?

Ciekawe jak PUODO będzie modyfikował pytania i jak wykorzysta to narzędzie - ankiety.

Niech moc ochrony danych osobowych będzie z wami.

niedziela, 17 lipca 2022

Czy masz system ochrony danych osobowych, zgodnie z RODO, w swojej organizacji? A czy działa? A skąd to wiesz?



To było w ostatnią środę. Na linkedln napisał do mnie znajomy przedsiębiorca czy może przedzwonić?

Odpowiedziałem się, że nie ma problemu, po godzinie 17 może spokojnie do mnie zadzwonić i możemy chwilę porozmawiać.

I faktycznie, po 17, do mnie przedzwonił. Powiedział, że wie, że jestem ekspertem od RODO i ma drobne pytanko. 

Na takie pytania odpowiadam standardowo, że jak drobne to oczywiście niech pyta i postaram się pomóc ale jak to coś poważniejszego to uzyskanie odpowiedzi będzie go kosztować - w końcu zarabiam odpowiadając na pytania lub sam pytając, zapobiegając problemom, rozwiązując problemy i minimalizując straty czyli udzielając pomocy prawnej

Powiedział, że rozumie.  Wczoraj czytał jeden z moich artykułów i zrozumiał, że nie wie czy u niego w przedsiębiorstwie działa skuteczny system ochrony danych osobowych. Co prawda 4 lata kupił zestaw dokumentacji RODO od znajomej kancelarii i jakiś ekspert pomagał mu poprawić stronę 3 lata temu, ale po moim artykule nabrał wątpliwości czy to wystarczy.

Dopytałem, jak dużą ma firmę i czy przetwarza dużo danych osobowych?

Okazało się, że firma jest średnia, ma kilkadziesiąt pracowników i przetwarza "chyba" dużo danych osobowych.

Odpowiedziałem szczerze, że jakbym miał zgadywać, to system ochrony danych osobowych u niego jest pozorny i nieskuteczny. Jak chce wiedzieć co nie działa lub czego brak i co trzeba poprawić to trzeba zrobić audyt. Audyt średniego przedsiębiorstwa kosztuje u mnie od kilkunastu tysięcy w górę + VAT. Oczywiście po uzyskaniu odpowiedzi na parę dodatkowych pytań przedstawię konkretną ofertę. Audyt kończy się raportem z zaleceniami oraz moją ofertę - w czym mogę pomóc w działaniach naprawczych i ile to będzie kosztować. Oczywiście może działania korygujące lub naprawcze zlecić tak jak audyt mnie lub komuś innemu. Nawet mogę polecić parę kancelarii i ekspertów, którzy naprawdę się znają na ochronie danych osobowych, a nie tylko sprzedają dokumentację "podobno" zgodną z RODO.

Klient powiedział, że się zastanowi i się grzecznie pożegnał. Zobaczymy czy potraktuje ten wydatek jako inwestycję w bezpieczeństwo czy jako koszt. W sumie to "rozumiem". Na skuteczny system trzeba wydać od kilku do kilkaset tysięcy złotych (wdrożyć i utrzymać), a kary i odszkodowania to tylko od kilkudziesięciu tysięcy do kilku milionów złotych (tyle na razie maksymalnie nałożył PUODO), do tego koszty pomocy prawnej przed PUODO, WSA i NSA - kolejne kilkadziesiąt lub kilkaset tysięcy + utrata reputacji. No i co z tego, że coraz więcej kontrahentów wymaga bycia Compliance. No cóż przetrwanie czy rozwój nie są obowiązkowe jak mówi znajomy ekspert od zarządzania ryzykiem.

Jak obserwuję rynek, wykonują zlecenia audytów, aktualizacji lub naprawy systemu lub poprawy dokumentacji RODO to stwierdzam, że mimo tego, że prawo ochrony danych osobowych mamy w Polsce od ćwierć wieku, a RODO obowiązuje od 4 lat to:
1) nieliczni przedsiębiorcy i część sektora publicznego są świadomi swoich obowiązków z zakresu ochrony danych osobowych i utrzymują skuteczne i efektywne systemy ochrony danych osobowych,
2) spora część przedsiębiorców i sektora publicznego coś tam ma. Mniej lub bardziej pozornego lub nieskutecznego. Zwykle bardziej pozornego i mało skutecznego,
3) nadal spora część przedsiębiorców i sektora publicznego nie ma nic lub ma tylko półkownika - zakurzony i nieużywany segregator z niby dokumentacją RODO, której nikt nie czytał i nikt nie stosuje.

Dla mnie skuteczny i efektywny system ochrony danych osobowych to między innymi:
1) kwestia bezpieczeństwa organizacji i najwyższego kierownictwa,
2) kwestia przewagi konkurencyjnej,
3) kwestia odpowiedzialności - za brak, pozorność lub nieskuteczność systemu grozi odpowiedzialność administracyjna (finansowa), cywilna, karna,
4) kwestia kultury organizacyjnej.

Ludzie coraz bardziej są świadomi swoich praw i składają coraz więcej skarg do PUODO, a PUODO na nie reaguje.

PUODO prowadzi coraz więcej kontroli i nakłada coraz więcej kar.

Rośnie stres, zagrożenie cyberbezpieczeństwa itp - w każdym podmiocie w końcu dojdzie do naruszenia ochrony danych osobowych. Pytanie tylko kiedy i ile to będzie kosztować.

Mam teraz do ciebie trzy pytania:

1) Czy masz system ochrony danych osobowych w swojej organizacji? (bo jakieś dane osobowe na pewno przetwarzasz.
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 2.
 
2) Czy ten system działa skutecznie i efektywnie?
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 3.  

3) A skąd to wiesz?
Jeżeli robisz co rok audyty i kontrole (u różnych i sprawdzonych ekspertów) to super. Byle byś im płacić za to by naprawdę sprawdzili, a nie za certyfikat, że wszystko jest okey.
Jeżeli nie robisz audytów i kontroli to nie wiesz, a zgadujesz. I masz problem.
 
Niech moc RODO będzie z wami.
Ps a jak masz problem to wiesz jak się ze mną skontaktować :-) Wycenę robię indywidualnie pod klienta. Przy większych pracach montuję zespoły.

sobota, 28 maja 2022

Czwarta rocznica RODO

W wigilię czwartej rocznicy RODO miałem przyjemność być prelegentem na konferencji "Rozliczalność to podstawa RODO" - podsumowanie mojego wystąpienia widać na grafice - oraz posłuchać bardzo dobrych innych prelegentów.
 
Poczytałem sobie też artykuły z okazji 4 rocznicy RODO i ostatnią publikację PUODO - "Wiedza na temat bezpieczeństwa danych osobowych w Polsce - raport".
 
Ochrona danych osobowych w Polsce ma już 25 lat. To ćwierć wieku.
RODO zostało opublikowane 6 lat temu, a obowiązuje 4 lata, od 25 maja 2018 r.
I nadal powoduje problemy. Jako podmioty z sektora prywatnego i sektora publicznego ze zrozumieniem i przestrzeganiem przepisów RODO, jako społeczeństwo z ochroną swoich danych osobowych i zrozumieniem swoich praw.
Mam wrażenie, że coś poszło nie tak.
A co poszło według mnie nie tak:
1) zabrakło edukacji, choć obecnie jest już sporo publikacji, webinarów (za darmo na you tubie) itd. to nadal świadomość nie jest wysoka. Może warto by wprowadzić podstawy prawa w szkole. Natomiast PUODO powinien wznowić publikację poradników. Ponadto PUODO mogło by opracować wzorce dokumentacji we współpracy z ekspertami (mam tu na myśli głównie dwa główne stowarzyszenia inspektorów danych osobowych). Jednocześnie ludzie stali i stają się coraz bardziej świadomi, że mają prawo do ochrony swoich danych. Szczerze muszę przyznać, że jest progres i jest lepiej niż było,
2) RODO odwołuje się do innej tradycji. Miałem nadzieję, że RODO zmniejszy papierologię. Niestety zasada rozliczalności jest często czytana - na wszystko musi być papier. Do tego wszystkiego nakłada się formalizm. Zamiast dbać o ochronę praw i wolności zbyt często skupiamy na literalnym brzmieniu przepisów,
3) RODO jest bardzo lekceważoną regulacją. Świadczą o tym choćby budżety na IOD`ów i systemy ochrony danych osobowych. Z jednej strony powoduje to brak świadomości (to wina braków w edukacji).
Z drugiej strony zamiast tłumaczyć, że ochrona danych osobowych to nasz wspólny interes, a dla przedsiębiorców to szansa uzyskania przewagi konkurencyjnej, przed wejściem w życie RODO i w pierwszym roku większość straszyła karami - do milionów EURO - absurdalna wysokość dla większości podmiotów. Do tego żeby kary były skuteczne muszą być nieuchronne. Sama surowość prawie nikogo nie nastraszy. PUODO pierwszą karę nałożył w marcu 2019 r. Przez cztery lata, PUODO nałożył 35 kar finansowych na łącznie 2,2 mln euro. Najmniejsza 1168 euro, największa 1 milion euro. Według mnie kar powinno być więcej ale powinny być niższe. Może powinien być jakiś cennik.
Cieszy mnie pierwsza systemowa kontrola RODO - tzw. 27 pytań o IOD - omówię je już w osobnym poście.
4) najczęstsze grzechy w ochronie danych osobowych - brak systemów ochrony danych osobowych lub pozorność/nieskuteczność tych systemów. 
 
Na zakończenie mam taką refleksję. Mimo upływu takiej ilości czasu, rola i skala wyzwań w zakresie ochrony danych osobowych będzie tylko rosła.

Niech moc RODO będzie z wami.

czwartek, 12 maja 2022

Zaproszenie na konferencje - RODO i Compliance

 

Po pierwsze chciałbym zaprosić wszystkich zainteresowanych na mój panel podczas Konferencji DAPR „ROZLICZALNOŚĆ TO PODSTAWA RODO”. W dniu 24 maja 2022 o 14.30 będę mówił na temat "Case study - zespołowe zarządzanie ryzykiem RODO ". Link do zapisów: https://konferencjarodo.dapr.pl/". Oczywiście zapraszam też do wysłuchania innych panelistów.
Konferencja jest darmowa



Po drugie, dwa dni później, w dniu 26 maja br. występuję na II Kongresie Compliance. Będę mówił na temat "Compliance by design/Compliance by default – postulat vs rzeczywistość". Konferencja jest płatna - link do zapisów: https://konferencje.mustreadmedia.pl/kongres-compliance/
 
Jak  nie RODO to Compliance, jak nie Compliance to RODO.
No nic prezentacje same się nie przygotują, więc wracam do pracy.
Niech moc Compliance i RODO będzie z wami.

czwartek, 14 kwietnia 2022

Życzenia Wielkanocne i Ciekawostki z prawa handlowego i nie tylko - odcinek nr 41

Chciałbym moim czytelnikom i klientom życzyć zdrowych i spokojnych Świąt Wielkanocy. 
Trwająca już ponad dwa lata pandemia pokazała nam, że:
1) zdrowie jest bardzo ważne,
2) epidemie i pandemie mogą się zdarzyć,
3) rozwój cywilizacji pozwala się rozszerzyć się epidemii błyskawicznie na cały Świat, jednocześnie rozwój nauki pozwala nam opracować szczepionki również w rekordowym tempie. I jak zawsze trwa starcie nauki z zabobonami.
Trwająca wojna na Ukrainie, pokazuje jak ważny jest spokój i pokój. Jednocześnie uświadomiło nam to, że wojna zawsze może się zdarzyć i trzeba być na nią gotowym, w tym warto mieć sojuszników by nie stać się ofiarę silniejszego, np. Rosji.
Ukraina dziś wykuwa swój nowy mit założycielski. Pamiętajmy, że to nasze siostry i nasi bracie i wspierajmy ich. I w czasie wojny i potem w czasie pokoju (mam nadzieję, że Ukraina wygra i to jak najszybciej). 

Przez całą naszą historię aż do 1945 r. byliśmy społeczeństwem wielokulturowym. Zaowocowało to niezwykłą kulturą polską gdzie widać wpływy i zachodu i wschodu. Choćby moja kochana Łódź była miastem 4 kultur (polskiej, niemieckiej, żydowskiej i rosyjskiej) i 4 religii (katolickiej, protestanckiej, żydowskiej i prawosławnej).
Od 1945 aż do 2021 r. byliśmy jednak Państwem o dość jednolitej kulturze. Zapomnieliśmy jak żyć w jednym Państwie z ludźmi o innej kulturze i religii. Obecnie gościmy w Polsce kilka milionów uchodźców z Ukrainy. Mają podobny język, kulturę i religię ale jednak inną. Pamiętajmy więc o wzajemnym szacunku i życzliwości. Niech to co nas różni nas wzbogaca, a nie dzieli.

Dawno nie było ciekawostek z prawa handlowego ale wybrałem parę najważniejszych lub najciekawszych według mnie informacji.
 
Zaczynamy tym razem od RODO.
Prezes UODO rozpoczął weryfikację przestrzegania przepisów dotyczących inspektora ochrony danych w formie ankiety z pytaniami - LINK. Pytań 27, rozesłanych do podobno kilkudziesięciu podmiotów. Skromnie ale zakładam, że testują dopiero system.
Pytanie pokazują to o czym piszę non stop:
1) IOD musi posiadać odpowiednie zasoby,
2) IOD musi posiadać odpowiednie upoważnienia i pozycję w organizacji,
3) IOD musi być od początku o wszystkim informowany,
4) IOD musi non stop się szkolić.
 
Czas na Compliance
Najpierw się pochwalę. Stowarzyszenie Praktycy Compliance, które jestem współzałożycielem i Wiceprezesem Zarządu, objęło swoim patronatem, nowy kierunek studiów podyplomowych "Menedżer bezpieczeństwa biznesu z elementami Whistleblowing", na Wyższej Szkole Bankowej w Poznaniu, Wyższej Szkole Bankowej w Chorzowie i Wyższej Szkole Bankowej w Szczecinie. Wśród wykładowców przeważają członkowie naszego stowarzyszenia tj. Maciej Zygmunt, Paweł Sawicki, Michał Lorenc, Rafał Hryniewicz i JA.
Koniec chwalenia się. W dniu 12 kwietnie br. pojawiała się kolejna wersja projektu ustawy o ochronie osób zgłaszających naruszenia prawa - LINK. Należy zauważyć m.in., że zgodnie z najnowszym projektem ustawy:
1) vacatio legis wynosi 2 miesiące
2) od wejścia w życie ustawy będzie miesiąc na realizację obowiązku ustalenia procedury wewnętrznej przyjmowania zgłoszeń i podejmowania działań następczych,
3) do urzędów lub jednostek organizacyjnych gmin liczących mniej niż 10 000 mieszkańców nie stosuje się przepisów dotyczących zgłoszeń wewnętrznych,
4) podmiot prawny na rzecz którego wykonuje pracę mniej niż 50 osób, może ustalić procedurę wewnętrzną ale nie musi.
W sumie ministerstwo uwzględniło sporo uwag ale jednak sporej części nie uwzględniło, m.in.:
1) cały czas wymaga się by była procedura, czyli papier, a nie skuteczny i efektywny system przyjmowania zgłoszeń, prowadzenia postępowań następczych i ochrony sygnalistów, w tym kara nadal jest za brak papieru lub jego niezgodność z ustawą a nie za brak lub pozorność systemu,
2) nadal nie ma wymogu by chociaż jeden kanał był anonimowy, choć przyznano też ochronę anonimowemu sygnaliście,
3) nadal jest wymóg by procedurę konsultować ze związkami zawodowymi
4) nadal zgłoszenie ustne za pomocą bezpośredniego spotkania może być tylko na wniosek Sygnalisty, a domyślnie ustne oznacza przez telefon,
5) nadal jako wymienia się Rzecznika Praw Obywatelskich jako organ do przyjmowania zgłoszeń zewnętrznych, choć obok podmiotów publicznych.
 
Chciałbym jednak zwrócić Państwa uwagę, że nadal projekt ustawy nie trafił do Sejmu i nie wiadomo kiedy to się stanie. Nie wiadomo też sprawnie pójdą prace legislacyjne i jakie Sejm wprowadzi zmiany do projektu. Proszę więc nie traktować tego projektu jako ostateczny. Jednocześnie zalecam wdrażanie systemów dla sygnalistów z pomocą ekspertów. 
 
Na końcu chciałbym zwrócić uwagę na DEZINFORMACJĘ. Musieliśmy się z nią zmagać w  czasie pandemii (w sianiu fake-news mistrzami byli antyszczepionkowcy), obecnie zmagamy się z dezinformacją ruskich trolli (co ciekawe wcześniej siali antyszczepionkowe bzdety). Cały czas też zmagamy się z nią w życiu publicznym (najgorsze że sieją ją media publiczne zamienione w partyjną propagandową tubę).
Polecam artykuły ekspertów w tym zakresie, fundacji Panoptykon: LINK  

Niech moc Compliance i RODO będą z wami
A króliczek przyniesie wam prezenty

 


 

piątek, 28 stycznia 2022

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 40


 
Pierwszy odcinek serii "Ciekawostki z prawa handlowego i nie tylko" został opublikowany w dniu 15 października 2016 r. Na początku pisałem tylko o prawie handlowym. Szybko zacząłem jednak więcej pisać w cyklu o RODO i o Compliance. Przez te ponad 5 lat, z dzisiejszym odcinkiem, napisałem  w sumie 40 odcinków. 
Drugi cykl "Luźnym okiem prawnika" jest młodszy i krótszy.
Troszkę sobie powspominałem, w końcu to 40 odcinek i pierwszy odcinek w 2022 r., a teraz czas na mięso.
 
Zaczynamy od ciekawostek z COMPLIANCE 
 
Miesiąc temu pisałem, że od 19 listopada 2021 r. oficjalnie rząd nie zrobił nic w sprawie projektu ustawy i nie trafił on do Sejmu. W dniu 30 grudnia 2021 r. ministerstwo odniosło się do jednych z wielu uwag - LINK . I muszę powtórzyć, że oficjalnie rząd nie zrobił nic w sprawie projektu ustawy i nie trafił on do Sejmu. Znajomi oficerowie Compliance zaczynają się zakładać, czy Sejm tej kadencji da radę uchwalić tą ustawę. Osobiście przestaję być optymistą.
 
W dniu 25 stycznia br. opublikowano wyniki kolejnej edycji Indeksu Percepcji Korupcji (Corruption Perceptions Index – CPI). Polecam artykuł kolegi ze stowarzyszenia Praktycy Compliance na temat wyników Polski - LINK
Jak słusznie zauważa autor od paru lat widać niestety trend spadkowy i brak poprawy sytuacji w Polsce. Takim impulsem była by np. ustawa o ochronie sygnalistów (ale prace są nad nią opóźnione) lub nowa ustawa o odpowiedzialności podmiotów zbiorowych (prace nad nią zostały zamrożone parę lat temu).
 
Czas na ciekawostki z RODO
 
Dziś 28 stycznia br. roku mamy XVI międzynarodowy dzień ochrony danych osobowych. To już prawie 4 lata jak zmagamy się z RODO, a ilość problemów nie maleje. Powiedziałbym, że nawet rośnie. Do tego powoli rośnie ilość kar, choć dziś RODO jest mocno lekceważone przez większość podmiotów.
Myślę, że najbliższym czasie napiszę  osobny artykuł o RODO i IOD. Zwłaszcza, że funkcja IOD oraz jej postrzeganie cały czas ewoluuje.

Warto wspomnieć, że kończą się powoli prace nad  tzw. rozporządzeniem ePrivacy, czyli Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej), zwanym też RODO II.
Czuję, że będzie się działo. Już podpowiadam, że bez współpracy IT i prawników się nie obejdzie. A problemów będzie więcej niż z RODO.
 
 
Pojawiają się kolejne wytyczne EROD. RODO się nie zmienia, za to jego interpretacja ewoluuje i to czasami w dziwnych kierunkach. 
 
Jeżeli kogoś interesuje afera Pegasusa i chciałby zapoznać się z rzetelną analizą prawną to polecam lekturę ekspertyzy w przedmiocie: legalności zakupu i wykorzystywania na terytorium Rzeczypospolitej Polskiej systemu „Pegasus” autorstwa R.pr. dr hab. Mariusz Bidziński prof. Uniwersytetu SWPS
 
Będę kończył bo wdrożenia, audyty, szkolenia itp. same się nie zrobią. Jak ktoś potrzebuje pomocy to zapraszam do kontaktu jeszcze mam wolne terminu.
 
Niech moc Compliance i ODO będzie z wami

czwartek, 16 grudnia 2021

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 39

Pisząc ten post zauważyłem, że minęły prawie dwa miesiące od poprzedniego odcinka Ciekawostek. A miałem pisać co miesiąc. Powiem krótko VIS MAIOR

Zaczynamy od ciekawostek z COMPLIANCE

Mam złą wiadomość. Co prawda jak pisałem, w dniu 18 października 2021 r. na stronie RCL pojawił się projekt ustawy  o ochronie osób zgłaszających naruszenia prawa.  

Stowarzyszenie Praktyków Compliance  zgłosiło do Ministerstwa uwagi i propozycje zmian - LINK - podobnie jak wiele innych podmiotów. 

I zapadła cisza. Od 19 listopada br. oficjalnie rząd nie zrobił nic w sprawie projektu ustawy i nie trafiła ona do Sejmu. Co oznacza brak implementacji? O tym piszę w artykule, który znajdziesz TU. W sumie to w tym artykule napisałem co robić i na co i na kogo uważać.

Czas na ciekawostki z RODO

Myślałem, że przyjmowaniem zgłoszeń i podejmowaniem działań następczych będą się zajmować najczęściej prawnicy, audytorzy i kontrolerzy wewnętrzni. A o dziwo trafia to coraz częściej do Inspektorów Ochrony Danych Osobowych. Problem ktoś zgłosił do PUODO i Prezes UODO odpowiedział na pytanie "Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów". Oczywiście w swoim Salomonowym stylu:
Może ale należy wskazać, że administrator przed powierzeniem IOD wykonywania innych zadań powinien dokonać analizy, czy IOD będzie w stanie wykonywać prawidłowo swoje obowiązki. Nieprzeprowadzenie analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.
Moją ciekawość wzbudziło inne zdanie:  "Na zakończenie warto zwrócić uwagę, że przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania.". 
Powtórzę, że się. RODO miało być inteligentną regulacją i zapewnić więcej ochrony a mniej dokumentacji. Ale zasada rozliczalności w rękach PUODO + system odwołań do WSA powoduje, że my IOD i Administratorzy toniemy w papierach, na wszystko musi być papier. Miało być lepiej a wyszło jak zawsze.

Na koniec Ciekawostki z prawa handlowego
Nie wiem który eugeniusz wpadł na pomysł, żeby wnioski do KRS składać co do zasady, tylko elektronicznie. "Gratuluję" ministrowi - nigdy tak długo nie czekało się na wpis do KRS. Jak nie umiesz zarządzać to nie dotykaj bo popsułeś. 
 
Po tzw. Prostej Spółce Akcyjnej, mamy w Sejmie kolejny "genialny" projekt zmiany Kodeksu Spółek Handlowych, autorstwa rządu - DRUK 1515. Szkoda tylko, że nie chcą się posłuchać ekspertów, profesorów i praktyków. Szykuje się kolejny bubel prawny, mimo że potrzeba mądrego prawa holdingowego.
 
Nowego Wału PiS nawet nie będę komentował bo nie chcę używać słów uważanych za wulgarne i obraźliwe. Ale najważniejsze skutki to:
1) jeszcze większe skomplikowanie skomplikowanego prawa podatkowego i wzrost ryzyka podatkowego,
2) skok na kasę przedsiębiorców i klasy średniej. Oczywiście bogaci i tak nie będą płacić de facto podatków,
3) skok na kasę samorządów by wziąć je głodem, co spowoduje wzrost opłat lokalnych lub spadek jakości usług komunalnych,
4) dalszy wzrost inflacji, która jest najwyższa w tym stuleciu i nadal rośnie. My biedniejemy ale rząd PiS się wyżywi.
 

czwartek, 9 września 2021

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 37

Podobno dobry film akcji zaczyna się od wybuchu wulkanu, a potem napięcie powoli rośnie.
Przez całe wakacje nie było ciekawostek z prawa handlowego. Czas więc najwyższy na kolejny odcinek.
 
Zaczynamy od ciekawostek z COMPLIANCE
 
Szanowni Państwo, uprzejmie informuję, że zostało powołane Praktycy Compliance Stowarzyszenie (LINK do strony stowarzyszenia). Główne cele Stowarzyszenia to:
1) integracja środowiska Compliance i wymiana wiedzy oraz doświadczeń. Głównie praktycznych, bo jesteśmy praktykami i bierzemy udział w tworzeniu tej praktyki,
2) edukacja podmiotów z sektora publicznego i prywatnego oraz Społeczeństwa czym jest Compliance.
 
Jednocześnie Stowarzyszenie chce pomagać praktycznie rozwiązywać problemy podmiotów z sektora publicznego i sektora prywatnego. Dlatego planujemy świadczyć usługi szkoleniowe, wdrożeniowe i audytowe w następującym zakresie:
1) kanały sygnalizowania i ochrona sygnalistów,
2) przeciwdziałanie korupcji i konfliktowi interesów,
3) etyka,
4) systemy zarządzania zgodnością (compliance),
5) ochrona danych osobowych,
6) bezpieczeństwo biznesu,
7) zarządzanie kryzysowe,
8) komunikacja biznesowa.

Mam zaszczyt i przyjemność być wśród ojców założycieli stowarzyszenia oraz był członkiem pierwszego Zarządu.

Skoro już jesteśmy przy Compliance, to należy powiedzieć też parę słów o sygnalistach. Dla mnie sygnalista to ktoś kto nie odwraca wzroku od zła ale je zgłasza. I znalazłem takie fajne narzędzie:
Każdy obywatel może napisać, wysłać zdjęcia i filmiki o wykroczeniach i przestępstwach. Tym samym może poprawić bezpieczeństwo w swojej okolicy. Podkreślam to nie jest kablowanie (bo to jest nasze Państwo - nie jesteśmy już pod zaborami) a reagowanie obywatelskie na łamanie prawa.
Narzędzie można też wykorzystać w innych celach, np. do poinformowania gmin gdzie trzeba załatać dziury w jezdni.

W tym roku pojawiły się dwie nowe normy ISO dotyczące Compliance. Polecam artykuł o nich - LINK 

Grupa Innowacji Samorządowych, działająca przy Śląskim Związku Gmin i Powiatów przygotowała projekt Procedury zgłaszania przypadków nieprawidłowości oraz ochrony osób dokonujących zgłoszeń. Brawo za inicjatywę. Niestety rząd nadal nie przygotował projektu ustawy - zostało już tylko około 100 dni na wdrożenie dyrektywy. Cieszy mnie, że chociaż samorządy coś robią w tym temacie.

Przypominam, że w związku z ostatnimi zmianami w AML (ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu) praktycznie wszystkie biura księgowe (rachunkowe) w Polsce muszą wykonywać szereg dodatkowych i trudnych obowiązków.

Czas na ciekawostki z RODO

Pojawiło się sprawozdanie roczne Prezesa OUDO. Znajdziemy je TU. Widać, że urząd działa coraz sprawniej, a ludzie są coraz bardziej świadomi swoich spraw i np. składają coraz więcej skarg.

Niderlandzki organ nadzoru wypowiedział się na temat pozycji IOD. IOD powinien:
1) być niezależny,
2) posiadać odpowiednie zasoby,
3) powinien być o wszystkim bezzwłocznie informowany (od samego początku procesu)
IOD pełni funkcję nadzorczą i doradczą. Nie powinien więc wykonywać obowiązków za Administratora. 
Organ stwierdził, że w jego ocenie niemożliwe jest łączenie stanowiska IOD ze stanowiskiem szefa finansów, strategii, marketingu czy IT. Co ciekawe wskazał, że stanowisko IOD nie może być łączone również ze stanowiskiem inspektora bezpieczeństwa informacji lub prawnika organizacji.
Za spełnienie powyższych warunków odpowiada najwyższe kierownictwo.

Kończymy ciekawostkami z prawa handlowego - mamy kolejny projekt zmian Kodeksy Spółek Handlowych (widzę, że nas rząd zapomniał, że kodeksy powinno się rzadko zmieniać). Tym razem wymyślili sobie nowe prawo holdingowe. Idea słuszna, bo mająca rozwiązać realny problem. Niestety wykonanie jak zwykle ostatnio do niczego. Szerzej omówię jak się nim zajmie Sejm. Bo projekty rządowe to jeszcze nie prawo.

Na zakończeniu po raz kolejny ustawa o publicznym transporcie zbiorowym nie wejdzie pełni w życie. Ja po 5 latach straciłem już nadzieję, że to się stanie. Szkoda można było uratować wiele PKS`ów i wiele linii powiatowych. Z winy PiS publiczny transport zbiorowy w większej części tzw. Polsce powiatowej umarł, choć już wcześniej był w fatalnym stanie.



środa, 23 czerwca 2021

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 36

Czas na kolejny odcinek ciekawostek z prawa handlowego i nie tylko.
 
Zaczynamy od ciekawostek z Compliance. 
 
Dziś, 23 czerwca 2021 r. jest międzynarodowy dzień sygnalisty. 
 
O sygnalistach pisałem wielokrotnie.  Polecam dwa posty:
 
Sygnaliści nadal nie mają w Polsce ochrony ustawowej. Nowej ustawy o odpowiedzialności podmiotów zbiorowych, ani ustawy wdrażającej dyrektywę o sygnalistach ani widu ani słychu. A tu zostało mniej niż 6 miesięcy na wdrożenie systemów whistleblowing`owych w sektorze publicznym i w dużych przedsiębiorstwach.
 
Jeżeli ktoś potrzebuje pomocy ekspertów we wdrażaniu systemów Compliance lub systemu dla sygnalistów to zapraszam do kontaktu.
 
Jeżeli ktoś szuka wiedzy polecam największy zbiór artykułów o Public Compliance (i w ogóle o Compliance) znajdzie go TU.  
 
Ostatnio coraz więcej mówi się o ESG (E – środkowisko (environmental), S - Społeczna Odpowiedzialność (social responsibility) i G - Ład korporacyjny (corporate governance) w biznesie. Osobiście uważam, że to nie tylko przyszłość ale i coś co powinno być obecne już dziś nie tylko w sektorze prywatnym ale również w sektorze publicznym. Na pewno do tematu ESG powrócę. 
 
Czas na ciekawostki z RODO
 
PUODO ogłosiło o paru ważnych rzeczach:
1) 27 czerwca 2021 wejdzie życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych  klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich - link
2)  27 czerwca 2021 r. zacznie obowiązywać decyzja Komisji Europejskiej dotycząca standardowych klauzul, jakie będzie można stosować w umowach powierzenia przetwarzania danych osobowych - link .
ADO i IOD gotowi do przeglądu umów?
 
I niech ktoś mi powie, że IOD nie musi non stop być czujny.

Czas na ciekawostki z prawa handlowego 
 
Wygląda na to, że od 1 lipca br.:
1) wnioski do KRS będziemy składali tylko elektronicznie (są wyjątki) - osobiście nie wiem po co likwidować tryb papierowy,
2) wchodzi w życie nowela KSH i będziemy mieli proste spółki akcyjne.

Niech moc Compliance i z RODO będzie z wami