Luźne przemyślenia prawnika - część 14 - Za co płacisz prawnikowi i czego nie da ci AI

W weekend uświadomiłem sobie dwie rzeczy:

1) już w 2023 r, pisałem o Legal Design i prostym języku (nie używając tych pojęć) w poście "Luźne przemyślenia prawnika - część 13 - prostota vs Bizancjum"

2) stworzyłem całkiem fajny cykl o byciu prawnikiem, a potem zostawiłem go na 3 lata - polecam "Luźnym okiem prawnika - część 12 - skąd idą i dokąd zdążam? ". I teraz tak czytam po 3 latach i stwierdzam, że jestem ofiarą własnego sukcesu. Bo dostaję kolejne zadania, a ponieważ daję radę to dostaję kolejne. Jednocześnie cały czas napędza mnie ciekawość, żądza działania i sprawdzania się. 

 

No ale czas napisać kolejny odcinek cyklu. Tym razem "Za co płacisz prawnikowi i czego nie da ci AI". 

 Za co płacisz prawnikowi?

Najpierw dwie krótkie odpowiedzi:

1) za pomoc prawną,

2) za zmniejszenie ryzyk.

A tak w 10 punktach to płacisz m.in. za:

1) udzielanie porad i konsultacji prawnych,

2) sporządzanie opinii prawnych,

3) sporządzanie lub opiniowanie projektów pism, uchwał itp. 

4) opracowywanie i negocjowanie umów,

5) reprezentacja przed sądami powszechnymi, administracyjnymi i organami (pełnomocnik/obrońca), w tym sporządzanie i podpisywanie pism procesowych oraz prowadzenie czynności procesowych w toku sprawy,

6) stała obsługa prawna podmiotów i instytucji, 

7) pświadczanie odpisów dokumentów za zgodność z oryginałem,

8) szkolenia, 

9) mediacje 

10) negocjacje 

 

A ile kosztuje pomoc prawną?

Hmmm, różnie. Opowiem Ci dwie historie.

 

Ostatnio zadzwonił do mnie telefon. Średniej wielkości firma z Warszawy (ale z raz czy dwa miałem podobne rozmowy z firmami z miast powiatowych), że potrzebuje audytu systemu ochrony danych osobowych. Krótki wywiad by ocenić zakres prac (i OSINT) i podałem swoje wynagrodzenie oraz jak widzę wykonanie zlecenia - w sumie kilkanaście tysięcy plus VAT. Na co usłyszałem, że takie stawki to wołają od nich kancelarie Warszawskie a ja jestem z Łodzi. Do tego nie jestem dużą kancelarią. Spokojnie odpowiedziałem, że w sumie ma Pani rację i zmieniam wycenę na dwadzieścia parę tysięcy plus VAT bo:

a) muszę dojechać na dwudniowy audyt do Państwa i gdzie się przespać. Dziękuję za przypomnienie, że mam świadczyć usługi na miejscu i poza Łodzią,

b) jestem widocznie lepszy niż duże kancelarie Warszawskie, skoro do mnie Państwo dzwonią, a za jakoś się płaci.

Pani się rozłączyła bez słowa.

Na szczęście już od paru lat nie muszę obsługiwać buraków. Wyrobiłem sobie markę i renomę, więc na brak ciekawych lub dobrze płatnych zleceń nie narzekam (najchętniej biorę i ciekawe i dobrze płatne). Do tego mam paru klientów wiernych mi od dekady, którym zawsze mogę.

Inna historia - dzwoni klient i pyta ile kosztuje wdrożenie systemu ochrony danych osobowych. Parę pytań i podaję kwotę (10 000 + VAT). Na co słyszę, że radca od nich dał im ofertę, że sprzeda im dokumentację za 5000 zł. Życzyłem powodzenia dodając, że ja pomagam wdrożyć system a nie sprzedaję dokumentacji. I jak klient będzie gotowy do wdrożenia systemu to zapraszam ponownie.

Parę rzeczy jednak niepokoi mnie na rynku prawnym (i nie jest to AI).

Po pierwsze nieuczciwa i niezgodna z prawem konkurencja polegająca na świadczeniu pomocy prawnej przez spółki z o.o. lub spółki akcyjne (bywa że zakładane przez radców prawnych lub adwokatów co stanowi naruszenie ustaw o naszych zawodach).  Często z naruszeniem praw konsumentów i konkurenci. 

Po drugie zdarzająca się rywalizacja ceną a nie jakością wśród prawników. 

Po trzecie branie się przez moich kolegów i koleżanki za sprawy w których brak im doświadczenia. Naprawdę jak ktoś zna się na RODO (nawet ma doktorat lub profesora z tego) to nie znaczy np. że zna się też na sygnalistach.

A potem słyszę lub czytam np. że pracownik zgłaszający korupcję nie jest sygnalistą jeżeli dokonał w dobrej wierze, w związku ze swą pracą, zgłoszenia w sposób nie przewidziany w wewnętrznej procedurze przyjmowania zgłoszeń wewnętrznych, np. wysłał list lub emaila do oficera Compliance zamiast skorzystać z dedykowanej aplikacji do zgłoszeń. A uzasadnienie jest takie, że nie jest sygnalistą mimo spełnienia przesłanek ustawowych bo "nie zgłosił kanałem przewidzianym w procedurze".

Serio?

A jak nie ma procedury i sygnalista dokona zgłoszenia np. korupcji to co nie jest sygnalistą.

Ja mam zasadę nie znam się to nie przyjmuję zlecenia ale polecam eksperta (o ile znam). Nie znam się praktycznie i teoretycznie na zagadnieniu - to z tego nie szkolę ani nie mówię o tym na konferencjach.

Niestety nie wszyscy tak mają.

Ale co ci da prawnik a nie da AI?

Radca prawny i adwokat mają OC i ponoszą odpowiedzialność. A AI nie.

Radca prawny i adwokat są w stanie zrozumieć kontekst, zwrócić uwagę na ryzyka lub skutki o których AI nigdy ci nie powie.

Z radcą prawnym i adwokatem możesz porozmawiać a z AI nie.

Radca prawna i adwokat mogą cię reprezentować w sądzie, w tym realnie uczestniczyć w rozprawie i reagować na dynamiczny przebieg posiedzeń, a AI nie.

Radca prawna i adwokat mają tajemnicę zawodową, a AI nie.

Radca prawna i adwokat są w stanie opracować kompleksową strategię procesową i ocenić wiarygodność dowodów/świadków, a AI nie.

Radca prawna i adwokat są w stanie prowadzić negocjacje i mediacje wymagające umiejętności interpersonalnych, a AI nie.

Radca prawna i adwokat  mają dostęp do akt sprawy oraz mogą dokonywać czynności zastrzeżonych dla pełnomocników zawodowych.

Radca prawna i adwokat bywają kreatywni, a AI nie.

 

Temat AI będę kontynuował. 

Niech moc sprawiedliwości i prawa będzie z wami.

Recenzja książki "Systemy zarządzania zgodnością Compliance w praktyce" pod redakcją Bartosza Makowicza i Bartosza Jagura

 

Dziś recenzja książki pod redakcją  Bartosza Makowicza i Bartosza Jagura "Systemy zarządzania zgodnością Compliance w praktyce".

Ale najpierw drobna dygresja. Ponad 10 lat temu były trzy książki o Compliance po polsku:

1)   "Compliance w przedsiębiorstwie" z 2011 r. Bartosza Makowicza - RECENZJA 

2)  "Nadużycia w firmach Vademecum - zapobieganie i wykrywanie" Joseph T. Wells - RECENZJA

3)  „Jak kraść? Podręcznik złodzieja” - Kazimierza Turalińskiego - RECENZJA 

Niewątpliwie brakowało książek o Compliance,

W 2020 r. wyszła książka  "Systemy zarządzania zgodnością Compliance w praktyce". Pierwsze tak kompleksowe i praktyczne ujęcie tematyki Compliance. W sumie 19 współautorów, 15 rozdziałów. 

Dziś książek o Compliance jest kilkanaście pozycji (postaram się napisać recenzję większości z nich).

Dobra jedziemy z recenzją. Najpierw test śpiocha. Widać, że redaktorzy starali się ujednolicić stosowany język, natomiast po pierwsze nie do końca im się to udało, a po drugie widać maniery publicystów naukowych. Książka nie porywa. Na szczęście poza nielicznymi fragmentami też nie usypia. Te pięćset stron nie da się jednak przeczytać na raz. Z testu śpiocha 3+.

Dla kogo ta książka? Hmmm, pamiętam jak ta książka pojawiła się w 2020 r. i rozmawiałem o niej ze śp. Krzysztofem Krakiem. Powiedział on wtedy: "Instytut Compliance strzelił sobie w kolano - zamiast iść na kurs Approved Compliance Officer (ACO) można sobie kupić ich książkę i wszystkiego dowiedzieć się z niej.". W przypadku kursów stacjonarnych oprócz twardej wiedzy na wykładach bezcenna była wiedza z kuluarów i znajomości oraz relacje powstałe w ciągu 4 dni kursu. W przypadku kursów ACO online, na których brak wiedzy z kuluarów i w trakcie których nie wykuwają się relacje tak jak na kursach stacjonarnych, całkowicie zgadzam się ze śp. Krzysztofem. 

To książka dla osób wchodzących w zawód Compliance. Doświadczeni oficerowie Compliance mogą ją potraktować jako pewne przypomnienie podstaw. Warto jednak zauważyć, że książka ma 5 lat.  Nie ma już normy ISO 19600 (jest za to parę nowych), pojawiła się ustawa o ochronie sygnalistów i cały szereg nowych norm prawnych. Do tego nawet ochrona danych osobowych wygląda dziś ciut inaczej. Mimo tego książka się całkiem nieźle zestarzała. Nadal jest aktualna w jakiś 75%, a te pozostałe 25% pokazuje nam ewolucję Compliance.

Za merytorykę stawiam jej mocne 5 +.

W sumie książkę mimo upływu lat oceniam na 4 + (ten plus na zachętę)

A prywatnie mam kupionego ebooka i egzemplarz papierowy. Jeden egzemplarz papierowy też kupiłem dla moich ludzi z działu. To o czymś świadczy.

Czy czytać?

CZYTAĆ

 Niech moc Compliance będzie z wami. 

Czy warto kupić? Nie wiem, na rynku jest już kilka nowszych i bardziej aktualnych pozycji. Ale o nich napiszę w przyszłości. 

Recenzja książki "Compliance - ryzyko odpowiedzialności karnej w działalności gospodarczej" pod redakcją Roberta Zawłockiego

Dziś recenzja książki pod redakcją Roberta Zawłockiego "Compliance - ryzyko odpowiedzialności karnej w działalności gospodarczej". Książka wydana w 2022 r. więc ciut nieaktualna bo wyszła ustawa o ochronie sygnalistów ale poza tym nie straciła na aktualności (w większości).

 

Książka jest o Compliance (W każdym razie o jego wycinku) i ma 8 rozdziałów:

Rozdział 1. Ryzyko karnoprawne w działalności gospodarczej 

Rozdział 2. Compliance w działalności gospodarczej 

Rozdział 3. Zarządzanie zgodnością i ryzykiem nadużyć w oparciu o sygnalizowanie naruszeń 

Rozdział 4. Wewnętrzne postępowanie wyjaśniające a należyta staranność w kontekście dyrektywy UE o ochronie sygnalistów

Rozdział 5. Postępowanie wyjaśniające a biały wywiad

Rozdział 6. Zabezpieczenie oraz analiza danych i dowodów elektronicznych w wewnętrznym postępowaniu wyjaśniającym

Rozdział 7. Przeciwdziałanie nadużyciom i ich wykrywanie. Kluczowe aspekty i typowe błędy

Rozdział 8. Karnoprawne znaczenie systemów compliance i audytu śledczego

i ma 11 autorów. I to widać i czuć. 

 

Najpierw test śpiocha. Przyznam się szczerze, że pierwszy rozdział to typowe, maksymalnie profesjonalne, napisane tradycyjnym językiem prawniczym rozważania prawnokarne. Poczułem się jak na studiach. I wiele razy usnąłem nad nim. Potem na szczęście bywało lepiej. Pierwszy rozdział z testu śpiocha 2. Reszta od 3 do 5. Średnia z testu śpiocha 3 +. Szkoda, że redaktor nie zadbał o legal design oraz jednolitą formę językowa - profesjonalną ale lekko się czytającą.

 

Pod względem merytorycznym mocne 5. Były ciut mocniejsze rozdziały i były ciut słabsze ale zaznaczyłem sobie kilka rzeczy do wykorzystania a nie często się to zdarza ostatnio.

Choć to książka pisana przez prawników i praktyków compliance dla prawników i początkujących praktyków compliance.

 

Ocena końcowa - 4. 

 

Czy polecam tą książkę każdemu? Nie. Polecam tylko prawnikom lub  początkującym praktykom compliance.

 

Czy warto tą książkę kupić?

W 2022 r. było warto.  Obecnie moim zdaniem nie. No chyba, że ktoś ma spory budżet.

A co warto kupić? O tym w następnych recenzjach. 

 

Niech moc Compliance będzie z wami. 

Czy biznes powinien być apolityczny? A kadra zarządzająca? A compliance?

Czy biznes powinien być apolityczny?

Jakiś czas temu czytałem post, że biznes, właściciel, kadra zarządzająca i oficer Compliance powinni być apolityczni.

W tym ww. osoby prawne i osoby fizyczne nie powinny w socialmediach prezentować swych poglądów politycznych. 

Dlaczego?

1) Bo biznes ma robić tylko biznes i skupić się na wypracowaniu zysku. Liczy się tylko kasa misiu.

2) By nie dyskryminować pracowników. 

3) Pamiętaj, że jak zajmiesz stanowisko w jakieś politycznej sprawie to możesz podpaść władzy i ona udupi Twój biznes.

4) Bo tak każe etyka?

5) Bo stracisz pracowników?

Ad 1) Dla mnie biznes to nie tylko zysk ale przede wszystkim wartości. To właśnie oznacza:

a) przyjmowanie Kodeksów Etycznych i Kodeksów Etyki - prowadzenie biznesu zgodnie z wartościami

b) CSR

c) ESG 

d) DEI 

e) wsparcie praw człowieka 

f) przestrzeganie sankcji,

g) wsparcie Ukrainy

h) itd.

A teraz mamy z jednej strony podmiot - przedsiębiorcą, który wyznaje określone wartości i chce walczyć np. z katastrofą klimatyczną, wspierać niepełnosprawnych, osoby z doświadczeniem drogi (uchodźców lub imigrantów), a z drugiej strony mamy partie lub partię jawnie wyznającą inne wartości - popierającą dyskryminację mniejszości (niepełnosprawnych, LGBT itd.), zaprzeczającej katastrofie klimatycznej, straszących uchodźcami.

Obrona wartości przez przedsiębiorcę to będzie zajęcie jasnego stanowiska w polityce. 

Brak ich obrony to będzie hipokryzja.

Przy okazji, 100 lat temu wiele korporacji Niemieckich, Amerykańskich itd. współpracowało z Hitlerowcami bo liczył się zysk.

Dziś wiele podmiotów współpracuje z Ruskimi, w tym niektóre z Polski bo liczy się tylko kasa misiu. 

Czy tak postępuje etyczne podmioty?

Czy oficer Compliance powinien przymykać na to oko.

Jednocześnie wiemy z własnych doświadczeń, że w latach 2015-2023 spółki kontrolowane przez Skarb Państwa wspierały rządzącą partie i jej celem. Czyli jedno mają milczeć a drudzy mogą wykorzystać Spółki do swych politycznych celów i żerować na nich?

To jest niby Równość?

A biznes prywatny ma milczeć lub wspierać tylko tych co grożą? 

Ad 2) 

Dyskryminacja pracowników to nierówne traktowanie osób zatrudnionych, wynikające z cech, które nie powinny mieć wpływu na warunki pracy, takie jak płeć, wiek, religia, narodowość, niepełnosprawność, orientacja seksualna czy przekonania. Obejmuje to zarówno dyskryminację bezpośrednią, jak i pośrednią, a także molestowanie i nękanie w miejscu pracy.

Dopóki pracodawca nie przetwarza danych o poglądach politycznych pracowników (a co do zasady nie powinien) to nie widzę szans by poglądy polityczne Przedsiębiorstwa i top managementu, czy oficera Compliance dyskryminowały pracowników.

Ad 3) Strach przed mówieniem prawdy jest powszechny. Sam usłyszałem nie raz w latach 2015-23 "nie piętnuj grzechów władzy bo nie dostaniesz zleceń a i nas ich pozbawisz". 

Ten strach widać znów wraca.

Odwaga oznacza robienia tego co słuszne mimo strachu.

Owszem można dać sobie złamać kręgosłup. Można kierować się strachem. Tylko jak potem spojrzeć na siebie w lustrze

Poza tym strach tylko rozzuchwala agresora. Najpierw każe ci płacić haracz a potem zabierze Ci biznes.

Władza to zrobiła w Rosji czy na Węgrzech.

Chcemy tego samego w Polsce?

Czy w końcu biznes zacznie dbać o swoje przetrwanie. Bez praworządności i Demokracji biznes jest na łasce lub niełasce władzy. 

Ad 4) Etyka każe być apolitycznym urzędnikom, sędziom, służbom, mediom publicznym czyli sektorowi publicznemu - urzędnik, sędzia itd. ma podejmować decyzje zgodnie z prawem a nie zgodnie z interesem partyjnym.

Ale etyka nie każe być apolityczna biznesowi. Z jednym wyjątkiem - swoje usługi i towary sprzedaje nie pytając o przekonania polityczne klientów o ile nie łamie się przy tym prawa. Poza tym nie znam zasady Etyki nakazującej apolityczność biznesu. 

Za to wszędzie biznes wspiera różne partie. Byle by to robił zgodnie z prawem, jawnie i transparentnie. 

Poza tym należy odróżnić  politykę firmy od prywatnych przekonać członków Zarządu czy właścicieli. Choć powinny być one spójne z etyką podmiotu.

Ad 5) bo stracisz pracowników?

Hmmm. Pracowników nigdy nie straciłem z powodu swoich poglądów. Myślę, że pracodawcy nawet mogą zyskać jeżeli jawnie wspierają pewne wartości, np. prawa człowieka.

Natomiast straciłem paru partnerów biznesowych. Choć to był ich wybór. Jedni zachowali się w sposób bardziej Kulturalny. Drudzy mniej. No cóż. Wspólny biznes to zaufanie i wspólne wartości. Jeżeli tego nie ma to wspólny biznes nie ma sensu.

Nic nie poradzę na to, że skrajna prawica kopie głębokie rowy. Jednocześnie nie zamierzam ani nastawiać drugiego policzka ani milczeć w sytuacji gdy ważą się losy Polski.

Jednocześnie nie zamierzam milczeć czy tolerować neofaszyzmu, neonacjonalizmu, czy jak ktoś powtarza dezinformację czy propagandę Kremla. 

Na zakończenie dwie myśli:

1) "Do zwycięstwa zła, wystarczy milczenie dobrych ludzi" - "parafrazując do rządów złych ludzi wystarczy milczenie dobrych ludzi i dobrych przedsiębiorstw"

2) "11 przykazanie - nie bądź obojętny" - to dotyczy też biznesu - biznes, jak ludzie nie może być obojętny i milczeć.

Ostatnio widziałem jak neofaszyści i neonacjonaliści płakali, że się ich dyskryminuje.

Serio?

Faszyzm i nacjonalizm opiera się na dyskryminacji ludzi. Tę ideologie doprowadziły do śmierci milionów ludzi.

Tak jak komunizm, skrajna lewicowa ideologia jest zakazany przez prawo. Tak faszyzm, skrajna prawicowa ideologia jest też zakazany przez prawo.

Tyle że komunizm jest martwy.

A brunatna zaraza znowu podnosi głowę.

Płacze, że jest dyskryminowana, mimo że sama opiera się na dyskryminacji.

Mówi, że ma prawo głosić swą nienawiść i strach bo jest wolność słowa ale jednocześnie zamyka usta tradycyjnym mediom i biznesowi, każąc im być apolitycznymi lub je przejmując i zaprzęga do swej propagandy.   

Reasumując Biznes może milczeć i nie bronić wartości. Tylko, że gdy przyjdą po biznes, to nikt i nic go nie obroni. 

Siódma rocznica RODO

Dziś jest siódma rocznica RODO. RODO zostało opublikowane 9 lat temu, a obowiązuje 7 lata, od 25 maja 2018 r.

To było niezwykłe 9 lat. Najpierw wszyscy lekceważyli RODO. Potem 8 lat temu zaczęły się wdrożenia - żeby było ciekawie do dziś mam zlecenia na wdrożenia. W maju 2018 r. miałem pełny portfel zamówień aż do września. Druga połowa 2018 r. i pierwsza połowa 2019 r. to była hossa na szkolenia. Potem zapanowała cisza. Pojedyncze szkolenia i audyty. Bardzo pojedyncze.

O dziwo od dwóch lat znowu zaczął się ruch w interesie. Choć bądźmy szczerzy, że niewielki. Może dlatego, że UODO się uaktywniło i zaczęło wymierzać wysokie kary. Czasami absurdalnie wysokie jak 27 mln zł  dla Poczty Polskiej. Naprawdę chciałbym poznać politykę karania przyjęto przez UODO. Z prawa karnego wykonawczego wiem, że nie wysokość kary ale jej nieuchronność odstrasza od łamania prawa. Jednocześnie wiem, że edukacja jest najskuteczniejszą metodą zapobiegania. Osobiście jestem zdania, że:

1)  mam wrażenie, że UODO stwierdziło, iż będzie nakładało maksymalnie wysokie kary by zastraszyć podmioty. Naprawdę nie da się wydawać zaleceń lub symbolicznych kar? Jak nie wiecie jak to zrobić to spytajcie się Praktyków Compliance.

2) nadal leży edukacja. Naprawdę UODO nie może opublikować wzorców dla różnych kategorii podmiotów. Pomijam ile kasy poszło na szatę graficzną ostatniego poradnika i jednocześnie UODO już opublikowało wyjaśnienie do poradnika i organizuje kolejne webinary. 

3) UODO utkwiło mentalnie w ustawie o ochronie danych osobowych z 1997 roku. Nadal UODO stosuje checklisty by sprawdzić czy ktoś jest zgodny z RODO, mimo że RODO wymaga by podejmować adekwatne środki techniczne i organizacyjne.

4) następny absurd to wymaganie by każde zagrożenie, było szczegółowo uwzględnione w analizie ryzyk. Ostatnio UODO ukarało firmę pogrzebową za to, że nie przewidziała, że niekompetentny pracownik zgubi pudło z dokumentacją bo mu wypadnie z części bagażowej. Założę się, że analiza UODO też nie uwzględnia szczegółowo wszystkich potencjalnych ryzyk. Do tego jak wykorzystać analizę ryzyk w której mamy parę tysięcy ryzyk co daje dziesiątki lub setki tysięcy powiązań.

5) w mojej ocenie głównym celem RODO jest by nasze prawa i wolności lepiej były chronione. A UODO robi wrażenie, że ich głównym celem jest by podmioty stosowały prawo ochrony danych osobowych tak jak widzi i rozumie to UODO.

6) wizja UODO jak powinna wyglądać funkcja IOD`a to jakaś abberacja. Ma tylko ładnie pachnieć i wskazywać palcem co jest nie tak. Nawet nie może wysłać zgłoszenia o naruszenia do UODO mimo, że zgodnie z RODO jest punktem kontaktowym. UODO zamiast się skupić na tym, by IOD miał odpowiednie zasoby oraz podmiot korzystał z jego wiedzy oraz stosował się do jego zaleceń uparł się udowodnić de facto że IOD jest zbędnym kosztem. Dlatego na rynku od roku IOD`ów zastępują koordynatorzy ochrony danych osobowych. Robią to samo co IOD ale nie mają gwarancji niezależności itd.

Co ciekawe po politycznym PUODO, od ponad roku mamy nowego, niezależnego Prezesa Urzędu Ochrony Danych Osobowych. Obiecał, że będzie konsultował i słuchał środowisk eksperckich.Sam należę do dwóch. Do SPOD i do SABI. Wiedzy i wymiany doświadczeń, nigdy za dużo. Niestety jakoś postulaty praktyków ochrony danych osobowych nie przebijają się do PUODO.

Pochwalę za jedno OUOD. Wyszukiwarka decyzji PUODO - LINK

Brakuje tylko filtra: KARY/ZALECENIA i czy są prawomocne.

 

W chwili obecnej nadal eksperci od ochrony danych osobowych zmagają się:

1) z RODO - to w ogóle ciekawy temat jak ODO ewoluowała i ewoluuje i ile nadal stanowi problemów,

2) DORA,

3) NIS2,

4) AI,

5) nowymi regulacjami unijnymi.

Już w 2018 r. niezbędne były zespoły wdrożeniowe - bezpiecznik, informatyk i prawnik.

Dziś już wyraźnie widać, że w zakresie ochrony danych osobowych dochodzi do coraz większej specjalizacji.

Jeżeli w 2018 r. wydawało się, że można być IOD wszędzie i IOD może wszystko ogarnąć, to dziś wiadomo, że IOD`owie się specjalizują i IOD nie ma dziś szansy wszystkiego ogarnąć.

O ile w wyniku działań UODO w ogóle w ogóle ten zawód przetrwa. Bo boję się, że IOD`owie będą tylko tam gdzie wymaga prawo na 1/32 etatu i pro forma.

Przy ochronie danych osobowych:

1) nie da się nudzić,

2) cały czas coś się dzieje nowego i zawsze coś jest do poprawy,

3) człowiek non stop się uczy,

4) non stop zaskakuje mnie głupota ludzka - a jakbym wpisał to do analizy ryzyk? hmmm

Niech moc RODO będzie z wami.

 

Pamiętajcie:

1) zarządzanie ryzykiem to fundament,

2) komunikacja, w tym szkolenia to podstawa,

3) papier służy komunikacji i celom dowodowym.

Recenzja "Raport : HR Compliance w firmach w Polsce 2024" kancelarii PCS Paruch Chruściel Schiffter Stępień S.K.A.

Zdecydowanie powinienem czasami ugryźć się w język. No ale przez 47 lat się nie nauczyłem to się nie nauczę. W każdym razie obiecałem, że napiszę recenzję Raportu : HR Compliance w firmach w Polsce 2024" kancelarii PCS Paruch Chruściel Schiffter Stępień S.K.A. 

Z drugiej strony możliwe, że to Mecenas Sławomir Paruch pożałuje, że mnie do recenzji namówił. No cóż zobaczymy. A raport znajdziesz tu: LINK DO RAPORTU.

 

Najpierw test śpiocha. Raport ma 16 stron i jest o Compliance (czyli coś czym się interesuje). Parę rzeczy mnie zainteresowało ale w paru innych prawie mnie uśpił. Pod względem szaty graficznej i warstwy merytorycznej to bardzo porządne i rzetelne rzemiosło. Według mnie autorzy jednak powinni poczytać o Legal design i poprawić przystępność językową. Poza tym widać, że pisały różne osoby i się skupiły na poprawności, a nie przyjemności z czytania. 

Raport był na podstawie ankiet, jednak nie wiadomo jaka była próba (ile tych ankiet było) i jak bardzo jest tam dojrzała Kultura Compliance. Co utrudnia lub uniemożliwia wyciąganie wiarygodnych wniosków z analizy.

 

A co jakie zagadnienia były badane w raporcie.

1) Czy nastąpiło tsunami zgłoszeń? Pierwsze wnioski po wdrożeniu procedur zgłoszeń wewnętrznych

 

Bez badania mogłem powiedzieć, że tsunami zgłoszeń nie będzie. Podejrzewam, że 64% nie otrzymaliśmy żadnego zgłoszenia to nowe wdrożenia lub wadliwie wdrożone systemy, 32, że zgłoszenia na podobnym poziomie świadczą, że sporo było podmiotów świadomych i już z wdrożonymi systemami. 4%, że zgłoszeń jest więcej zaskakuje mnie swą wysokością. Ciekawie o ile więcej.

Odpowiedzi na pytanie "Który z praktycznych problemów sprawił Państwu największe wyzwanie przy wdrażaniu procedury?" trudno analizować bez znajomości próby. Natomiast jako ekspert wskazałbym na inne trudności (no dobra wdrożenie w grupie kapitałowej faktycznie jest wyzwaniem).

 

Zaskakuje, że aż 56% przyjmuje zgłoszenia anonimowe. Z moich obserwacji i rozmów z praktykami Compliance wynika, że przyjmowanie zgłoszeń anonimowych jest rzadkością (nie liczę podmiotów objętych AML lub z kapitałem zagranicznym).

2) Compliance w zakresie organizowania czasu pracy – szanse i wyzwania
 

HR to specjalizacja autorów, a nie moja. Ciekawe ale praca zdalna itp. to raczej świat Warszawki i korporacji, a nie reszty Polski.

Ciekawe, że aż 9% podmiotów jest zainteresowanych wdrożeniem 4 dniowego tygodnia pracy. 

Ogólnie niewątpliwe HR Compliance stanowi część Compliance ale według mnie jest kilkanaście bardziej krytycznych rodzajów Compliance.

 

3) Jak zarządzać zatrudnianiem cudzoziemców, aby nie narażać się na odpowiedzialność wykroczeniową?
 

HR to specjalizacja autorów, a nie moja. Natomiast dziś Polska gospodarka jest uzależniona od zatrudniania cudzoziemców. Już ponad milion ich pracuje legalnie w Polsce.

 

4) Sygnaliści a ochrona danych osobowych i informacji – co, kiedy i jak zrobić, żeby nie narazić się Prezesowi UODO?
 

Zaskakuje mnie, że aż 26% osób, które mają dostęp do danych uzyskanych w ramach systemu whistleblowingowego nie mają upoważnienia do przetwarzania danych osobowych. Jedyny przypadek gdy jest to legalne, to gdy osoby te są np. członkami Zarządu danego podmiotu. 

Z reszty pytań ciekawe tylko to, że aż/tylko 56% grup kapitałowych ma wspólny kanał zgłoszeniowy.

 

5) Zakaz konkurencji vs talent drain – na co pozwalają przepisy?
 

Temat ciekawy. Z pogranicza Compliance, HR i ochrony tajemnicy przedsiębiorstwa. Ten fragment warto przeczytać.

 

6) Ograniczenie pracy zdalnej zgodnie z zasadami compliance

 

 Odpowiedz wskazują, że ankiety wypełniły podmioty z Warszawy i głównie korporacje. Swoją drogą jestem ciekaw wyników powszechnych kontroli PIP w tym zakresie. Podejrzewam, że mogło by być "wesoło".

 

7) Krytyka pracodawcy w internecie – ujawnienie publiczne czy naruszenie dóbr osobistych?

 

Temat ważny, ciekawy i jak pokazują wyniki, nawet wśród bardziej świadomych podmiotów jest lekceważony.

 

8) „Sygnalista instrumentalista” – jak radzić sobie z instrumentalnym wykorzystywaniem zgłoszeń nieprawidłowości?
 

 1/3 deklaruje, że spotkało się z przypadkami instrumentalnego wykorzystania przez pracownika ochrony przed zwolnieniem? SERIO? Dziwne. Mam inne obserwacje. Zgaduję, że albo ktoś przesadza albo dał ciała z komunikacją (i to bardzo).

A nie zgodzę się z autorami, że procedura najlepiej zapobiegnie instrumentalnemu wykorzystywaniu przez pracownika systemu dla sygnalistów. Najskuteczniej zapobiegnie komunikacja, w tym edukacja oraz rzetelne prowadzenie działań następczych (głównie postępowania wyjaśniającego).

 

9) Multicultural teams without a multitude of problems – jak skutecznie zarządzać różnicami kulturowymi i odmienną wrażliwością w miejscu pracy wśród międzynarodowych pracowników, klientów i partnerów biznesowych? 

Ciekawe. 

Raport można poczytać jako ciekawostkę oraz by dowiedzieć się co najbardziej interesuje ekspertów od HR Compliance.

W skali  1-5 oceniam go na 4+ z plusem na zachętę dla autorów.

Czy czytać? Czytać

Ale do niego raczej nie wrócę.

Projekt "Kodeksu Dobrych Praktyk Nadzoru Właścicielskiego" autorstwa Ministerstwa Aktywów Państwowych

W zeszłym roku Ministerstwo Aktywów Państwowych w grudniu 2024 r. przeprowadzało konsultacje projekty: "Kodeksu Dobrych Praktyk Nadzoru Właścicielskiego".

Nadzór właścicielski to jeden z moich koników zawodowych. Mam w tym zakresie zarówno wiedze praktyczną jak i teoretyczną. Nie byłbym więc sobą, gdybym nie zgłosił uwag do "Kodeksu Dobrych Praktyk Nadzoru Właścicielskiego". A jakie one były?

Po pierwsze według mnie powinny się odbywać transparentne i otwarte postępowanie kwalifikacyjne na członków Rad Nadzorczych spółek Skarbu Państwa oraz spółek córek, z udziałem niezależnych podmiotów zaufania publicznego. Ponadto powinien powstać centralny portal ogłoszeń naborze/konkursach do organów Spółek Skarbu Państwa oraz ich spółek córek. 

Po drugie brak w Kodeksie zapisów o konflikcie interesów oraz ograniczenie w ilości Rad, w których można zasiadać - według mnie powinien być zapis, że nikt nie może zasiadać w więcej niż 2 Radach Nadzorczych.

Po trzecie, oprócz współpracy z audytem wewnętrznym i bezpośrednim raportowaniem przez niego do Rady nadzorczej powinny być analogiczne przepisy dotyczące:  działu zarządzania zgodnością (Compliance), działu przyjmowania zgłoszeń o naruszeniach, prowadzenia działań następczych i ochrony sygnalistów (whistleblowing), działu ochrony danych osobowych lub bezpieczeństwa, IOD, działu cyberbezpieczeństwa, działu zarządzania ryzykiem, działu zapewnienia ciągłości działania, działu zarządzania kryzysowego, działu strategii i analiz  oraz działu kontroli wewnętrznej. Osoby odpowiedzialne za te systemy powinny być powołane z udziałem Rady Nadzorczej i odwoływane tylko za jej zgodą oraz raportować bezpośrednio co najmniej raz do roku Radzie Nadzorczej.

Po czwarte w kodeksie brak zasad wynagrodzenia członków Rady Nadzorczej.

Po piąte w każdej Radzie Nadzorczej powinna zasiadać osoba posiadająca wiedzę prawną lub zakresu zarządzania zgodnością (Compliance).

Czy Ministerstwo Aktywów Państwowych uwzględni me uwagi?

A jakie ty miałbyś uwagi?

Potrzebujesz pomocy przy nadzorze właścicielskim?

Zapraszam do kontaktu

Trzeci krok we wdrożeniu systemów dla Sygnalistów

Napisałem "Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?" i "Drugi krok we wdrożeniu systemów dla Sygnalistów" dziś czas napisać o trzecim kroku.

Przypomnę tylko, że w drugim kroku musimy zaprojektować system do przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów. W trzecim kroku system należy wdrożyć.

W dużym skrócie należy:

1) przyjąć procedurę i zapoznać z nią osoby świadczące pracę,

2) uruchomić kanały zgłoszeń,

3) rozpocząć komunikację, w tym szkolenia w celu zmiany Kultury organizacyjnej,

4) wydać upoważnienia itd. osobom do przyjmowania zgłoszeń i prowadzenia działań następczych,

5) zacząć prowadzić rejestr itd,

6) zadbać by system przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów działał skutecznie i efektywnie.

 

Przypominam:

25 września br. muszą już funkcjonować systemy dla sygnalistów,

18 września br. jest ostateczny termin przyjęcia procedury zgłoszeń wewnętrznych i zapoznania z nimi pracowników

W dniu  13 września minął ostatni możliwy termin do rozpoczęcia konsultacji procedury.

Zegar tyka, a czas się kończy.

 

Niech moc Compliance będzie z wami.

 

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka? Czyli w czym mogą pomóc w związku z ustawą o ochronie sygnalistów

 

To już trzecia aktualizacja postu "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?". Ponad rok temu była ostatnia aktualizacja (link). Myślę, że najwyższe pora znowu go ciut odświeżyć.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz ten post.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:

1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością,

2) Whistleblowing`u czyli systemach przyjmowania zgłoszeń od Sygnalistów (demaskatorów) i podejmowania działań następczych,

3) RODO - ochronie danych osobowych,

4) umowach gospodarczych,

5) spółkach handlowych, w tym nadzorze właścicielskim, due diligence oraz ładzie korporacyjnym,

W tym zakresie świadczę pomoc prawną w tym też szkolę, pomagam we wdrożeniu, audytuję i doradzam.

Występuję też na licznych konferencjach i warsztatach. Nie licząc paru wydarzeń niekomercyjnych, organizowanych przez moich przyjaciół, które wspieram by szerzyć Kulturę Compliance lub RODO, to mój występ na konferencji lub prowadzenie przeze mnie warsztatów jest co do zasady płatne. Nawet krótkie wystąpienie wymaga ode mnie godzin przygotowań, a mój czas kosztuje. Dodatkowo reklamuję wydarzenia, w których występuję co też ma swoją wartość bo jak powiedział w październiku 2022 r., przestawiając mnie jeden z organizatorów kongresu Compliance Day - jestem najbardziej znanym oficerem Compliance w Polsce.  Według mnie nie jestem najbardziej znanym ekspertem Compliance ale niewątpliwie przez ostatnie parę lat zbudowałem swoją markę i wizerunek. Więc wiesz kim jestem.

Moje zawodowe zainteresowania to analizy, strategia i zarządzanie. Jestem nietypowym prawnikiem, bo kocham liczby i zawsze o nie pytam (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fantastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się, to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).

 

Zawsze też z chęcią polecą innego radcę prawnego, adwokata lub eksperta.  Zwłaszcza jak na czymś się nie znam.

Kilkadziesiąt tysięcy podmiotów sektora prywatnego i publicznego musi do 24 września br. wdrożyć systemy przyjmowania zgłoszeń wewnętrznych, prowadzenia działań następczych i ochrony sygnalistów. Parę tysięcy organów publicznych będzie musiało do 24 grudnia br. wdrożyć systemy przyjmowania zgłoszeń zewnętrznych.

Tak się składa, że m.in. wdrożyłem jeden z pierwszych systemów dla sygnalistów w sektorze publicznym. Jeżeli potrzebujesz eksperckiej i praktycznej wiedzy jak wdrożyć i zarządzać systemem dla sygnalistów to zapraszam do kontaktu w celu ustalenia warunków współpracy. 

No to teraz wiesz już kim jestem i w czym się specjalizuje Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.

W czym TOBIE mogę pomóc? :-)

Tanio nie będzie (choć w porównaniu z wielką czwórką jestem ciut tańszy).

Zapraszam do KONTAKTU

Luźne przemyślenia oficera Compliance - szykuje się znowu piękna katastrofa, jak z RODO

Już wiem jak się czuła Kasandra. Choć raz chciałbym się pomylić w ważnej sprawie, ale nie. Literówki robię co kawałek ale w ważnej rzeczy jakoś nie mogę się mylić choćbym chciał. Ech...... 

W ostatnim poście Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO pisałem dlaczego z sygnalistami będzie jak z RODO. I każdy tydzień mnie utwierdza, że mam rację.Wielu moich kolegów i koleżanek myśli że wystarczy przeczytać ustawę i par książek i już się jest ekspertem. W końcu specjalista z prawa pracy lub karnista z sygnalistami też sobie poradzi. Machnie się procedurkę i już. Tak samo było kiedy wchodziło RODO. Sporo prawników poczuło zapach pieniędzy i zaczęło sprzedawać procedury strasząc olbrzymimi karami. Efekt jest taki, że do dziś po nich trzeba poprawiać, a wiele podmiotów nie ma systemu ochrony danych osobowych tylko półkowniki. Zbierającą kurz dokumentację. Teraz zaczynamy oglądać nową odsłonę tego zjawiska w związku z sygnalistami. 

Od paru lat piszę, występuję na konferencjach i tłumaczę z koleżankami i kolegami praktykami, że trzeba będzie wdrożyć system przyjmowania zgłoszeń, prowadzenia działań następczych (w tym wyjaśniających) i chronić sygnalistów. System trzeba zaprojektować pod organizację, wdrożyć a potem nim zarządzać. Elementem systemu (jednym z wielu) jest m.im. procedura, rejestr czy kanały. Najważniejsi są jednak ludzie i komunikacja.

A potem czytam posty prawników z wielkich i znanych kancelarii, że "procedura musi być dostosowana do podmiotu", "trzeba będzie kupić procedurę" itp. posty. Dużo o procedurze, czasami coś o kanałach a zero o systemie czy zmianie Kultury.

Jak zaczynałem w 2018/2019 r. pisać w Infor.pl Compliance i sygnalistach, nie pisał o nich prawie nikt. Teraz jak w końcu pojawił się projekt ustawy o ochronie sygnalistów w Sejmie nagle o sygnalistach piszą wszyscy. Założę się, że duże kancelarie zainwestują duże pieniądze by się wypromować jako eksperci od sygnalistów. Dam wam prostą radę. Jak będą pisać o procedurze, a nie systemach to po prostu chcą waszą kasę za półkownika. Zastanówcie się wtedy czy chcecie skuteczny system chroniący was i wasze organizacje czy chcecie kupić stertę papieru za grubą kasę od sławnej kancelarii.

Na koniec wieści z frontu legislacji, bo tu dużo się działo:

1) projekt ustawy o ochronie sygnalistów w Sejmie - druk nr 317 - sygnaliści się kłaniają

2) Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw - NIS 2 się kłania

3) Parlamenty Europejski przyjął  Dyrektywa w sprawie należytej staranności przedsiębiorstw w zakresie zrównoważonego rozwoju (Corporate Sustainability Due Diligence Directive, Dyrektywa CSDD) - ESG się kłania.

4) Na RLC mamy Projekt ustawy o zmianie ustawy o rachunkowości, ustawy o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym oraz niektórych innych ustaw - i znowu ESG się kłania

5) Na RLC mamy Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego - DORA się kłania

6) dzieje się w prawie gospodarczym, np. na RLC mamy projekt ustawy o zmianie niektórych ustaw w celu deregulacji prawa gospodarczego i administracyjnego oraz doskonalenia zasad opracowywania prawa gospodarczego

7) a oprócz tego szykują się zmiany w AML, trwają prace nad standardami ESRS, planują rozwiązać CBA  - może po 8 latach przerwy znowu zaczniemy serio walczyć z korupcją - itd.

Oj 2024 r. zapowiada się ciekawie

Niech moc Compliance będzie z wami

Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO

Od blisko pięciu lat ostrzegam, że w przypadku systemów przyjmowania zgłoszeń, prowadzeniu postępowań następczych (w tym postępowań wyjaśniających) oraz ochrony sygnalistów (w skrócie systemy dla sygnalistów lub Whistleblowing) będzie w Polsce gorzej niż z wdrażaniem systemów ochrony danych osobowych po wejściu w życie RODO.

Dlaczego w Polsce wiele podmiotów nie ma skutecznych i efektywnych systemów ochrony danych osobowych? Po pierwsze wiele podmiotów w Polsce niestety nadal nie zna lub lekceważy prawo. Po drugie często za wdrożenia wzięły się kancelarie prawne, które nie miały doświadczenia w zarządzaniu systemami ochrony danych osobowych. Zaczęły one straszyć wielomilionowymi karami i wciskać klientom dokumentację RODO. Pomijając, że w RODO chodzi o ochronę praw i wolności osób, które dane się powtarza, o stworzenie skutecznego i efektywnego systemu ochrony danych osobowych (opartego na analizie ryzyka), a dokumentacja to tylko jedno z narzędzi tego systemu. Oczywiście dokumentacja u nich nie była tania. Z drugiej strony rynek psuły podmioty sprzedające dokumentację ze parek setek. W wyniku tego do dziś nawet w dużych firmach znajduję pokryte kurzem segregatory i Zarządy żyjące złudzeniem, że mają system, bo kupili dokumentację i 5 lat temu przeszli jakieś szkolenie. Na szczęście ochrona danych osobowych funkcjonuje w Polsce nie 5 lat (jak RODO) ale ćwierć wieku i mamy całe grono praktyków ochrony danych osobowych, które w zależności od wsparcia najwyższego kierownictwa zbudowali w wielu podmiotach lepsze lub gorsze systemy ochrony danych osobowych.

Od paru lat tłumaczę, że trzeba będzie w Polsce wdrożyć systemy dla sygnalistów, a procedura to akurat najłatwiejsza sprawa i nie jest to ani pierwszy ani ostatni krok. W tym roku ponieważ pojawiła się szansa, że w końcu w życie wejdzie ustawa o ochronie osób dokonujących zgłoszenia naruszeń, wiele kancelarii i firm poczuło kolejną po RODO żyłę złota. I się zaczęło pisanie i chwalenie kto to więcej i lepiej pisze procedur oraz jakie to one powinny być. Żeby było weselej robią to nawet renomowane i promujące się jako doświadczone w Compliance duże kancelarie. Ja rozumiem, że kasa musi się zgadzać i najtaniej i najłatwiej jest opchnąć klientowi procedurę lub parę procedur. Potem ewentualnie opchnąć swe usługi audytorskie, śledcze lub z zakresy obsługi sądowej (zależy jaki kto zbudował zespół).

Tylko takie podejście skończy się tym, że wiele firm będzie miało złudzenie, że spełniło wymagania, bo przecież mają kupioną za grubą kasę procedurę i ktoś ich parę lat temu przeszkolił.

W przypadku RODO, mieliśmy tysiące doświadczonych praktyków ochrony danych osobowych w sektorze publicznym i sektorze MSP. W przypadku Compliance już tak nie jest. Systemy dla sygnalistów czy compliance w sektorze publicznym czy MSP to wyjątek od reguły a nie zasada.  No i ochrona danych osobowych nie budzi takich problemów Kulturowych jak dokonywanie zgłoszeń i ochrona sygnalistów.

Piszę teraz do podmiotów, które będą wdrażały i zarządzały systemami dla sygnalistów - unikajcie jak ognia podmiotów, które będą oferować procedurę przyjmowania zgłoszeń i będą się chwalić ile to ich napisały. Szukajcie ekspertów doświadczonych we wdrażaniu i zarządzaniu systemami dla Sygnalistów i mówiących o systemach. Dostosowanych do podmiotu.

Nie chodzi by mieć procedurę. Chodzi o to by sygnaliści zgłaszali wam naruszenia, o to byście je rzetelnie wyjaśniali i podejmowali właściwe działania następcze i żebyście chronili sygnalistów. Na wyższym metapoziomie chodzi o bardziej etyczne, efektywne i skuteczne organizacje oraz bardziej zaangażowanych pracowników oraz minimalizację ryzyk.  Napisanie procedury to najłatwiejsze w tym wszystkim (a i to potrafią kancelarie popsuć pisząc długie i niezrozumiałe procedury).

Co do kanałów i aplikacji to każdy musi wybrać to co pasuje do jego Kultury. Choć to też trzeba robić z głową.

Niech moc Compliance będzie z wami

Ps a dla i wybaczcie jak się na LI przejadę publicznie po kimś kto zamiast o systemach będzie pisał  tylko o procedurach ale człowiek się męczy, tłumaczy a potem duża kancelaria lub firma doradcza wciska procedury, a nie edukuje, że potrzeba wdrożyć i zarządzać systemem. A i wymówka, że to tylko skrót myślowy nie podziała.

Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami

 

Ciekawostki z prawa handlowego i nie tylko - odcinek 43

Dziś chciałbym zwrócić uwagę członkom Rad Nadzorczych spółek akcyjnych, że zgodnie z art. 382 § 3w związku z § 3¹ Kodeksu Spółek Handlowych do obowiązków Rad Nadzorczych należy sporządzanie oraz składanie walnemu zgromadzeniu corocznego pisemnego sprawozdania za ubiegły rok obrotowy, czyli sprawozdania rady nadzorczej.

Sprawozdanie rady nadzorczej powinno między innymi obejmować ocenę sytuacji spółki, z uwzględnieniem adekwatności i skuteczności stosowanych w spółce systemów kontroli wewnętrznej, zarządzania ryzykiem, zapewniania zgodności działalności z normami lub mającymi zastosowanie praktykami oraz audytu wewnętrznego.

Czyli Rada Nadzorcza musi m.in. ocenić jak Zarząd wdrożył i jak zarządza m.in. systemem Compliance (zapewnienia zgodności). A co jak system Compliance nie funkcjonuje lub funkcjonuje pozornie?

A macie członkowie Rady Nadzorczej wiedzę jak to ocenić?

Jakby co służę pomocą. Oczywiście odpłatnie.

Ponadto w sprawozdaniu rady nadzorczej Rada Nadzorcza musi ocenić:

1) sposób sporządzania lub przekazywania radzie nadzorczej przez zarząd informacji, dokumentów, sprawozdań lub wyjaśnień,

2) sposób spełniania przez Zarząd obowiązku informacyjnego, tj. przekazywania informacji o:

a) uchwałach zarządu i ich przedmiocie;

b) sytuacji spółki, w tym w zakresie jej majątku, a także istotnych okolicznościach z zakresu prowadzenia spraw spółki, w szczególności w obszarze operacyjnym, inwestycyjnym i kadrowym;

c) postępach w realizacji wyznaczonych kierunków rozwoju działalności spółki, przy czym powinien wskazać na odstępstwa od wcześniej wyznaczonych kierunków, podając zarazem uzasadnienie odstępstw;

d) transakcjach oraz innych zdarzeniach lub okolicznościach, które istotnie wpływają lub mogą wpływać na sytuację majątkową spółki, w tym na jej rentowność lub płynność;

e) zmianach uprzednio udzielonych radzie nadzorczej informacji, jeżeli zmiany te istotnie wpływają lub mogą wpływać na sytuację spółki.

 

Czyli Rada Nadzorcza nie może się tłumaczyć, że o czymś nie wiedziała.

 

Przedmiotowe przepisy obowiązują od 13 października 2022 r.  Podobnych obowiązków nie mają w KSH spółki z o.o. i proste spółki akcyjne. Osobiście nałożyłbym te obowiązki na wszystkich średnich przedsiębiorców, w których są Rady Nadzorcze.

A przy okazji, jeżeli Rada Nadzorcza zawrze w swoim sprawozdaniu, przedłożonym Walnemu Zgromadzeniu, dane nieprawdziwe to popełni czyn zabroniony zagrożony karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 

Radzę się więc przyłożyć do rzetelnego sporządzanie sprawozdania.

 

Niech moc Compliance będzie z wami.

ESG - jak rozpoznać ściemę część 3

W trzeciej części cyklu chciałbym poruszyć kwestię różnorodności.

Wiele podmiotów lubi potwierdzać, że ceni i dba o różnorodność. 

Jak sprawdzić czy to prawda czy nie?

Przecież nie będziemy pytać o rasę, orientację seksualną itd. 

Według mnie zawsze jednak warto sprawdzić parę rzeczy.

1) pierwsza to ilość procentową kobiet w organach Spółki i na różnych stopniach zaszeregowania - powinna być miarę stała. Różnica 10-30% na różnych stopniach zaszeregowania powinna wzbudzić naszą czujność. Należy też sprawdzić trend. Jeżeli im wyższe stanowisko to tym mniejszy udział procentowy kobiet, a w Zarządzie i wśród Dyrektorów nie ma ich wcale lub jest jedna na kilkanaście mężczyzn to mamy na 99% ESG ściemę.

Oczywiście warto uwzględnić charakter branży na każdym etapie analizy.

2) po drugie warto porównać średnie pensje oraz medianę wynagrodzenia kobiet i mężczyzn w różnych stopniach zaszeregowania. I jak wyżej różnica pomiędzy 10-30% powinna wzbudzić naszą czujność. 

3) po trzecie zawsze warto sprawdzić jak podmiot podchodzi do zatrudniania osób niepełnosprawnych lub nie neurotypowych.

Czy i jakie zapewnia im wsparcie?

Na jakich stanowiskach i na jakich warunkach ich zatrudnia?

Ilu ich zatrudnia?

Jakie jest realne podejście do tych osób w danym podmiocie?

 

Chciałbym zwrócić uwagę, że czasami zostanie nam przedstawiona osoba niepełnosprawna lub nie neurotypowa jako przykład dobrych praktyk w danym podmiocie. Warto się wtedy spytać o inne takie osoby by sprawdzić czy nie mamy do czynienia z tzw. "kwiatkiem do kożucha". 

Oczywiście raportowanie będzie się odbywać według określonych, jednolitych standardów – ESRS.

Tylko papier nie wszystko nam powie.

Według mnie wdrożenie ESG powinno zmienić Kulturę organizacyjną danego podmiotu. A kulturę tworzą ludzi.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.