IOD w świetle pytań PUODO

Zawsze jak szkolę z ochrony danych osobowych to pytam "kto odpowiada za ochronę danych osobowych?". Zwykle pada odpowiedź: "IOD".

Oczywiście jedną z osób, która odpowiada za system ochrony danych osobowych jest Inspektor Ochrony Danych w skrócie IOD.

Jednym z mitów dotyczących IOD jest to, że odpowiada on za wszystko. Za wszystko to odpowiada Administrator. IOD odpowiada za doradztwo, nadzór i swoje obowiązki m.in. jako punkt kontaktowy.

Drugi mit, to że IOD albo jest hamulcowym który nie rozumie biznesu i się czepia bez sensu (bo pilnuje, żeby administrator wypełniał swe obowiązki) albo że ma podpisywać i nie marudzić, przecież wszystko jest okey (notabene w każdej organizacji, zwłaszcza większej nie wszystko jest okey). Dlatego można IOD płacić grosze i wystarczy jak się pojawi raz, dwa razy w tygodniu papiery podpisać. 

Od dawna piszę, o tych i innych mitach związanycg z funkcją IOD. Nadal iwielu administratorów źle rozumie jego rolę lub jej nie docenia. Z wielu artykułów polecam post: "IOD - mistrz Jedi, rycerz Jedi czy padawan?".

Niedawno PUODO opublikowało pytania weryfikujące funkcjonowanie IOD'ów u Administratorów i w podmiotach przetwarzających. Co wynika z tych pytań o wizji PUODO na temat IOD'ów?

Nie będę się wymądrzał jak odpowiadać itp. Zapraszam za to do mojej analizy pół żartem pół serio (choć tematyka poważna) pytań.

1) Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?

Pytanie kontrolne. Jak jest, to można sprawdzać dalej. Jak nie ma to, koniec kontroli, chyba że ma być.

2) Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?

Pytanie kontrolne. Czy IOD jest, jeżeli być powinien.

3) Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub - jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?

To jest ciekawa kwestia. RODO nie nakazuje publikowania imienia, nazwiska czy telefonu IOD, natomiast ustawa nakazuje opublikować imię i nazwisko IOD oraz kontakt do niego. Ktoś mi wytłumaczy po co ustawodawca krajowy każe publikować imię i nazwisko IOD'a? Według mnie to nadmiarowe przetwarzanie.

No ale PUODO stosuje zasadę dura lex sed lex.

4) Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?

Pytanie kontrolne. Sprawdzenie stosowania przepisów. 

5) Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?

Pytanie kontrolne.

6) Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?

To pozwala ocenić, czy IOD ma czas dla organizacji czy bywa raz w tygodniu na godzinę i równie dobrze mogłoby go nie być 

7) Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?

To jest ciekawe pytanie. I bardzo dobre :-)))) Trzeba udowodnić, że powołało się eksperta a nie znajomego królika, ochotnika z łapanki lub najtańszego oferenta. To jasno pokazuje, że wybierając IOD trzeba się kierować jego kompetencjami i wiedzą, a nie ceną. A jakość kosztuje.

8) Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?

Według mnie jedno z najważniejszych pytań. Jeżeli IOD nie ma zasobów, to nie może skutecznie działać. I mówiąc o zasobach nie chodzi tylko o kasę ale i ludzi oraz narzędzia. 

9) W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?

Drugie mega ważne pytanie. Ja w czasie audytu proszę o plan szkoleń IOD. Potem sprawdzam dostęp do publikacji itp. Szybko wychodzi szydło z worka czy IOD utrzymuje wiedzę fachową czy też jego wiedza się deaktulizuje.

10) Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?

Pytanie formalno-prawne ale pomaga ocenić niezależność IOD. Według mnie podległość w strukturze pod Prezesem nie świadczy jeszcze o niezależności.

11) Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?

Pytanie formalno-prawne. Ale swoją drogą stawia ciekawe pytanie o zastępcę IOD, np. czy można go powołać na stałe jako wsparcie IOD? 

12) Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?

To pytanie, czy IOD ma odpowiednie zasoby ludzkie. W organizacjach liczących setki lub tysiące osób świadczących pracę, samotny IOD nie ma szans wykonać należycie swoich obowiązków.

13) W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?

To jest mega ważne pytanie. Wielu IOD skarży się, że nie są włączani we wszystkie sprawy, są włączani zbyt późno lub ich uwagi nie są należycie uwzględniane. Jednocześnie w dużych organizacjach samotny IOD nic by nie robił tylko na spotkania biegach. 

No i kwestia rozliczalności - ma zbierać podpisy? Przecież to byłby przerost formy nad treścią.

14) W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

Pytanie kontrolne. Choć ważne 

15) Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

Pytanie kontrolne ale bardzo ważne.

Niestety nadal bardzo często to IOD sporządza dokumentację systemu ochrony danych osobowych. To spadek po ABI i starej ustawie.

16) W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

Widać że teoretyk pisał te pytanie. Powiem tak. Niezależnym to się jest albo nie. Trzeba mieć autorytet i tyle. No ale jak ktoś bierze "kilkaset" złotych za funkcję IOD i podpisuje tylko papierki 2-3 razy w tygodniu to ani nie ma autorytety ani niezależności.

17) W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?

Kolejne pytanie teoretyka. Patrz odpowiedź wyżej.

18) W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?

Lubię pytania teoretyków. To zależy od transparentności i dojrzałości organizacji. 

Ja tam zawsze mam dowód na piśmie jak coś doradzałem. Nie raz mnie to uratowało.

19) W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?

Pytanie kontrolne 

20) Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:

To jest ciekawe zagadnienie i ważne.

a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,

Ciekawie kto prowadzi ewidencję czasu pracy w tym zakresie 

b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?

Ciekawe pytanie na osobnego posta. Z chęcią bym zobaczył jakieś wzory a potem sprawdził jak działają w praktyce. Bo wiecie papier przyjmie wszystko.

c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?

Ważne pytanie kontrolne. IOD nie powinien mieć dwóch panów.

21) Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?

Teoretycy kochają dokumenty. A papier przyjmie wszystko.

Choć procedury są bardzo ważne to .....

22) Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?

Pytanie kontrolne. Swoją drogą jak IOD nie ma na miejscu to jak nadzoruje?

23) Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?

Naprawdę teoretycy kochają papierologię.

A nie lepiej sprawdzić ile zrobił kontroli i szkoleń.

24) Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?

Pytanie kontrolne 

25) Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?

To jest ciekawa kwestia. Ja myślałem że komunikacja IOD i Administrator to podstawa. Oczywiście jak wszystko jest okey to można 1-2 razy do roku. Jak mamy incydenty czy zdarzenia to trzeba utrzymywać gorącą linię.

26) Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?

Pytanie kontrolne 

27) Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Ciekawe pytanie. Według mnie IOD działa jak oficer Compliance na drugiej linii obrony (częściowo na trzeciej). Według mnie to komórki audytu i kontroli wraz z najwyższym kierownictwem powinny kontrolować pracę IOD.

Ale jeżeli tylko on ma wiedzę w organizacji?

Ciekawe jak PUODO będzie modyfikował pytania i jak wykorzysta to narzędzie - ankiety.

Niech moc ochrony danych osobowych będzie z wami.

Recenzja książki Joseph T. Wells "Nadużycia w firmach Vademecum - zapobieganie i wykrywanie"

Na studiach chodziłem na seminarium z prawa karnego materialnego i prawa karnego wykonawczego (w końcu pracę magisterską napisałem w katedrze prawa karnego materialnego z przestępstw komputerowych). Dziś troszkę zatoczyłem koło, ponieważ w ramach Compliance zdarza mi się zapobiegać i wykrywać nadużycia. 

Ekspert to ktoś kto łączy praktykę z teorią, a jak już czymś się zajmuję to profesjonalnie. Szukałem więc pozycji na temat zapobiegania i wykrywania nadużyć w firmach i tak trafiłem na książkę Wells`a. Notabene bibliografia w tym zakresie nie jest zbyt bogata. No ale to ma być recenzja.

Najpierw tradycyjnie test śpiocha (a co to jest test śpiocha? Jak książka jest kiepsko napisana to mnie usypia. Jak jest dobrze napisana to mnie porywa do innego świata i tracę poczucie czasu. Test śpiocha nie świadczy o zawartości merytorycznej). W tym teście książka dostaje mocne 4+. Żeby była jasność ta książka ma 440 stron, dużych stron i pisanych bardzo małą czcionką. Jakbym nie był molem książkowym mógłbym nie dać rady jej przeczytać. Jest zgrabnie napisana - storytelling (czyli kazusy z życia) są zgrabnie połączone z częścią teoretyczną, statystyką itd. Czyta się to nieźle. Ale swoje waży - jak stara dobra gruba książka telefoniczna.

A o czym jest książka? Najkrócej to vademecum wykrywania i zapobiegania nadużyciom. I tu muszę wspomnieć o pierwszej wadzie - książka jest pisana z perspektywy USA. Więc np. jest mega długi rozdział o wekslach. Po drugie, w Polsce została wydana w 2006 r. i troszkę trąci myszką. Technologia i modus operandi zmienił się znacznie - wiecie cyberzagrożenia. Jednocześnie są tam myśli i idee, które w Polsce dopiero zaczynają się przebijać. I jest tam mega dużo wiedzy, statystyk itd. 

A dla kogo jest ta książka?

Dla ludzi z wydziałów Compliance, audytu, kontroli itd.

Czas na ocenę w szkolnej skali 1-6, książkę oceniam na 5.

Czy czytać?
CZYTAĆ

Ps niestety nie ma ebook`a, w księgarniach też jej nie ma, mój egzemplarz upolowałem w antykwariacie.

Jak ustalać wysokość wynagrodzenia kierowników / managerów?

Ostatnio pojawiło się takie pytanie w dyskusji: "Jak ustalać wysokość wynagrodzenia kierowników w organizacji?". 

Pytanie na rozgrzewkę. Czy ich zarobki powinny być jawne czy niejawne.

Osobiście jestem za jasnością. Bo to zwiększa transparentność, zapobiega mobbingowi itd. 

No ale większość u nas woli niejawność. Wiadomo w mętnej wodzie więcej można ukryć. Choć tak naprawdę jak człowiek chce to się dowie. W końcu po to są nieoficjalne ścieżki komunikacyjne itp. itd.

No i jak ktoś jest na odpowiedniej pozycji to w końcu każda informacja do niego trafi. Tylko kwestia czasu.

No dobra ale miało być o wysokości a nie jawności.

Pomysł nr  1 - wszystkim płacimy tyle samo. Niezależnie od stażu, obowiązków, odpowiedzialności itd. Socjalista zapieje z zachwytu. Liberał zawyje w sprzeciwie. Ale ideologię zostawmy na boku. Ten pomysł ma plusy i minusy. Według mnie jest jednak w niektórych przypadkach akceptowalny. Byle by tą decyzję podjąć świadomie. Zwykle jednak ten pomysł jest używany jako pretekst by płacić mało "Pan wie ale B. zarabia mniej i to nie było by fair jakby Pan zarabiał więcej. Chcemy płacić tyle samo". Bez komentarza.

Pomysł nr 2 - każdemu płacimy inaczej. No dobra ale ze względu na co różnicować wysokość wynagrodzenia?

Pomysł 2a - ze względu na staż - doceniamy lojalność. Okey. Ale jako jedyne kryterium jakoś mi to nie pasuje.

Pomysł 2b - ze względu na ilość zarządzanych ludzi - okey ale nie zawsze świadczy to o odpowiedzialności, ilości obowiązków, ważności dla podmiotu itd.

Pomysł 2c - ze względu na zakres obowiązków - fajne ale ocenne. Ale podoba mi się jako jedno z kryteriów

Pomysł 2d - ze względu na odpowiedzialność - też fajne ale ocenne. I też mi się podoba jako jedno z kryteriów

Pomysł 2e - ze względu na trudność lub koszt zastąpienia danej osoby - czyli decyduje popyt/podaż na dane umiejętności - mocno rynkowe podejście. Ciekawe. Też bym stosował jako jedno z kryteriów.

Pomysł 2f - ze względu na przychody/spadki kosztów / dochody lub inne wskaźniki finansowe lub inne które osiąga kierownik. Tu zalecam ostrożność. To może być bardzo dobre albo bardzo złe. I to pod wieloma względami dla organizacji.

Pomysł 2g - ze względu na czynniki poza merytoryczne, znajomi królika itp. zdarza się często i w sektorze publicznym i sektorze prywatnym (nawet w korporacjach). Nie polecam tej metody.

Pomysł 2h - mieszanina paru różnych powyższych pomysłów.

 

W bajki, że niewidzialna ręka rynku wycenia nie wierzę. Sorry za stary wilk ze mnie i za dużo widziałem.

Według mnie niezależnie jak ustalasz wysokość wynagrodzenia managerów, zasady powinny być przemyślane, jasne i jawne.

A ty jaki masz pomysł lub praktykę?

Ps nigdy nie pracowałem w HR (dobra przez parę lat zajmowałem się grupą kapitałową i byłem Przewodniczącym Rady Nadzorczej i ciut z tym miałem do czynienia), wyciągam więc tylko wnioski z obserwacji i analiz. 

 

Pss o dyskryminacji, regulaminie wynagrodzeń, umowach managerskich, kontraktach itd. itp., może napiszę innym razem.

"Noses in, fingers out" motto dla Rad Nadzorczych

Pan Andrzej Nartowski opublikował jakiś czas temu kolejny świetny artykuł "Okno z widokiem na spółkę". Miałem przyjemność podyskutować z Panem Andrzejem na LI. W podsumowaniu dyskusji Pan Andrzej ukuł zdanie "noses in, fingers out". Tłumacząc na polski" "wsadzać nos we wszystkie sprawy Spółki, trzymając ręce od nich z dala". Uważam, że to zdanie powinno być mottem wszystkich Rad Nadzorczych.

Każdy wie lub powinien wiedzieć, że co do zasady Rada Nadzorcza ma obowiązek nadzorować, a Zarząd zarządzać. O innych obowiązkach Rad Nadzorczych pisałem choćby w artykule Po co komu Rada Nadzorcza w Spółkach Kapitałowych?

 

Patrząc z mojej praktyki to większość Rad Nadzorczych nadzoruje spotykając się z Zarządem raz na miesiąc lub kwartał (do tego obecnie często na e-spotkaniach) i analizując dokumenty przekazane przez Zarząd.

Ja jestem nauczony sięgać do źródeł. Pojechać i obejrzeć działalność Spółki na miejscu. Sięgnąć do dokumentów źródłowych.  Poznać i porozmawiać z ludźmi, zwłaszcza z tymi kluczowymi.

Wychodzę bowiem z założenia, że jeżeli chcesz poznać jak najlepiej stan faktyczny i prawny to musisz porozmawiać, nie tylko z Zarządem (ten Ci powie to co będzie chciał) a bezpośrednio z ludźmi (główną księgową, oficerem Compliance itp. itd.) i to w cztery oczy a nie w towarzystwie Zarządu. 

Musisz przeczytać dokumenty źródłowe a nie tylko wyciąg przygotowany przez Zarząd (bo zawsze coś wytnie lub przedstawi coś tak by jemu było wygodnie). Musisz sam na własne oczy zobaczyć jak funkcjonuje Spółka. I musisz mieć szeroko otwarte oczy i nie bać się pytać o wszystko.

Musisz nauczyć się analizować dane, weryfikować je i sprawdzać.

Jeżeli nadzorujesz Spółkę to musisz o niej wiedzieć jak najwięcej. Wsadzić nos w każdy kąt i zajrzeć w każdą szafę.

Jednocześnie pamiętaj że nie wolno Ci wchodzić w buty Zarządu. Masz patrzeć Zarządowi na ręce, swoje trzymając z dala od Spółki. Inaczej wejdziesz w kompetencje Zarządu czyli przekroczysz swoje. A zdarza się, że Rady Nadzorcze mówią Zarządowi co ma robić. To nie powinno mieć miejsca. Oczywiście czasami np. Rada Nadzorcza wydaje tzw. zgody korporacyjne ale to inna bajka. Więcej o tym innym razem.

Praca w Radzie Nadzorczej to praca na cały etat. Wymaga wiedzy i kompetencji nie mniejszej niż bycie w Zarządzie (choć innej). Czemu więc często Radzie Nadzorczej płaci się ułamek tego co Zarządowi.

Jeżeli wymaga się wiedzy i kompetencji oraz ich używania to na nie wsadzajmy do Rady Nadzorczej figurantów ani znajomych królika (bo to wtedy zbędny koszt), a ekspertów (bo to inwestycja). 

Płaćmy należycie. I wymagajmy. 

 

Jakbyś miał pytania to zapraszam do kontaktu.

Compliance w programach MBA?

Ostatnie parę lat zajmuję się zawodowo coraz częściej:

1) zarządzaniem ryzykiem,

2) Compliance,

3) etyką i wartościami w biznesie.

 

I zauważyłem trzy rzeczy:

1) system compliance, system ochrony danych osobowych, system antykorupcyjny itd. - są oparte na analizie ryzyk,

2) zarządzanie operacyjne i strategiczne w dzisiejszych czasach też muszą być oparte na zarządzaniu ryzykami,

3) wiedza i umiejętność z zakresu zarządzania ryzykami, w tym Compliance oraz zarządzanie poprzez wartości stają się jednymi z kluczowych umiejętności kadry zarządczej i Rad Nadzorczych. Co wymaga zwiększenia kompetencji ich członków lub kooptację kolejnych odpowiednich ekspertów.

 

Jednocześnie cały czas jest mi bliski świat zarządzania i nadzoru właścicielskiego. Z tego też powodu dwa lata temu skończyłem studium menedżerskie miniMBA (Po co zawodowemu prawnikowi MBA - czyli mocne i słabe strony zawodowych prawników). Jednocześnie cały czas planuję skończyć pełne studia MBA, gdy moja sytuacja zawodowa i osobista na to pozwoli. 

Co ciekawe takie przedmioty jak zarządzanie ryzykami, Compliance, Etyka i wartości w biznesie, choć zaczęły się pojawiać w programach MBA to nadal jest to wyjątek, a nie zasada.

Co ciekawe podstawy prawa w biznesie też nie wszędzie są standardem. A pewne podstawy znajomości prawa powinien mieć każdy członek wyższej kadry menedżerskiej czy Rady Nadzorczej.

Zakres kompetencji i wiedzy wymaganej od członków kadry menedżerskiej czy członków Rad Nadzorczych jest coraz większy. A programy MBA nie są z gumy. Na to wszystko nakłada się pewny konserwatyzm środowiska naukowego i niewielkie grono ekspertów, którzy łączą wiedzę teoretyczną z praktyczną oraz talentem do przekazywania wiedzy innym.

Gdy analizowałem niektóre programy MBA widzę pewne możliwości modyfikacji programów. Zaryzykuję i napiszę, że nigdy nie będą szykował programów MBA (chyba że los znowu zrobi mi psikusa). Natomiast myślę, że jeszcze parę razy poruszę ten temat. Może w ten sposób  pomogę zaszczepić ideę wprowadzenia następujących zmian na studiach MBA:

1) wprowadzenie podstaw prawa w biznesie (ale na Boga niech to nie będzie kodeks pracy czy  umów w kc), raczej "Jak budować dojrzałą Kulturę prawną w organizacji" i podstawy ksh i umów,

2) wprowadzenie compliance,

3) wprowadzenie  zarządzania ryzykami,

4) wprowadzenie etyki i wartości w biznesie. 

Inna sprawa w jakim celu idzie się na MBA lub miniMBA.

Według mnie w MBA chodzi o rozszerzenie horyzontów. Dowiedzenia się czego się nie wie. Zdobycie wiedzy na poziomie pozwalającym rozumieć inne działy/piony. A przede wszystkim poznaniu innych ludzi i ich punktów widzenia. Na miniMBA oprócz mnie był jeszcze jeden radca prawny. To fajnie spotkać kogoś kto myśli jak ty. Ale jakby tam byli sami prawnicy (jak na legal miniMBA) to by to było nudne. Studia miniMBA dużo by straciły ze swej wartości. Rozwijamy się gdy spotykamy ludzi innych od nas. Uczymy się wtedy nawzajem od siebie. Praca i nauka z innymi prawnikami była bezcenna na aplikacji. Na studiach MBA chciałbym uczyć się od innych (no dobra jeden radca jako prawoskrzydłowy lub godny przeciwnik by się przydał).

Na MBA nikt z nas nie zrobi ekspertów z prawa, finansów, marketingu itd. Według mnie chodzi o to byśmy rozumieli te i inne kwestie i umieli nimi zarządzać oraz brać pod uwagę.

Ponadto w MBA chodzi o nawiązanie relacji. Jak z kimś uczysz się, pracujesz i pokonujesz przeszkody przez 2 lata to nawiązujesz relacje. A tylko to ma tak naprawdę wartość. Dlatego studia MBA online są dla mnie bez sensu.

A ty po co byś poszedł na MBA? i z kim?

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 31

Zastanawiałem się jak zakończyć ten rok na blogu. 

W zeszłym roku zakończyłem go postem Ciekawostki z prawa handlowego i nie tylko - odcinek nr 20, więc w tym roku zrobię tak samo. Wątpię by wszyscy czytali ciekawostki przed Sylwestrem ale po Sylwestrze i weekendzie będzie jak znalazł :-)

Zaczynamy oczywiście od  Ciekawostki z COMPLIANCE

W grudniu opublikowano Zarządzenie Nr 229 Prezesa Rady Ministrów z dnia 1 grudnia 2020 r. w sprawie wyznaczenia ministra właściwego do przeprowadzenia prac legislacyjnych mających na celu implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Uni.

Minister właściwy do spraw pracy ma załatwić sprawę przeprowadzenie na etapie rządowych prac legislacyjnych mających na celu implementację dyrektywy o sygnalistach. Wygląda na to, że rosną szansę na ustawę o sygnalistach. Oby minister nie zapomniał, że sygnalistami są nie tylko pracownicy. Trzymam kciuki by na RCL szybko pojawił się projekt ustawy, a Minister słuchał niezależnych ekspertów.

 

Pojawiły „Wytyczne antykorupcyjne dla administracji publicznej w zakresie jednolitych rozwiązań instytucjonalnych oraz zasad postępowania dla urzędników i osób należących do grupy PTEF”.

Omawiam je w serii artykułów na Inforze.

 

Co mogę dodać na zakończenie roku?

Wygląda na to, że 2021 r. będzie w końcu rokiem Compliance w Polsce. Dlaczego?

1) czeka nas wdrażanie Dyrektywy o sygnalistach,

2) jest szansa na nową ustawę o odpowiedzialności karnej podmiotów zbiorowych,

3) coraz więcej się mówi i pisze o Public Compliance,

4) mamy kolejne dyrektywy AML

5) ilość i szybkość zmian w prawie, w tym duże projekty zmian np. ksh powodują, że ryzyka prawna rosną

6) pandemia koronawirusa i wywołane nią zmiany oraz kryzys pokazują niezbędność zarządzania ryzykami, w tym ryzykami prawnymi.

Compliance powinien przede wszystkim:

1) zadbać o   realizację kocepcji tone from the top. To też test dla najwyższego kierownictwa czy traktuje Compliance serio i jako partnera, czy też compliance jest tylko pozorny,

2) zapewnić kadrze meneżerskiej stałe wsparcie w procesach decyzyjnych (o ile będzie w nie włączany, a według mnie powinien), w tym nie tylko o znaczeniu operacyjnym ale i strategicznym,

3) budować świadomość w organizacjach i zadbać o właściwą komunikację.

 

Ciekawostki z RODO

Z RODO w grudniu też się sporo działa. Wybrałem dla Państwa dwie decyzje PUODO.

 

Według Prezesa Urzędu Ochrony Danych Osobowych Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło PUODO naruszenia ochrony danych osobowych. Organ nadzorczy nałożył więc na spółkę karę pieniężną w wysokości 85 588 zł. Skutek może być taki, że część doradców zacznie doradzać zgłaszanie wszystkich naruszeń do PUODO. A nie o to chodzi w RODO - LINK do decyzji.

Z decyzji Prezesa Urzędu Ochrony Danych Osobowych, który nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, wynika, że  należy przeprowadzać regularne i kompleksowe testy, pomiary i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Inaczej podmiot naraża się na odpowiedzialność i kary.  - LINK do decyzji. Może teraz zaczną być zlecane cykliczne audyty powdrożeniowe systemów ochrony danych osobowych.

Inne Ciekawostki

Przypominam o Cyberbezpieczeństwie i zarządzaniu ryzykami wywołanymi przez pandemię i kryzys.

Jeżeli ktoś chce wysłuchać podsumowanie 2020 r. to zapraszam do obejrzenia rozmowy ze mną:

 

Od 16 lat prowadzę różne projekty prawne. W dniu 27 stycznia 2021 r. będę prelegentem na e-konferencji "Zarządzanie projektami dla prawników". Opowiem o roli komunikacji w zarządzaniu projektami. Serdecznie zapraszam.

 

A przy okazji
SZCZĘŚLIWEGO I ZDROWEGO NOWEGO ROKU

BY BYŁ MNIEJ CIEKAWY NIŻ 2020 ;-)

Niech moc Compliance i RODO będzie z wami.

Po co komu Rada Nadzorcza w Spółkach Kapitałowych?

Tak się dziwnie ułożyło moje życie, że gdy poszedłem na aplikację radcowską to byłem już Przewodniczącym Rady Nadzorczej i jednocześnie nadzorowałem projekt tworzenia, funkcjonowania a potem likwidacji Grupy Kapitałowej.

Powoduje to, że na działanie Rad Nadzorczych najpierw mam spojrzenie praktyczna, a potem teoretyczne.

Notabene pamiętam, jak zapytano mnie kogo dać do rady? Na co odpowiedziałem: prawnik, biegły rewident, ktoś kto zna branżę. Muszą też spełniać wymogi formalne. A na pierwszej radzie Nadzorczej kazałem Prezesowi oprowadzić siebie i wszystkich pozostałych członków rady nadzorczej po całym terenie przedsiębiorstwa i wszystkich obiektach. To plus lektura podstawowych dokumentów (a była tego spora sterta) pozwoliły nam poznać nadzorowaną spółkę.

No ale pewnie moje gawędy o przeszłości nie wszystkich interesują.

Niedawno popełniłem dwa artykuły w których pisałem o Radach Nadzorczych:
1) "Jak usprawnić pracę Rad Nadzorczych w spółkach prawa handlowego?"
2) "Ciekawostki z prawa handlowego i nie tylko - odcinek nr 26" - gdzie pisałem o czym powinny pamiętać Rady Nadzorcze w najbliższym czasie.

A przy okazji przypominam członkom Rad Nadzorczych o:
1) Compliance i sygnalistach,
2) ochronie danych osobowych,
3) kulturze organizacyjnej,
4) zarządzaniu ryzykiem,
5) sukcesji na kluczowych stanowiskach (i nie mam tu na myśli tylko Zarządu),
6) cyberbezpieczeństwie,
7) CSR.
To według mnie takie 7 głównych priorytetów Rad Nadzorczych (kolejność dowolna). Niestety to też często siedem grzechów Rad Nadzorczych.

No i zadano mi ostatnio pytania: Po co komu Rada Nadzorcza w Spółkach Kapitałowych? Na niczym się nie znają. Nic nie robią, tylko kasą biorą.

Tak w dużym skrócie i uproszczeniu.

Rada Nadzorcza sprawuje stały nadzór nad działalnością Spółki we wszystkich dziedzinach jej działalności. Opiniuje sprawozdania Zarządu itd. Często powołuje, odwołuje lub zawiesza członków Zarządu. Ponadto może mieć przyznane w statucie lub umowie Spółki inne uprawnienia i kompetencje. 

Jest takie powiedzenie. Władza deprawuje, a władza absolutna deprawuje absolutnie. Zarząd  w Spółce jest zwykle drugi po Bogu. Dlatego Rada Nadzorcza patrząca Zarządowi na ręce i jakby co mogąca go odwołać dobrze wpływa na Zarząd. Praktyka pokazuje, że do nadużyć Zarządu lub  błędów popełnianych przez Zarząd dochodzi najczęściej tam gdzie zabrakło efektywnego nadzoru.

Rada Nadzorcza może inicjować, modyfikować  i nadzorować wiele procesów.

Rada Nadzorcza może doradzać. Choć tu jest spore ALE. Ale nie może wydawać Zarządowi wiążących poleceń (co do zasady).

Taką masz Radę jaką do niej wybrałeś członków. Jak wybierzesz profesjonalistów to będzie profesjonalna. Jak wybierzesz espertów i znajomych królika to faktycznie na niczym nie będzie się znać, nic nie będzie robić (no chyba że będzie zabierała czas) i tylko kasę będzie brała.

Natomiast inna sprawa, że zakres obowiązków i odpowiedzialność członków Rad Nadzorczych jest coraz większy. Uważam, więc że wynagrodzenie członków Rady powinno być porównywalne z wynagrodzeniem członków Zarządu. A często występują tu duże dysproporcje. Niektórzy najchętniej w ogóle by nie płacili Radzie Nadzorczej.

Sposób funkcjonowania Rady Nadzorczej przekłada się na Kulturę organizacyjną Spółki. 

Chcesz mieć lepszą Spółkę zainwestuj w dobrą Radę Nadzorczą. Na pewnym poziomie działalności to już może zdecydować o losie Spółki.