Ciekawostki z prawa handlowego i nie tylko - odcinek nr 26

Nie wiem jak ty ale ja upływ czasu widzę po tym jak:

a) szybko rosną moje dzieci,

b) muszę znowu napisać ciekawostki z prawa handlowego.

Na szczęście lub nieszczęście materiału na ciekawostki jest zawsze dużo, a ostatnio aż za dużo.

Na szczęście z selekcją materiałów nie mam problemów. Choć oczywiście mój wybór jest czysto subiektywny. No to jedziemy

Po pierwsze przypominam, o obowiązku zgłaszania informacji o beneficjentach rzeczywistych do Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR). Nowe Spółki mają na to 7 dni od dnia wpisu podmiotów do Krajowego Rejestru Sądowego (KRS). Spółki wpisane do KRS przed dniem wejścia przepisów o CRBR mają czas do 13 lipca 2020 r.

W przypadku aktualizacji informacji przekazanych do KRS podmioty mają 7. dni od ich zmiany. 

Wszystkie informacje znajdziecie TU.

Ostatnio pisałem "Jak usprawnić pracę Rad Nadzorczych w spółkach prawa handlowego?".

Zostając w temacie Rad Nadzorczy przypominam członkom Rad Nadzorczych o:

1) Compliance i sygnalistach,

2) ochronie danych osobowych,

3) kulturze organizacyjnej,

4) zarządzaniu ryzykiem,

5) sukcesji na kluczowych stanowiskach (i nie mam tu na myśli tylko Zarządu),

6) cyberbezpieczeństwie,

7) CSR.

To według mnie takie 7 głównych priorytetów Rad Nadzorczych (kolejność dowolna). Niestety to też często siedem grzechów Rad Nadzorczych 

Jak już jesteśmy przy cyberbezpieczeństwie to Krajowa Izba Radców Prawnych upublikowała

"Księgę bezpieczeństwa" - (Link: - https://kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/).

Polecam lekturę. Przypominam, że każda kancelaria o cyberbezpieczeństwo MUSI dbać.

A pierwszym krokiem jest kultura i wiedza,

Co do wiedzy i Kultury. To w zakresie RODO ważną funkcję pełni to Prezes UODO. Wydaje on stanowiska. Dziś chciałbym na trzy z nich zwrócić wam uwagę:

1) Administrator, a  nie IOD, powinien opracować wewnętrzną politykę ochrony danych osobowych. IOD tylko doradza i nadzoruje - LINK - kiedyś uważałem inaczej, dziś PUODO i moi koledzy i koleżanki mnie przekonali do tego stanowiska. Znam sporo podmiotów, gdzie polityki opracowuje IOD,

2)  to nie IOD powinien nadawać upoważnienia ale Administrator, IOD tylko nadzoruje - LINK - bardzo ciekawa teza. Znam trochę podmiotów gdzie jest inaczej,

3) należy dopełniać obowiązku informacyjnego na mocy art. 13 i 14 RODO wobec osób upoważnionych do reprezentacji spółek np. członków zarządu (organów spółek) bądź osób uprawnionych do składania oświadczeń w imieniu określonego podmiotu - LINK - bardzo kontrowersyjne stanowisko PUODO. Jak na razie to uważam je za błędne. Ale na pewno będę się jeszcze zastanawiał co jest na rzeczy.

Mam wrażenie, że w zakresie ochrony danych osobowych zachodzą dwa niepokojące zjawiska. Z jednej strony lekceważenie ochrony danych osobowych przez coraz większą ilość podmiotów. Z drugiej strony narastający formalizm.

A przecież w RODO chodzi o ochronę praw i wolności osób fizycznych. A systemu ochrony danych powinny być adekwatne i elastyczne (reagować odpowiednio na zmiany).

Jako przykład lekceważenia RODO można wymienić bezpodstawne przetwarzanie danych osobowych przez Pocztę Polską na potrzeby wyborów 10 maja br (pisałem o tym TU).
Dziś wyczytałem, że Fundacja Panoptykon pozwała o to Pocztę. Brawo i trzymam za was kciuki. Zobaczymy jak się teraz zachowa PUODO. Czy zda ten test apolityczności i niezależności?

Na wdrożenie systemów przyjmowania zgłoszeń od Sygnalistów i podejmowania działań następczych zostało zgodnie z tzw. Dyrektywą o Sygnalistach 17 miesięcy. A na razie nawet projektu ustawy ani widu ani słychu. Tym samym ziszcza się czarny scenariusz. Abym się mylił.

Niech moc Compliance i RODO będzie z wami.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 25

Ostatnie 3 miesiące wszyscy pisali o Koronawirusie oraz tzw.  Tarczach (teraz szykują już czwartą tzw. Tarczę).

Przy okazji wprowadzano zmiany w innych ustawach (np. KSH co opisałem ostatnio - LINK)
Osobiście czekam na falę pozwów związanych z zamknięciem gospodarki przez Rząd. Myślę, że w wielu sytuacjach na podstawie Kodeksu cywilnego, przedsiębiorcy będą mogli żądać odszkodowania za szkody powstałe w czasie epidemii od Skarbu Państwa lub innego podmiotu wykonującego władzę publiczną. 

W dniu 10 maja br. miały być wybory. Ale zostały przełożone przez Jarków bez żadnego trybu. Kilkadziesiąt milionów wydane na karty do głosowania, wydrukowanych bez podstawy prawnej zostały wyrzucone w błoto. I nikt nie poniósł kary. To pokazuje upadek praworządności i zasad w Polsce.

Człowiek przyzwyczaja się do wszystkiego. Z jednej strony to dobrze. Bo to pozwala nam przetrwać. Z drugiej to źle. Bo coraz mniej nas, jako Społeczeństwo oburza łamanie praworządności, hejt, chamstwo czy kłamstwa. Coraz mniej szanujemy i wierzymy władzy, organom i procedurom. 

Nie bądźmy obojętni i nie powtarzajmy błędów z przeszłości.

No ale to post z serii Ciekawostki z prawa.

CBA opublikowało Sprawozdanie z realizacji Rządowego Programu Przeciwdziałania Korupcji na lata 2018–2020 za pierwsze półrocze 2019 roku oraz raport Obszary przestępczości korupcyjnej w Polsce w latach 2018–2019.

EY Polska rozpoczął projekt "Jak być zawsze o krok przed oszustami, jeśli oni znają najlepsze skróty?". Na swojej stronie (LINK) opisują schematy działania oszustów. Polecam lekturę.

Podobno znowu trwają pracę nad nowelizacją KSH, podobno mają być zwiększone kompetencje Rad Nadzorczych oraz poprawione regulacje związane z funkcjonowaniem grup kapitałowych. Pożyjemy zobaczymy.

Ostatnio pisałem trochę o RODO (w tym o drugich urodzinach RODO) i Compliance.

Materiały o Compliance znajdziecie TU i TU

A materiały o RODO znajdziecie TU

Cały czas wszyscy czekamy na wdrożenie Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa. Czas mamy do grudnia 2021 r. Oby nie było tak jak z RODO. Na ostatnią chwilę i niekompletnie.

Przy okazji przypominam, że od 1 stycznia 2021 roku wchodzi w życie nowe Prawo Zamówień Publicznych.

I tyle w telegraficznym skrócie. Po prostu za dużo się dzieje

Dwa lata z RODO - małe podsumowanie

W dniu 25 maja 2020 r. miałem prowadzić szkolenie: "2 lata z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”".
Niestety wybuchła epidemia Koronawirusa i szkolenie odwołałem.

Ale ja jestem uparty, jeżeli vis maior znów mi nie przeszkodzi, w dniu 25 listopada poprowadzę szkolenie "2,5 roku z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”". Serdecznie zapraszam.

Zamiast świętować drugie urodziny RODO na sali, prowadząć szkolenie zdecydowałem się napisać dzień po urodzinach tego krótkiego posta.
Tradycyjnie rzecz ujmując: w tym tygodniu RODO skończyło dwa lata. Pora więc na małe podsumowanie.

Czy sprawdziły się moje przewidywania co do RODO-ERY? Jak pisałem w artykule "Co oznacza RODO-ERA?"
Dwa lata temu niepokoiłem się
1. że ustawodawca nie zdąży z ustawą przepisy wprowadzające ustawę o ochronie danych osobowych – ustawa ta pojawiła się ze sporym opóźnieniem. Usunęła sporą ilość sprzeczności lub luk prawnych ale nie wszystkie. W sumie jakoś to przeżyliśmy,
2. działalnością RODO - Trolli - czyli osób, które chcą nieuczciwie lub nieetycznie „zarobić” wykorzystując Państwa strach, niewiedzę lub błąd – o dziwo nie stało się to jakąś plagą. Może z uwagi, że PUODO nakłada kary rzadko i w miarę rozsądnej wysokości,
3. działalnością RODO-pieniaczy lub osób „Świętszych od Papieża” – spotyka się takie osoby ale nie jest to nagminne lub zbytnio uciążliwe,
4. brakiem wiedzy na temat RODO lub złym zrozumieniem RODO przez wiele podmiotów – niestety ta obawa się potwierdziła,
5. praktyką PUODO – na szczęście raczej wydaje ostrzeżenia, udziela upomnień i nakazuje dokonanie określonych czynności. Kar pieniężnych było niedużo.
 

Na co liczyłem w związku z RODO?
Liczyłem, że:
1. będziemy lepiej chronić nasze dane osobowe i czyjeś dane osobowe oraz że inni będą lepiej chronić nasze dane, a co najważniejsze odzyskamy kontrolę nad naszymi danymi osobowymi – jest progres ale nadal daleka droga przed nami. Świadomość rośnie ale za wolno,
2. szybko wyjdzie ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych – wiadomo, szybko nie wyszła. Idealna też nie jest,
3. PUODO raczej będzie edukował i ostrzegał niż karał, np. publikując rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych – sprawdziło się. Choć tych rekomendacji powinno być więcej, powinny być bardziej konsultowane z ekspertami i biznesem. Nad wyjaśnieniem swych motywów, np. dlaczego taka wysokość kary a nie inna też PUODO też powinno popracować. Ale w PUODO na ocenę dobrą zasłużył. Z plusem na zachętę,
4. pojawią się zatwierdzone kodeksy postępowania, o których mowa w art. 40 RODO – widział ktoś? Trwają nad nimi pracę, ale nie ma ich za dużo, Panie i Panowie do pracy!!!
5. pojawią się rzetelne podmioty certyfikujące – żaden się nie pojawił - PORAŻKA,
6. zamiast straszenia karami, będziemy rozmawiać jak lepiej chronić nasze prawa i wolności – faktycznie nie straszymy już karami, tylko rozmawiamy. A nawet co do STRACHU nastąpiło przegięcie w drugą stronę. Przedsiębiorcy i administracja zaczęła lekceważyć RODO. Bardzo mnie to niepokoi,
7. uda się zrealizować szczytne cele które stoją za RODO – wygląda na to że walka o ten cel nadal trwa.

Czego nie przewidziałem?
Nie przewidziałem, że:
1. PUODO podejmie decyzje budzące wątpliwość co do jego apolityczności. "Brak reakcji na bezprawne udostępnienie danych wyborców Poczcie Polskiej i wstrzymanie ujawnienia list poparcia do KRS niepokoi. PUODO ma dbać o nasze prawa i wolności a nie rządzących. Ma być świętszy pod tym względem od żony Cezara,
2. po dwóch latach będzie tyle niejasności z jednej strony a z drugiej takie lekceważenie RODO.

Na końcu parę rad:
1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji,
2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasoby,
3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga.

Przypominam o:
1 szkoleniu pracowników - to podstawa,
2. rocznych audytach,
3. pytaniu ekspertów jak ma się wątpliwości.

Niech moc RODO będzie z wami

Po co nam RODO?

Bardzo lubię przysłowie "Kto pyta, ten nie błądzi".

Jeżeli chcemy dojść do prawdy lub chociaż się do niej zbliżyć, to musimy pytać. 

W poście "Zasady przetwarzania danych osobowych zgodnie z RODO" cofnąłem się do podstaw. Do zasad, zgodnie z którymi mają być przetwarzane dane osobowe. Ale aby ludzie przestrzegali zasady muszą zrozumieć po co one są.

Zadajmy więc sobie parę pytań (oczywiście RODO powoduje o wiele więcej pytań, pomimo prawie dwóch lat obowiązywania, ale dziś wybrałem trzy):

1) Po co nam RODO? Przecież od 30 kwietnia 1998 r. obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Co oznacza, że w Polsce mamy 20 lat doświadczenia w ochronie danych osobowych.

2) Po co tak wysokie maksymalne kary w RODO?

3) Czy RODO zabije biznes w UE?

Ad 1) Po co nam RODO?

Należy zacząć od tego, że obecnie najcenniejszym surowcem są informacje i dane o nas oraz wiedza jak je efektywnie przetwarzać. Kto ma największe bazy danych i umie je efektywnie przetwarzać, ten ma władzę i olbrzymią przewagę nad każdym. Stety lub niestety straciliśmy kontrolę nad naszymi danymi. W wyniku czego zagrożone są nasze prawa i wolności. Ale co to ma o celów RODO? Już wyjaśniam.

RODO ma parę celów:

1) wzmocnienie ochrony naszych praw i wolności, w szczególności prawa do ochrony danych osobowych, 

2) umożliwienie nam odzyskania kontroli nad naszymi danymi osobowymi,

3) zharmonizowanie ochrony praw i wolności w UE,

4) stawienie czoła wyzywaniom związanym z szybkim postępem technicznym.

Ad 2) Po co tak wysokie maksymalne kary w RODO?

Aby kary były skuteczne, muszą po pierwsze być nieuchronne, po drugie bolesne. Kary w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa z perspektywy średniego lub małego przedsiębiorcy wydają się absurdalnie wysokie. Ale tak naprawdę to mają one robić wrażenie na GAFA (Google, Amazon, Facebook, Apple). Zapłata kary w wysokości 4%  całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego może zaboleć każdego, nawet członka GAFA.

Ja z tymi karami mam inny problem. Dwa lata temu wszyscy straszyli "Kup dokumentację zgodną z RODO albo zapłacisz karę 20 milionów EURO". A w RODO nie chodzi o kupno dokumentacji tylko wdrożenie i zarządzanie systemem ochrony danych osobowych. I nie powinno się tego robić ze strachu tylko z odpowiedzialności. No ale to wątek poboczny. Przed RODO, GIODO dawało symboliczne kary. Szczerze mówiąc nie miało "wielkiego kija" którym mogło by pogrozić tym co łamali prawo dotyczące ochrony danych osobowych. PUODO taki wielki groźny kij ma. Na szczęście używa go rozsądnie i oszczędnie. Niestety nie tłumaczy najlepiej dlaczego jeden podmiot dostał karę, a drugi nie oraz dlaczego kara była w tej wysokości a nie innej.

Ta pozorna absurdalność kary oraz brak wiedzy za co, kiedy i jaka grozi kara powoduje, że wiele podmiotów albo lekceważy RODO i przestało odpowiednio zarządzać systemem ochrony danych osobowych (o ile w ogóle go wdrożyło).

Ad 3) Czy RODO zabije biznes w UE?

Tak jak pisałem na początku, najcenniejszym surowcem są informacje i dane o nas oraz wiedza jak je efektywnie przetwarzać. Obecnie największe bazy danych ma GAFA. I jedynie GAFA wie jak je efektywnie przetwarzać. No jest jeden wyjątek - chińczycy. Oni mocno starają się przegonić świat w tym zakresie.

Wracając do GAFA, to w chwili obecnej mają oni taką przewagę, że żaden podmiot nie ma szans ich dogonić lub przegonić. Do tego, każdy podmiot, który może im zagrozić po prostu wykupują.

UE stara się by jej obywatele odzyskali kontrolę nad swoimi danymi, a firmy unijne miały szansę rozwoju i konkurowania nawet z GAFA. Jednym z narzędzi do realizacji tego celu jest RODO.

Dlatego RODO i inne planowane regulacje są szansą dla biznesu w UE, a nie zagrożeniem.
No chyba, że ktoś zbudował biznes na nielegalnym przetwarzaniu naszych danych. Wtedy ma problem.

Ochrona danych osobowych podczas pracy zdalnej

Urząd Ochrony Danych Osobowych przygotował powyższę grafikę jak chronić dane osobowe podczas pracy zdalnej. 
A oto LINK do artykułu na stronie PUODO.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 22

Kiedyś przeczytałem powiedzenie "Nauka ma gorzkie korzenia ale słodkie owoce". O ile nie zgadzam się z pierwszym członem (bo osobiście lubię się uczyć) o tyle w pełni zgadzam się z drugim.
O roli EDUKACJI napisałem dosadnie w krótkim poście: "Co powinno wisieć nad biurkiem top kierownictwa? - napis "Edukacja głupcze".
Jeżeli już jesteśmy przy edukacji, to polecam szkolenie: "2 lata z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”, które poprowadzę w dniu 25 maja 2020 r. Serdecznie zapraszam!

Wyrokiem z dnia 28 lutego 2020 r. Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję Prezesa UODO nakładającą administracyjną karę pieniężną w wysokości 55 750,50 zł. na Dolnośląski Związek Piłki Nożnej. Jestem ciekaw czy będzie orzeczenie NSA w tej sprawie.

Przy okazji cieszy mnie wstrzemięźliwość PUODO w nakładaniu kar - parę w czasie prawie 2 lat.

 

Jeżeli już jesteśmy przy RODO i powoli przechodzimy na Compliance to chciałbym zwrócić twoją uwagę na parę rzeczy:
1) cyberbezpieczeństwo to podstawa systemów Compliance, w tym Systemów Zarządzania Bezpieczeństwem Danych Osobowych. Nie warto lekceważyć ryzyk związanych z przestępstwami komputerowymi,
2) nowoczesne oprogramowanie, a w przyszłości AI będą bardzo dużym wsparciem dla oficerów Compliance, zawodowych prawników i IOD`ów.

Prosta Spółka Akcyjna wejdzie do obrotu rok później, nie 1 marca 2020 r. a 1 marca 2021 r.. Jest to związane m.in. z opóźnieniem we wdrożeniu e-KRS. LINK do ustawy. Swoją drogą w tej ustawie znajdziecie więcej zmian dotyczących procedury cywilnej, Kodeksu Spółek Handlowych itp.

Ręka w górę kto jeszcze nie słyszał o Centralnym Rejestrze Beneficjentów Rzeczywistych?
Jest ktoś taki? TO POBUDKA.
Spółki, które zostały wpisane do KRS przed dniem 13 października 2019 r., mają obowiązek zgłosić informacje o beneficjentach rzeczywistych do 13 kwietnia 2020 r.
Podmioty, które zostały wpisane do KRS po 13 października 2019 r., mają obowiązek zgłosić dane beneficjenta rzeczywistego nie później niż w terminie 7. dni od dnia wpisu do KRS.
Tu macie LINK i LINK. Ciekawej lektury.
Możemy obserwować, jak powoli jest tworzone e-Państwo. Szkoda tylko, że tak powoli. Drugi minus to taki, że likwiduje się jednocześnie sprawdzone metody. Obywatel i podmioty zbiorowe powinny mieć wybór czy chcą składać wnioski elektronicznie czy papierowo.

Przypominam o ustawie z dnia 19 lipca 2019 r. o zmianie niektórych ustaw w celu ograniczenia zatorów płatniczych.

Więcej o powyższych ustawach może napiszę później. Niestety ciekawych tematów jest dużo a czasu mało. Dlatego postaram się pisać regularnie o Compliance (przypominam o FAQ o Compliance) i RODO.  Natomiast o innych rzeczach będę tylko sygnalizował. Ewentualnie pisał więcej jak czas pozwoli.

Niech Compliance będzie z wami :-)

Zasady przetwarzania danych osobowych zgodnie z RODO

Jeżeli śledzisz mojego bloga lub mój profil na Linkedln wiesz, że zajmuję się m.in. Compliance i RODO. 

O ile ostatnio o Compliance i Sygnalistach piszę głównie na Inforze, o tyle dla odmiany o RODO piszę ostatnio tu na blogu.

Cztery najważniejsze, według mnie, moje posty o RODO w ostatnim czasie, to:
1) Poradnik: Co RODO zmieniło w polskim prawie – krótka ściąga
2) Półtora roku z RODO
3) Inspektor Ochrony Danych - kiedy musi być, kim powinien być a kim bywa - czyli 7 pytań o IOD`a
4) Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować? 

Tak się zastanawiałem o czym napisać i stwierdziłem, że cofną się do podstaw. Do zasad, zgodnie z którymi mają być przetwarzane dane osobowe.

Dane osobowe powinny być przetwarzane zgodnie z następującymi zasadami:

1) legalności tj. dane osobowe muszą być przetwarzane zgodnie z prawem,
2) rzetelności, tj. dane osobowe muszą być przetwarzane rzetelnie,
3) przejrzystości, tj. dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą (musi być spełniony obowiązek informacyjny),
4) celowości, tj. dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami,
5) proporcjonalności i minimalizacji danych, tj. dane osobowe muszą być przetwarzane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do realizacji celów, w których są przetwarzane,
6) prawidłowości, tj. dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane
7) ograniczenia czasowego, tj. dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
8) integralności tj. dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,
9) Privacy by desing tj. należy uwzględniać ochronę danych osobowych już w fazie projektowania,
10) Privacy by default tj. należy stosować domyślną ochronę danych,
11) rozliczalności, tj. Administrator musi być w stanie wykazać przestrzeganie powyższych zasad.

Zasad jest tylko lub aż jedenaście. 

W następnych postach będę dalej omawiał podstawy RODO.

Niech moc RODO będzie z wami

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 21

Jest takie starochińskie przekleństwo "Abyś żył w ciekawych czasach".

Niestety czasy nastały w Polsce bardzo ciekawe, a będzie pewnie jeszcze gorzej.

W takich czasach warto zainwestować w wiedzę, np. o Compliance.

Dlatego polecam szkolenie, które będę prowadził w dniu 10 lutego 2020 r. "Nowe zasady odpowiedzialności podmiotów zbiorowych – jak zbudować skuteczny system Whistleblowing`u i system zarządzania zgodnością (Compliance)". Z tego co słyszałem od organizatorów są jeszcze wolne miejsca.

Ponadto w dniu 28 lutego 2020 r. będzie można mnie spotkać, posłuchać i porozmawiać ze mną na Konferencji "SYGNALIŚCI W ORGANIZACJI".

Jeżeli jesteśmy już przy sygnalistach, to chciałbym również zwrócić uwagę, że UOKiK uruchomił program dla sygnalistów. Umożliwia on anonimowe zgłaszania i anonimowy kontakt z Sygnalistami. Zainteresowanym podaję LINK.

Pozostając w temacie sygnalistów, polecam lekturę stanowiska Rzecznika Praw Obywatelskich "Jak chronić sygnalistów w służbach mundurowych?". Mamy naprawdę dużo do zrobienia jako Państwo i Społeczeństwo do zrobienia w tym zakresie. Przypominam, że Sygnalista to ktoś kto nie milczy w obliczu zła. Taka osoba zasługuje na szacunek i ochronę. A niestety w Polsce często spotykają ją działania odwetowe itd. Potrzebujemy na wczoraj dobrych przepisów w tym zakresie.

 

W nawiązaniu do Compliance i Sądów. Polska zajęła 41 miejsce w rankingu obrazującym percepcję korupcji przygotowanym przez Transparency International. To oznacza, że od paru lat spadamy w rankingu (w 2016 r. - 29 miejsce, 2018 r. - 36 miejsce). Jako jedną z przyczyn regresu autorzy wskazują dewastację sądownictwa. LINK

Wojewódzki Sąd Administracyjny w Warszawie stwierdził 20 stycznia br., że postanowienie zabezpieczające Prezesa Urzędu Ochrony Danych Osobowych nakazujące Kancelarii Sejmu powstrzymanie się z upublicznieniem list poparcia do KRS, nie ma zastosowania do sądów. Tym samym Sąd potwierdził opinie specjalistów od RODO w tym zakresie. Swoją drogą, parafrazując pewne powiedzenie, rzeknę, że "uczciwy jawności się nie boi". Skoro PiS robi wszystko co może, by nie ujawniać list poparcia do neoKRS to istnieje wysokie prawdopodobieństwo, że chce ukryć jakieś swoje poważne grzechy.

A skoro już jesteśmy przy tematach na pograniczu polityki i prawa, to w dniu 23 stycznia 2020 r. sędziowie trzech izb Sądu Najwyższego - Cywilnej, Karnej i Pracy podjęli uchwałę, że Sędziowie powołani na stanowiska na podstawie rekomendacji Krajowej Rady Sądownictwa utworzonej na podstawie ustawy z 8 grudnia 2017 r. nie są uprawnieniu do orzekania. Z zastrzeżeniem, że wyroki wydane przez tych sędziów do momentu podjęcia tej uchwały nie mogą być podważane. Z wyjątkiem, do zastrzeżenia, że orzeczenia Izby Dyscyplinarnej SN, od początku jej istnienia są dotknięte wadą i mogą zostać wzruszone. 

W tym miejscu chciałbym zauważyć, że PRAWO opiera się na pewnych uniwersalnych wartościach i nie może być podporządkowane bieżącym politycznym interesom. 

Najważniejsze wartości to: Równość, Wolność, Godność, Praworządność.

Nie wszystko podlega interpretacjom w zależności od chwili i potrzeby. Są pewne rzeczy, które uznajemy za fundament. Takim fundamentem Demokracji jest np. Trójpodział Władzy i niezależność Sądownictwa. Tam gdzie nie ma niezależnego Sądownictwa tam nie ma Demokracji, nie ma Wolności, Równości i Godności. Dlatego bardzo mnie cieszy uchwała Sądu Najwyższego, który staje w obronie praworządności i niezależności Sądów.

Pomimo, tego co mówi próbuje się wmówić ludziom tu nie chodzi o spór polityczny czy różnice w interpretacji. Tu chodzi o to czy chcemy być w kręgu kultury Zachodniej i członkiem UE (UE opartej na wspólnych wartościach, takich jak Wolność, Równość, Godność, Solidarność, Praworządność), czy też chcemy być w kręgu kultury Wschodu gdzie liczy się tylko SIŁA i AUTORYTARNA WŁADZA. Przypominam, tylko, że wschodnią Rosja tylko czeka by znowu podporządkować swoich sąsiadów (Białoruś już jest de facto pod kontrolą Rosji, w Ukrainie toczy się wojna, a Polska jest następnym celem).

Szanowni Państwo słuchajmy zdania autorytetów prawniczych: byłych sędziów Trybunału Konstytucyjnego, byłych sędziów Sądu Najwyższego, szanowanych profesorów, uchwał KIRP, NRA i Wydziałów Prawa. Stójmy po stronie uniwersalnych i najważniejszych wartości.

Parafrazując śp. Władysława Bartoszewskiego. Warto stać na straży wartości, choć nie zawsze się to opłaca. Opłaca się być koniunkturalistą, ale nie warto.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 20

Gdy zaczynałem parę lat temu serię postów "Ciekawostki z prawa handlowego i nie tylko" wyglądały one całkowicie inaczej. Dużo było o prawie handlowym, o prawie umów i o wyrokach Sądu Najwyższego.

A w ostatnich odcinkach serii jest dużo o ochronie danych osobowych i Compliance.

Nadal, choć mniej, piszę jednak o prawie handlowym, transporcie zbiorowym i zamówieniach in house.

Dwudziesty odcinek i koniec roku kalendarzowego skłania mnie do pewnej refleksji i podzielenia się z moimi czytelnikami częścią mych planów na przyszły rok.

Pomimo, że prowadzę bloga już ponad cztery lata refleksji na koniec roku oddaję się po raz pierwszy. Może dlatego, że rocznica bloga wypada w październiku i zawsze wtedy robię roczne podsumowanie (tu jest LINK do ostatniego).

Duża nowelizacja Kodeksu Spółek Handlowych, w tym wprowadzenie Prostej Spółki Akcyjnej (PSA) powinna w przyszłym roku zaowocować jakimś artykułem lub artykułami na ten temat. Na razie od paru miesięcy dumam po co jest PSA i jak wykorzystać tą Spółkę. Mówiąc szczerze na razie nie pałam entuzjazmem do tej Spółki.

Ostatnie orzeczenie TSUE na temat zamówień in house w publicznym transporcie zbiorowym i pojawiające się głosy praktyków i doktryny spowodowały, że planuję artykuł na temat "jak udzielić zamówienia w publicznym transporcie zbiorowym w dużym mieście". Czyli wrócę na chwilę do źródeł mego bloga.  

O sygnalistach piszę ostatnio  sporo na Inforze. I nadal tam będę publikował o Compliance. Coś tu jednak na blogu też się pojawi.

RODO - to nigdy nie kończąca się historia i obok Compliance rzecz która mnie jako prawnika najbardziej obecnie pasjonuje :-) spodziewajcie się więc kolejnych artykułów i informacji.

Ponieważ jestem molem książkowym, na pewno pojawią się kolejne recenzje książek. Średnio czytam jedną, dwie książki na tydzień ale nie recenzuję wszystkich. Dlaczego? A to już moja słodka tajemnica :-)

No ale starczy tego bajania czas na konkret :-)

RODO - na stronie PUODO pojawił się podręcznik dla IOD`ów - jeszcze nie czytałem ale wygląda na pozycję wartą przeczytania - LINK

COMPLIANCE - na Inforze coraz więcej moich artykułów. Inni eksperci też się budzą. A zegar tyka 

PUBLICZNY TRANSPORT ZBIOROWY - nasz DROGI ustawodawca kolejny raz przesunął o rok termin wejścia w życie (w pełni) ustawy o publicznym transporcie zbiorowym (LINK do ustawy). Czyli kolejny rok powiatowe publiczny transport zbiorowy będzie umierał. A raczej będę umierały jego resztki.
A wystarczyło by żeby:
1) ustawa w końcu weszła w pełni w życie,
2) wprowadzono możliwość dawania prawa wyłączności,
3) środki z tzw. ustawy pks`owej przekazano gminom i powiatom,
4) rozszerzono możliwość udzielania zamówień in house.

A przy okazji
SZCZĘŚLIWEGO NOWEGO ROKU

Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować?

Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować?
Przecież od 30 kwietnia 1998 r. obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Co oznacza, że w Polsce mamy 20 lat doświadczenia w ochronie danych osobowych.
Dla nikogo więc RODO nie powinno teoretycznie stanowić problemu. W końcu RODO to zmiana ewolucyjna, a nie rewolucyjna.

Niestety jest parę powodów, które powodują, że jest inaczej. Poniżej pokrótce je omówię.

1. niska kultura prawna - niestety to duży problem w Polsce. Wiele podmiotów nie zna lub nie rozumie prawa. Do tego, poprzednia ustawa o ochronie danych osobowych była lekceważona przez wiele podmiotów, a teraz wiele podmiotów lekceważy RODO,
2. zmiana filozofii w ochronie danych osobowych - RODO opiera się bardziej na filozofii anglosaskiej (ucierania się standardów) a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO,
3. brak jednoznacznych odpowiedzi - zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk, a poprzednio była check lista i wzory. To powoduje, że 19 lat doświadczenia może być obciążeniem a nie zaletą. Bo teraz nawet najlepsza dokumentacja nie załatwi problemu,
4. nowa ustawa o ochronie danych osobowych została uchwalona na ostatnią chwilę. Ponadto trzeba pamiętać, że RODO stosujemy wprost i ma ono pierwszeństwo przed polskim ustawami. Spowodowało to pojawienie się luk prawnych i sprzeczności pomiędzy normami. Niestety ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) weszła w życie dopiero 4 maja 2019 r. czyli prawie rok po wejściu w życie RODO. Pomimo nowelizacji ponad 160 ustaw luki i sprzeczności prawne nadal występują,
5. IOD`owie - niestety często byli to ludzie z łapanki. Niektórzy z nich obsługują kilkanaście lub kilkadziesiąt podmiotów. Często nie mają oni dostatecznych zasobów i pozycji by dobrze wypełniać swe obowiązki,
6. środki na wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych - wiele podmiotów traktuje to jako koszt a nie inwestycję w bezpieczeństwo. Co powoduje, że tnie te "koszty". A potem są problemy.
7. itd. 

O czym warto pamiętać, by RODO nie stanowiło problemów?

1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji
2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasobym,
3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA, 
6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga

A teraz mam szybkie pytanie na koniec: Kto was zrobił audyt powdrożeniowy?
Bo zakładam, że wdrożyliście RODO i nie polegało to tylko na kupnie dokumentacji.

Inspektor Ochrony Danych - kiedy musi być, kim powinien być a kim bywa - czyli 7 pytań o IOD`a

Dlaczego po ponad 18 miesiącach od rozpoczęcia obowiązywania RODO i kilkunastu własnych artykułach/postach, a po tysiącu artykułach innych autorów piszę ten post o Inspektorach Danych Osobowych (dalej IOD lub IOD`a)?

Bo z IOD`ami cały czas są problemy. A może im zaradzić tylko edukacja.

No dobra jedziemy z tematem. Takie podstawy podstaw.

1. Kto musi wyznaczyć IOD`a?

Zgodnie z RODO, administrator i podmiot przetwarzający wyznaczają IOD`a zawsze gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Oczywiście administrator podmiot przetwarzający, gdy nie mają takiego obowiązku, to zawsze mogą powołać IOD'a. Zachęcam do tego zwłaszcza średnie i duże podmioty.

2. Czy IOD`em można być w paru podmiotach?

Tak, można. 

Po pierwsze grupa przedsiębiorstw może wyznaczyć jednego IOD`a, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej i analogicznie  dla kilku organów lub podmiotów publicznych można wyznaczyć, z uwzględnieniem ich struktury organizacyjnej i wielkości, jednego IOD`a. 

Po drugie nikt z IOD`ami nie podpisuje umowy na wyłączność i bywa, że jedna osoba jest IOD`em w kilku, kilkunastu a rekordziści w kilkudziesięciu podmiotach.

W tym miejscu mam tylko jedno pytanie. Jak można należycie wykonywać swoje obowiązki IOD`a w kilkudziesięciu podmiotach? Notabene położonych czasami w różnych miastach.

Czyżby IOD władał mocą bycia równocześnie w paru miejscach.

3. Czy IOD musi być pracownikiem czy mogę to zlecić na zewnątrz? Jakie powinien mieć kompetencje?

IOD może być pracownikiem lub może wykonywać na podstawie umowy o świadczenie usług. 

IOD powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

IOD może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Niestety bardzo często IOD wykonuje inne zadania i obowiązki, np. informatyka, co powoduje konflikt interesów. 

W sumie tylko łączenie funkcji IOD`a z oficerem compliance rodzi małe ryzyko braku konfliktu interesów.  

4. Jaki powinien być status IOD'a w podmiocie?

IOD powinien bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Jednocześnie powinien być w stałym kontakcie z wyższym kierownictwem.

IOD powinien mieć zapewnione wsparcie, w wypełnianiu swoich zadań, przez Administratora lub podmiotu przetwarzającego. W szczególności Administrator lub podmiot przetwarzający zapewniają IOD`owi zasoby niezbędne mu do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej (IOD powinien cały czas się szkolić).

Administrator lub podmiot przetwarzający są zobowiązani właściwie i niezwłocznie włączać IOD`a we wszystkie sprawy dotyczące ochrony danych osobowych.
Administrator lub podmiot przetwarzający nie mogą IOD`owi dawać instrukcji dotyczących wykonywania jego zadań. 

Administrator lub podmiot przetwarzający nie mogą odwołać ani karać IOD`a za wypełnianie przez niego swoich zadań. Ale za nie wykonywanie lub nienależyte wykonywanie według mnie już mogą.

IOD powinien znać swoją organizację, jej procesy oraz przepisy branżowe.

IOD musi mieć zmapowane dane w organizacji, co powinno znaleźć odzwierciedlenie w stosownych rejestrach. 

We współpracy z IOD`em powinna być przygotowana odpowiednia dokumentacja. Obecnie toczy się dyskusja czy dokumentację, w tym polityki powinien pisać IOD czy tylko służyć w tym zakresie radę i to nadzorować. Przeważnie to IOD pisze dokumentację. Sam tak uważałem jeszcze jakiś czas temu. Teraz jednak uważam, że powinien tylko nadzorować sporządzanie dokumentacji i służyć radą w trakcie jej tworzenia.

IOD powinien regularnie szkolić pracowników. 

IOD powinien monitorować, sprawdzać, i wspierać.

IOD powinien być niezależny i mieć odwagę powiedzieć NIE.

IOD powinien pamiętać, że jego praca nigdy się nie kończy. Systemem Bezpieczeństwa Danych Osobowych trzeba zarządzać i non-stop go aktualizować i poprawiać.
 

Niestety pomiędzy tym co powinno być a jest, często jest spora różnica. Wystarczy spytać IOD`a czy ma numery telefonów komórkowych wyższego kierownictwa i jaki ma budżet na szkolenia by zwykle wyszło szydło z worka.

5. Co z kontaktem z  IOD`em?

Administrator lub podmiot przetwarzający publikują dane kontaktowe IOD'a i zawiadamiają o nich PUODO.
Osoby, których dane dotyczą, mogą kontaktować się z IOD`em we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

6. Jakie są zadania IOD`a?

IOD ma następujące zadania:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów  o ochronie danych i doradzanie im w tym zakresie,
• monitorowanie przestrzegania RODO i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. Ponadto monitoruje m.in.: podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania, powiązane z tym audyty itp.,
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie ich wykonania zgodnie z RODO,
• współpraca z PUODO,
• pełnienie funkcji punktu kontaktowego dla PUODO w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyk związanych z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

Tyle przepisy Rozporządzenia. Pytanie czy coś więcej mamy w nowej ustawie o ochronie danych osobowych.

Ustawa tylko uszczegóławia tylko zapisy RODO, tj.

• przez organy i podmioty publiczne obowiązane do wyznaczenia IDO rozumie się jednostki sektora finansów publicznych, instytuty badawcze i NBP,
• podmiot, który wyznaczył IOD`a, zawiadamia PUODO o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD`a oraz inne dane wymagane przez ustawę. Oczywiście o każdej zmienia należy poinformować PUODO, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania,
• podmiot, który wyznaczył IOD`a, udostępnia jego dane (imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD`a) niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności - bardzo częstą praktyką jest podawania tylko adresu email, co według mnie jest błędną praktyką,
• podmiot, który wyznaczył IOD`a, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności o czym zawiadamia PUODO.

7. Kto odpowiada za ewentualne naruszenie? IOD czy Administrator?
 

Zawsze Administrator. Zatrudnienie IOD`a nie zwalnia go z odpowiedzialności. Ale zatrudnienie właściwego IOD`a, zapewnienie mu odpowiedniej pozycji w organizacji itd. pozwala zmniejszyć ryzyko Administratora. 

Niestety Administratorzy traktują często IOD`a jak zło konieczne, oszczędzają na nim ile mogą i go lekceważą. A powinni traktować go jak partnera i bezcenne wsparcie na którym nie opłaca się oszczędzać.