Jak walczyć z dezinformacją i przy okazji poprawić niezależność cyfrową UE? Propozycja rewolucyjnych zmian w prawie

Jak walczyć z dezinformacją i przy okazji poprawić niezależność cyfrową UE, w tym Polski?

Niewątpliwie dezinformacja, zwłaszcza w social-mediach jest dziś bronią Rosji, Chin i skrajnej prawicy.

Dezinformacja niszczy kraje i Społeczeństwa Zachodu i Demokracje. 

Jednocześnie dane Europejczyków są surowcem wykorzystywanym przez big-techy z USA i Chin.

Co z tym zrobić?

Proponuję następujące wnioski de lege ferenda dla ustawodawcy unijnego.

1) dane Europejczyków mogą być przetwarzane tylko w UE i nie mogą być przekazywane do Państwa trzecich. Jak jakiś kraj chce świadczyć usługi cyfrowe to musi przetwarzać dane Europejczyków TYLKO na terenie UE. Musi wybudować serwerownie i centra przetwarzania danych na terenie UE i UE ma prawo to kontrolować. Jednocześnie powinny powstać zapory cyfrowe, zapewniające że bez wyraźnej i dobrowolnej zgody, żadne dane czy metadane Europejczyków nie wyjdą poza UE.

Mega koncerny zarabiają zbyt dużo i zbyt dobrze by wyjść z UE. 

Sankcje to powinny być wysokie kary finansowe, do tego egzekwowane bezzwłocznie i bezlitośnie.

Główna sankcja to przejęcie serwerowni i centrów obliczeniowych oraz praw do kodu.

2) socjalmedia powinny mieć obowiązek walki z hejtem, dezinformacją, naruszeniami prawa itd. I powinien być on realny. Jednocześnie nie mogą naruszać Wolności słowa 

3) w social-mediachach każdy musi publikować pod swoim imieniem, nazwiskiem i zdjęciem oraz podaniem lokalizacji Państwa.

Koniec z botami, fałszywymi kontami i anonimowością chroniącą hejterów itd.

Jednocześnie social-media muszą to weryfikować zgodnie z RODO i chronić konta swych użytkowników.

 

Zapomnieliśmy że Wolności słowa musi towarzyszyć odpowiedzialność za słowa. I Wolność słowa jest ograniczona prawami innych osób. W tym prawem do Prawdy. 

4) w social-mediach musi obowiązywać realny zakaz zakładania kont i publikowania poniżej 16 roku życia.

5) kod i algorytmy stosowane przez social-media muszą być udostępnione organom nadzorczym UE, który ma prawo wydawać polecenia ich zmiany w celu ochrony praw człowieka oraz jego Wolności. 
W tym prawa do prawdy.

Jesteśmy w czasach rewolucji technologiczno - informacyjnej. I te czasy wymagają rewolucyjnych zmian w prawie. 

 

Ps inny temat to tworzenie niezależności cyfrowej Europy. 

Hejt lub publikowanie wizerunku dzieci Polityków - to nie powinno mieć miejsca

Niestety zdarza się, że dzieci polityków są ofiarą hejtu lub publikowane są ich wizerunki bez zgody ich rodziców. W mojej ocenie dzieci polityków są tak samo chronione jak dzieci nie-polityków.

Przypominam, że hejt, w tym publikowanie wizerunku może stanowić czyn zabroniony opisany w: 

• art.207 KK – Znęcanie się. Kto znęca się fizycznie lub psychicznie nad osobą
• art. 190a KK – Stalking (Uporczywe nękanie). Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia, poniżenia, udręczenia lub istotnie narusza jej prywatność lub kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, w celu wyrządzenia jej szkody majątkowej lub osobiste
• art. 212 KK Zniesławienie. Kto pomawia inną osobę, grupę osób, instytucję, osobę prawną lub jednostkę organizacyjną niemającą osobowości prawnej o takie postępowanie lub właściwości, które mogą poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego dla danego stanowiska, zawodu lub rodzaju działalności (kara jest surowsza, gdy sprawca dopuszcza się tego czynu za pomocą środków masowego komunikowania np. mediów społecznościowych),
• art. 216 KK – Znieważanie osoby. Kto znieważa inną osobę w jej obecności albo choćby pod jej nieobecność, lecz publicznie lub w zamiarze, aby zniewaga do osoby tej dotarła, 
• art. 107 ustawy ODO - Odpowiedzialność za bezprawne przetwarzanie danych osobowych - Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony

Ponadto sprawcę hejtu lub publikacji wizerunku można ścigać za naruszenie dób osobistych.

W mojej ocenie hejt, którego ofiarą się dzieci jest szczególnie karygodny i powinien być surowy i skutecznie ścigany i karany.

W ostatnim czasie były dwa przypadku hejtu, którego ofiarami były dzieci polityków.

Pierwszy to przypadek syna posłanki PO. W zemście politycznej (posłanka PO w Sejmie krytykowała partię ministra sprawiedliwości za blokowanie pieniędzy na KPO), TVP Info, a potem przez Radio Szczecin ujawniły dane, które umożliwiły natychmiastową identyfikację ofiar pedofila. Warto zwrócić uwagę, że było to 2 lata po złapaniu sprawcy i rok po jego skazaniu a Sąd utajnił proces dla dobra dzieci. Do ataku mediów publicznych dołączyli się posłowie PiS oraz ich zwolennicy w internecie. A 15 letni chłopak w wyniku tego stał się ofiarą hejtu i popełnił samobójstwo. Dopiero 4 dni po jego śmierci odezwał się Rzecznik Praw Dziecka (poprzedni). Co szczególnie karygodne zamiast przeprosić winę próbowali zrzucić na PO.

Drugi przypadek to hejt wobec córki Prezydenta Nawrockiego po tym jak pokazały ją telewizje w dniu ogłoszenia wyników wyborów po II turze. W tym przypadku w ciągu paru godzin Rzeczniczka Praw Dziecka od razu się odezwała w obronie dziewczynki.

Warto zauważyć w tej drugiej sprawie, że:

1) od razu odezwały się liczne głosy w obronie dziecka i to niezależnie od poglądów politycznych,

2) wiele osób naruszając prawo publikowało wizerunek dziewczynki. Nawet jak pisali w obronie dziecka to łamali prawo,

3) strona PiS`owska od razu próbowała obwinić o hejt swoich przeciwników politycznych oraz wykorzystać sprawę do ocieplenia wizerunku nowego Prezydenta,

4) strona rządowa od razu potępiła hejt wobec dziewczynki,

5) większość hejterów to były trollowe konta (bez zdjęcia i dziwnymi nazwiskami) co sugeruje, że to był socjotechniczny atak ze strony Rosji mający na celu zwiększenie polaryzacji w Polsce (która niestety już dziś jest na wysokim poziomie).

 

Ostatnio też zauważyłem podobny atak - tym razem ofiarą hejtu (rzekomo przeprowadzanego przez mieszkańców Miast) mieli być rolnicy dotknięci różnymi klęskami. Wygląda to na kolejną próbę polaryzacji Polaków i ataku na stronę prodemokratyczną. 

 

Ten i inne przypadki pokazują, że potrzebujemy skutecznego systemu walki z mową nienawiści w internecie i z dezinformację w internecie. Szczególnie gdy ofiarą są dzieci.

Co ciekawe pomysł ten zwalcza skrajna prawica niby w obronie Wolności Słowa i z obawy przed cenzurą, a obecny Prezydent zawetował zmianę Kodeksu Karnego by objąć ochroną prawnokarną grupy Polaków będące ostatnio często ofiarą mowy nienawiści.

W mojej ocenie konta w socialmediach nie powinny być anonimowe. Powinny być rzeczywiście i skutecznie weryfikowane, a osoby które łamią prawo, hejtują lub pomagają w dezinformacji powinny być blokowane i karane finansowo. Wpisy zawierające hejt (mowę nienawiści) lub dezinformację powinny być usuwane. 

Przypominam, nie publikujemy niczyjego wizerunku bez jego zgody, a szczególnie dzieci.

Po drugie hejt jest przestępstwem a hejt wobec dzieci jest czymś wyjątkowo karygodnym. 

Chrońmy dzieci niezależnie co uważamy o ich rodzicach i niezależnie od czynów i słów rodziców.  

 

Uważam, że w tej sprawie powinna być ogólnonarodowa zgoda. 

 

  

Siódma rocznica RODO

Dziś jest siódma rocznica RODO. RODO zostało opublikowane 9 lat temu, a obowiązuje 7 lata, od 25 maja 2018 r.

To było niezwykłe 9 lat. Najpierw wszyscy lekceważyli RODO. Potem 8 lat temu zaczęły się wdrożenia - żeby było ciekawie do dziś mam zlecenia na wdrożenia. W maju 2018 r. miałem pełny portfel zamówień aż do września. Druga połowa 2018 r. i pierwsza połowa 2019 r. to była hossa na szkolenia. Potem zapanowała cisza. Pojedyncze szkolenia i audyty. Bardzo pojedyncze.

O dziwo od dwóch lat znowu zaczął się ruch w interesie. Choć bądźmy szczerzy, że niewielki. Może dlatego, że UODO się uaktywniło i zaczęło wymierzać wysokie kary. Czasami absurdalnie wysokie jak 27 mln zł  dla Poczty Polskiej. Naprawdę chciałbym poznać politykę karania przyjęto przez UODO. Z prawa karnego wykonawczego wiem, że nie wysokość kary ale jej nieuchronność odstrasza od łamania prawa. Jednocześnie wiem, że edukacja jest najskuteczniejszą metodą zapobiegania. Osobiście jestem zdania, że:

1)  mam wrażenie, że UODO stwierdziło, iż będzie nakładało maksymalnie wysokie kary by zastraszyć podmioty. Naprawdę nie da się wydawać zaleceń lub symbolicznych kar? Jak nie wiecie jak to zrobić to spytajcie się Praktyków Compliance.

2) nadal leży edukacja. Naprawdę UODO nie może opublikować wzorców dla różnych kategorii podmiotów. Pomijam ile kasy poszło na szatę graficzną ostatniego poradnika i jednocześnie UODO już opublikowało wyjaśnienie do poradnika i organizuje kolejne webinary. 

3) UODO utkwiło mentalnie w ustawie o ochronie danych osobowych z 1997 roku. Nadal UODO stosuje checklisty by sprawdzić czy ktoś jest zgodny z RODO, mimo że RODO wymaga by podejmować adekwatne środki techniczne i organizacyjne.

4) następny absurd to wymaganie by każde zagrożenie, było szczegółowo uwzględnione w analizie ryzyk. Ostatnio UODO ukarało firmę pogrzebową za to, że nie przewidziała, że niekompetentny pracownik zgubi pudło z dokumentacją bo mu wypadnie z części bagażowej. Założę się, że analiza UODO też nie uwzględnia szczegółowo wszystkich potencjalnych ryzyk. Do tego jak wykorzystać analizę ryzyk w której mamy parę tysięcy ryzyk co daje dziesiątki lub setki tysięcy powiązań.

5) w mojej ocenie głównym celem RODO jest by nasze prawa i wolności lepiej były chronione. A UODO robi wrażenie, że ich głównym celem jest by podmioty stosowały prawo ochrony danych osobowych tak jak widzi i rozumie to UODO.

6) wizja UODO jak powinna wyglądać funkcja IOD`a to jakaś abberacja. Ma tylko ładnie pachnieć i wskazywać palcem co jest nie tak. Nawet nie może wysłać zgłoszenia o naruszenia do UODO mimo, że zgodnie z RODO jest punktem kontaktowym. UODO zamiast się skupić na tym, by IOD miał odpowiednie zasoby oraz podmiot korzystał z jego wiedzy oraz stosował się do jego zaleceń uparł się udowodnić de facto że IOD jest zbędnym kosztem. Dlatego na rynku od roku IOD`ów zastępują koordynatorzy ochrony danych osobowych. Robią to samo co IOD ale nie mają gwarancji niezależności itd.

Co ciekawe po politycznym PUODO, od ponad roku mamy nowego, niezależnego Prezesa Urzędu Ochrony Danych Osobowych. Obiecał, że będzie konsultował i słuchał środowisk eksperckich.Sam należę do dwóch. Do SPOD i do SABI. Wiedzy i wymiany doświadczeń, nigdy za dużo. Niestety jakoś postulaty praktyków ochrony danych osobowych nie przebijają się do PUODO.

Pochwalę za jedno OUOD. Wyszukiwarka decyzji PUODO - LINK

Brakuje tylko filtra: KARY/ZALECENIA i czy są prawomocne.

 

W chwili obecnej nadal eksperci od ochrony danych osobowych zmagają się:

1) z RODO - to w ogóle ciekawy temat jak ODO ewoluowała i ewoluuje i ile nadal stanowi problemów,

2) DORA,

3) NIS2,

4) AI,

5) nowymi regulacjami unijnymi.

Już w 2018 r. niezbędne były zespoły wdrożeniowe - bezpiecznik, informatyk i prawnik.

Dziś już wyraźnie widać, że w zakresie ochrony danych osobowych dochodzi do coraz większej specjalizacji.

Jeżeli w 2018 r. wydawało się, że można być IOD wszędzie i IOD może wszystko ogarnąć, to dziś wiadomo, że IOD`owie się specjalizują i IOD nie ma dziś szansy wszystkiego ogarnąć.

O ile w wyniku działań UODO w ogóle w ogóle ten zawód przetrwa. Bo boję się, że IOD`owie będą tylko tam gdzie wymaga prawo na 1/32 etatu i pro forma.

Przy ochronie danych osobowych:

1) nie da się nudzić,

2) cały czas coś się dzieje nowego i zawsze coś jest do poprawy,

3) człowiek non stop się uczy,

4) non stop zaskakuje mnie głupota ludzka - a jakbym wpisał to do analizy ryzyk? hmmm

Niech moc RODO będzie z wami.

 

Pamiętajcie:

1) zarządzanie ryzykiem to fundament,

2) komunikacja, w tym szkolenia to podstawa,

3) papier służy komunikacji i celom dowodowym.

Szósta rocznica RODO

Wczoraj była szósta rocznica RODO. RODO zostało opublikowane 8 lat temu, a obowiązuje 6 lata, od 25 maja 2018 r.

To było niezwykłe 8 lat. Najpierw wszyscy lekceważyli RODO. Potem 7 lat temu zaczęły się wdrożenia - żeby było ciekawie do dziś mam zlecenia na wdrożenia. W maju 2018 r. miałem pełny portfel zamówień aż do września. Druga połowa 2018 r. i pierwsza połowa 2019 r. to była hossa na szkolenia. Potem zapanowała cisza. Pojedyncze szkolenia i audyty. Bardzo pojedyncze.

O dziwo od roku znowu zaczął się ruch w interesie. Może dlatego, że PUODO się uaktywniło.

Co ciekawe po politycznym PUODO, od paru miesięcy mamy nowego, niezależnego Prezesa Urzędu Ochrony Danych Osobowych. Trzymamy go za słowo, że będzie konsultował i słuchał środowisk eksperckich.

Sam należę do dwóch. Do SPOD i do SABI. Wiedzy i wymiany doświadczeń, nigdy za dużo.

W chwili obecnej eksperci od ochrony danych osobowych zmagają się:

1) nadal z RODO - to w ogóle ciekawy temat jak ODO ewoluowała i ewoluuje i ile nadal stanowi problemów,

2) DORA,

3) NIS2,

4) AI,

5) nowymi regulacjami unijnymi.

Już w 2018 r. niezbędne były zespoły wdrożeniowe - bezpiecznik, informatyk i prawnik.

Dziś już wyraźnie widać, że w zakresie ochrony danych osobowych dochodzi do coraz większej specjalizacji.

Jeżeli w 2018 r. wydawało się, że można być IOD wszędzie i IOD może wszystko ogarnąć, to dziś wiadomo, że IOD`owie się specjalizują i IOD nie ma dziś szansy wszystkiego ogarnąć.

Przy ochronie danych osobowych:

1) nie da się nudzić,

2) cały czas coś się dzieje nowego i zawsze coś jest do poprawy,

3) człowiek non stop się uczy.

Niech moc RODO będzie z wami.

 

Pamiętajcie:

1) zarządzanie ryzykiem to fundament,

2) komunikacja, w tym szkolenia to podstawa,

3) papier służy komunikacji i celom dowodowym.

Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem

Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).

Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.

Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.

Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).  

Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.

W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.

Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami. 

Osobom szerzej zainteresowanym tematyką polecam:

1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)

2) mapę myśli z mojego wystąpienia na tej konferencji.

 

Niech moc Compliance i RODO będzie z wami

 

ESG - jak rozpoznać ściemę część 2

Tydzień temu opublikowałem post "ESG - jak rozpoznać ściemę część 1" dziś czas na część drugą.

Zawsze na początku audytu proszę o przedstawienie dokumentacji. Często już wtedy wychodzi, że podmiot tylko ściemnia, że ma system (ESG, Compliance, ODO itd.). Dziś chciałbym opowiedzieć o dwóch klasycznych takich przypadkach.

W Spółce A, po mojej prośbie o dokumentację, dostałem tylko umowę Spółki i regulamin organizacyjny oraz informację, że żadnej innych procedur, polityk, regulaminów, rejestrów itd. z mojej listy nie mają. Zadałem  jeszcze parę pytań kontrolnych na wszelki wypadek i wyszło, że tam nie ma żadnego systemu. O wszystkim decyduje Prezes, raz tak drugi raz inaczej według swojego widzimisię. W podmiocie panował chaos, a Prezes miał władzę absolutną. Pozostało mi tylko sporządzić listę niezgodności i braków. Po tym jak już napisałem, że Spółce nie ma systemu.

W Spółce B, po mojej prośbie o dokumentację, dostałem wszystkie dokumenty z mojej listy plus parę innych. Problem polegał na tym, że najmniejszy z nich liczył kilkadziesiąt stron a polityka bezpieczeństwa Systemu Ochrony Danych Osobowych liczyła prawie 400 stron. Spytałem kto przeczytał tą całą politykę. Usłyszałem, że każdy przeczytał i podpisał oświadczenie, że zna Politykę. Szybka kontrola wykazała, że każdy pracownik podpisał oświadczenie, że przeczytał i zna parę tysięcy stron dokumentacji. Od strony formalno-prawnej Spółka się zabezpieczyła. Siebie zabezpieczyła. Z własnego doświadczenia wiem, że nie licząc mnie mało kto wszystko czyta co podpisuje. Większość ludzi jest w stanie przeczytać i zapamiętać maksymalnie kilkanaście stron tekstu. Dlatego zwykle piszę paro stronicowe procedury. Nieliczni przeczytają i zapamiętają kilkadziesiąt stron. Nikt oprócz takich wariatów jak ja nie przeczyta kilkaset stron i nawet ja nie zapamiętałbym takiej ilości treści. A oni mieli kilka tysięcy stron procedur. Według mnie na 100% nikt nie przeczytał tych wszystkich procedur, a o ich ścisłym stosowaniu już nie wspomnę. W mojej ocenie system był tam wdrożony pozornie.

Reasumując, za mało dokumentacji źle ale za dużo dokumentacji również źle.

Oczywiście dokumentacja to nie system. To tylko jedno z narzędzi (środków), służące do osiągnięcia celu i spełnienia zasady rozliczalności. Wdrożenie systemu zawsze oznacza wdrożenie adekwatnych środków technicznych i organizacyjnych oraz zmianę kultury organizacyjnej danego podmiotu. 

Oczywiście sprawdzenie papierów to tylko pierwszy krok z wielu.

A ty faktycznie wdrażasz ESG czy tylko na papierze wszystko ma się zgadzać?

Sprawdzimy?

Ps moje wynagrodzenie za audyty jest płatne z góry bo zwykle kogoś boli prawda jaką ujawnię, a nienawidzę jak ktoś nie płaci w terminie.

Zaproszenie na konferencje - 20 X i 24 X

 Dziś mam przyjemność zaprosić Państwa na dwa niezwykłe wydarzenia

I. Trójmiejski Wieczór z Praktykami Compliance w dniu 20 października 2023 r.

 

„Chcesz iść szybko, to idziesz sam. Chcesz iść daleko – idziesz z innymi”.

Ta maksyma towarzyszy Praktycy Compliance Stowarzyszenie (PCS) od samego początku i jest motorem naszych działań.💪

Jako Stowarzyszenie chcemy zajść daleko m.in. w propagowaniu przydatnej wiedzy na temat compliance oraz budowaniu i integrowaniu środowiska specjalistów oraz pasjonatów z tego obszaru. Wymiana doświadczeń między praktykami oraz bieżące, merytoryczne wsparcie ekspertów z różnych dziedzin daje niezwykłą możliwość rozwoju oraz wywierania pozytywnego wpływu na nasze otoczenie nie tylko zawodowe, ale także społeczne.

💥🔥Dlatego od października br. rozpoczynamy nowy projekt, który ma przybliżyć nas do realizacji założonych celów - Wieczory z Praktykami Compliance.💥🔥

To cykliczne spotkania z członkami PCS w różnych regionach naszego kraju. Każdemu z tych spotkań, dedykowanym różnym obszarom compliance, będą towarzyszyły ciekawe wystąpienia ekspertów, wymiana doświadczeń oraz długie rozmowy, dzięki którym uczestnicy nawiążą nowe, cenne relacje. Mamy nadzieję, że tym samym, taka aktywność pomoże tworzyć i integrować lokalne i regionalne środowiska praktyków i pasjonatów compliance, między innymi w ramach naszego Stowarzyszenia.

UWAGA❗❗❗ Pierwsze otwarte spotkanie z członkami PCS odbędzie się na terenie Trójmiasta już w październiku br. i będzie poświęcone tematyce systemów zgłaszania naruszeń oraz ochrony sygnalistów. Poniżej znajduje się więcej informacji na temat tego wydarzenia.

📌 "Trójmiejski Wieczór z Praktykami Compliance"

📅 Data: 20 października 2023 r. (piątek)

🕕 Godzina: 18:00 - 21:00

🗺 Miejsce: Sopocka Akademia Nauk Stosowanych, ul. Rzemieślnicza 5 w Sopocie, Aula (1. piętro)

Temat przewodni: Praktyczne aspekty wdrażania i zarządzania systemami whistleblowingowymi

📝 Program spotkania:

1. Powitanie uczestników przez zarząd PCS i kilka słów o Stowarzyszeniu.

2. Wystąpienia ekspertów PCS

2.1 Praktyczne aspekty wdrożenia skutecznego systemu whistleblowingowego

Prelegent: ekspert ds. whistleblowingu Rafał Hryniewicz

2.2 Specyfika wdrożenia i utrzymania systemu zgłaszania naruszeń w sektorze publicznym

Prelegent: radca prawny i ekspert ds. compliance Paweł Bronisław Ludwiczak ACO, ACE, miniMBA

2.3  Działania następcze na gruncie Dyrektywy UE w sprawie ochrony osób zgłaszających naruszenia prawa Unii i projektu polskiej ustawy implementującej -  praktyczne problemy i wyzwania

Prelegent: adwokat i ekspert z zakresu prawa karnego Paweł Sawicki

3. Panel dyskusyjny

4. Podsumowanie i zakończenie spotkania

🔥🔥🔥 Wstęp wolny!

Spotkanie jest bezpłatne, prosimy o dokonanie rejestracji na wydarzenie, poniżej link do zapisu:
https://forms.office.com/e/BwXpBCzkGZ

Jeżeli chcesz poznać ciekawych, inspirujących ludzi, pogłębić swoją wiedzę z obszaru compliance, a także współtworzyć z nami Stowarzyszenie Praktyków Compliance serdecznie zapraszamy Ciebie na spotkanie oraz do samego Stowarzyszenia.

Zaangażuj się na rzecz budowania nowej jakości compliance w Polsce!

 

II.  Trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” w dniu 24 października 2023 r.

 

Zapraszam na III konferencję online DAPR "Na styku RODO i Cyberbezpieczeństwa”. Tym razem spora dawka praktycznej wiedzę z zakresu prawa, IT, #Compliance i cyberbezpieczeństwa.
Możesz się zapisać tu:  https://3konferencjarodo.dapr.pl/

Ja oczywiście będę mówił o Compliance i RODO, a moją sentencją przewodnią będzie: "Compliance, RODO i CYBER - trzy różne systemy o wspólnym fundamencie i wspólnym celu".

Niech moc COMPLIANCE i RODO będzie z wami.

Wizja Orwella z książki "Rok 1984" w 2023 roku

Jeszcze nie dawno ja i inni eksperci ds. prywatności byliśmy przerażeni ilością wiedzy, którą o nas ludziach mają Big Tech'y. Google, Apple, Microsoft, Amazon i Facebook zebrali i przetwarzali niesamowite ilości danych osobowych. Daje im to dziś olbrzymią przewagę konkurencyjną.

Afera Cambridge Analytica pokazała, że przy pomocy tych danych nie tylko można wpływać co kupujemy ale i wpływać na wybory np. w USA czy referendum w sprawie Brexit. W ten sposób np. Ruscy pomogli wygrać Triumpowi czy doprowadzili do Brexitu.

Do tego socjal media zamknęły nas w bańkach informacyjnych. Decydują nie tylko co kupujemy ale co czytamy i wiemy. Internet obiecywał Wolną wymianę informacji. Dziś zmagamy się z dezinformacją, fake'newsami, hejtem itp. itd.

Jednocześnie ufaliśmy Państwu, że zbiera i przetwarza nasze dane tylko w zakresie niezbędnym do dobrego rządzenia państwem i prowadzenie mądrej polityki zdrowotnej, socjalnej itp. itd. Robi to w sposób rzetelny, celowy, legalny i niezbędny.

Pierwsze ostrzeżenie przyszło od Sygnalisty Snowdena. Amerykańskie służby "podsłuchiwały" wszystkich.

Drugie ostrzeżenie to była totalna kontrola wprowadzona w Chinach i system oceny obywatela.

Trzecie ostrzeżenie to było przejęcie mediów i zakłamywanie pod bieżące potrzeby rzeczywistości przez Dyktatury, Autokracje i populistów.

A Państwo, zwłaszcza kontrolując Banki, służbę zdrowia, energetykę itd. wie o nas wszystko od urodzenia aż po naszą śmierć.

Jednocześnie po zamachach w dniu 11 września, Społeczeństwo ze strachu przed terroryzmem dało pozwolenie na ograniczenie swej Wolności i Prywatności w zamian za złudzenie bezpieczeństwa.

Dziś np. w Polsce, Państwo może się dowiedzieć o nas wszystkiego i nas śledzić, bez niezależnej kontroli lub ze złudzeniem kontroli. A co więcej nie musi nas o tym informować.

Władza deprawuje a władza absolutna deprawuje absolutnie.

Służby pozbawione kontroli nad sobą mogą mieć olbrzymią pokusę nadużycia władzy.

Dlaczego musimy się tego obawiać?

Podam tylko parę faktów:

1) szefem służb jest minister skazany nieprawomocnie za nadużycie uprawnień. Według informacji z kuluarów słynie podobno ze zbierania haków na wszystkich,

2) Premier i niektórzy ministrowie przesyłali tajemnice Państwowe i Partyjne nie przez zabezpieczone służbowe skrzynki e-mail tylko przez prywatne. Od dłuższego czasu możemy poznawać kulisy obecnej władzy dzięki aferze Dworczaka. Czyżby Premier i inni ministrowie nie ufali swemu koledze?

3) afera Pegasusa pokazała, że zamiast podsłuchiwać przestępców i terrorystów, służby podsłuchiwały opozycję w czasie wyborów i niewygodnych prokuratorów, adwokatów itp. itd., czemu przypomina mi się PRL?

Do tego Pegasus nie służy tylko do podsłuchiwania rozmów. Możesz podsłuchiwać wszystko, ściągnąć dowolne pliki z telefonu lub wgrać dowolne pliki komuś na telefon. A potem go skazać za to, że posiada te pliki na swoim telefonie,

4) afera Niedzielskiego pokazało, że minister może mieć dostęp do danych wrażliwych (stan zdrowia) i wbrew prawu ujawnić je by przyłożyć obywatelowi, który jako lekarz nawet nie skrytykował ministra, tylko uskarżał się na problem z receptami. Minister został odwołany ale nadal nie przeprosił,

5) sprawa Pani Joanny z Krakowa pokazała, że Policja zamiast chronić obywatela i przestrzegać prawa, może łamiąc prawo zaatakować go ujawniając nagrania i dane wrażliwe w mediach publicznych.

Słyszałem, że to nie Policja ujawniła pierwsza te informacje i tylko się broniła. Powiem tak. Na funkcjonariuszach publicznych i zawodach zaufania publicznego ciążą szczególne obowiązki. Jak np. ktoś mnie krytykuje w internecie to niezależnie czy pisze prawdę czy mnie zniesławia i znieważa nie wolno mi naruszyć tajemnicy radcowskiej lub złamać prawo ujawniając jego dane wrażliwe by mu przyłożyć lub się bronić.

Policja to służba. Ma szczególne przywileje ale i obowiązki. Policji nie wolno łamać prawa lub krzywdzić obywatela. Jeżeli łamie prawo lub nie chroni obywatela, a go krzywdzi to mamy do czynienia z milicją z PRL-u.

Nie ważne kto zaczął. Nie ważne że Policja jest krytykowana (słusznie lub nie). Nie wolno jej krzywdzić obywatela, łamać prawa lub ujawniać danych wrażliwych. Nie wolny i już. Obywatel ma ufać Policji, a nie jej się bać. Policja ma służyć  obywatelowi i chronić obywatela oraz przestrzegać prawa.

Ujawnienie nagrań i danych wrażliwych Pani Joanny to nie była próba obrony Policji, tylko atak na obywatelkę. Obywatelkę, której prawa już wcześniej naruszyła Policja (co potwierdza choćby pierwsze orzeczenie sądowe). Ja rozumiem, że służby mogą się mylić. Ale powinny wtedy przeprosić i zadośćuczynić, a nie grzebać w danych obywatela i atakować go przez ujawnianie jego danych i to w zmanipulowany sposób.

Dziś ryzyko ziszczenie się wizji Orwella jest olbrzymia. Państwo już wie wszystko lub prawie wszystko. W niektórych Państwach już kontroluje wszystko i kreuje wizję rzeczywistości w oderwaniu od faktów.

W niektórych Państwach niepochlebny wpis o rządzących może złamać karierę lub grozić więzieniem.

AI może dać rządzącym lub korporacjom władzę absolutną. Będą mogli w pełni nas monitorować i nami sterować.

Już nie wsadzimy tego Dżina do butelki. Ale możemy stworzyć system kontroli, nadzoru niezależnych instytucji i gwarancji prawnych, które pozwolą nam obywatelom zachować kontrolę. 

Niezależnych nie tylko de iure (według prawa) ale i dr facto (faktycznie) i nie bojące się surowo karać korporacje lub funkcjonariuszy publicznych za naruszenia prawa, niezależnie od ich barw partyjnych.

O ile już nie jest za późno. 

W Chinach czy Rosji już jest. W Chinach czy Rosji nikt już nie skrytykuje władzy. Bo się boi i woli sam się ocenzurować. Zwłaszcza w internecie. W Polsce też już zlecenia, dotacji itd. ze środków kontrolowanych bezpośrednio lub pośrednio przez rządzących nie dostanie ktoś kto władzę skrytykuje lub pokaże jej kłamstwa. 

Po 2014 możliwości inwigilacji wzrosły. 

Dziś widać, że władza nie zawaha się użyć tych informacji. 

Pamiętaj o tobie też wie wszystko. 

A jak mówił kardynał Richelieu "daj mi trzy linijki napisane przez najbardziej cnotliwego męża, a ja znajdę powód by zamknąć go w Bastylii". Na każdego znajdzie się paragraf.

No cóż ja wolę żyć w kraju gdzie ja patrzę władzy na ręce, a nie ona na moje. 

A ty? 

Dzień inspektorów ochrony danych

Dziś, w dniu 26 stycznia jest dzień inspektorów ochrony danych. Z tej okazji chciałbym przypomnieć moje trzy teksty o IOD`ach:

1) Inspektor Ochrony Danych - kiedy musi być, kim powinien być a kim bywa - czyli 7 pytań o IOD`a  

2) IOD - mistrz Jedi, rycerz Jedi czy padawan? A oficer Compliance?

3) IOD w świetle pytań PUODO

IOD`om życzę by pytali nas przed a nie po, słuchali i rozumieli co mówimy oraz żebyśmy mieli zapewnione odpowiednie zasoby.

 

W dniu 28 stycznia jest Europejski Dzień Ochrony Danych Osobowych. Z tej okazji parę wieści o RODO

Prezes UODO zatwierdził pierwszy w Polsce kodeks postępowania zgodnego z RODO. „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany został przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Organ nadzorczy udzielił również akredytacji dla RS Jamano, który będzie pełnił funkcję podmiotu monitorującego stosowanie kodeksu. Po upływie 4,5 roku mamy więc pierwszy kodeks i pierwszy akredytowany podmiot monitorujący w Polsce. Obstawiam, że do końca tej dekady ilość kodeksów nie przekroczy liczby 10.

Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na 2023 rok. Z kontrolą muszą się liczyć podmioty:

1) przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym,
2) przetwarzające dane osobowe przy użyciu aplikacji mobilnych,
3) przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych),

UODO będzie zwracało szczególną uwagę na sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji lub aplikacji internetowej (webowej).

 

Przy okazji przypominam, że:

1) RODO chroni prawa i wolności osób fizycznych,

2) w ochronie danych osobowych chodzi o zarządzanie systemem ochrony danych osobowych, a nie o dokumentację (ta jest ważna z uwagi na komunikację i rozliczalność),

3) podstawą zarządzania systemem ochrony danych osobowych jest zarządzanie ryzykiem prawnym. Tak samo jak w Compliance, ESG czy w ogóle w zarządzaniu,

4) każde przetwarzanie danych osobowych musi mieć podstawy prawne.

 

Niech moc RODO będzie z wami.

Ogłoszenia o kongresach Compliance

Najgorsze starochińskie przekleństwo to, żebyś żył w ciekawych czasach. Niewątpliwie czasy są ciekawe. Rzeczywistość przypomniała nam czym jest pandemia, wojna, rządy populistów i autokratów itd. W życiu zawodowym też się dzieje, choć na szczęście dla odmiany pozytywnie.

W dniu 20 września br. odbyła się II Konferencja DAPR pod tytułem "Korzyści z RODO dla Biznesu". GoTek Rysuje przygotowała znowu nieziemskie podsumowanie mojej prezentacji.

Domyślacie się, że mówiłem o budowaniu świadomości w organizacji i roli IOD`a.

W dniu 29 września br., będę miał przyjemność wystąpić jako gość na Konferencji Raczkowski Compliance Day 2022 r. Wraz z innymi gośćmi będę dyskutował o realiach pracy compliance oficera w polskich organizacjach. Będę mówił o praktyce, a nie teorii. Serdecznie zapraszam, zwłaszcza, że wydarzenie jest bezpłatne.

Natomiast w dniach 20-21 października br. odbędzie się III Polski Kongres Compliance. Występowałem na I i II, więc przyjąłem zaproszenie i na III. Będę mówił o odpowiedzialności za wdrożenie i utrzymanie systemu Compliance w świetle nowelizacji kodeksu spółek handlowych oraz projektu nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Czyli będzie i o Compliance, i o zarządzaniu, i prawie handlowym i prawie karnym. Wszystko to co tygryski lubią najbardziej. Oczywiście serdecznie zapraszam na wydarzenie.

Obserwujcie bacznie stronę stowarzyszenia Praktycy Compliance na Linkedin oraz stronę www. Niedługo będzie się działo.

Niech moc Compliance będzie z wami.

IOD w świetle pytań PUODO

Zawsze jak szkolę z ochrony danych osobowych to pytam "kto odpowiada za ochronę danych osobowych?". Zwykle pada odpowiedź: "IOD".

Oczywiście jedną z osób, która odpowiada za system ochrony danych osobowych jest Inspektor Ochrony Danych w skrócie IOD.

Jednym z mitów dotyczących IOD jest to, że odpowiada on za wszystko. Za wszystko to odpowiada Administrator. IOD odpowiada za doradztwo, nadzór i swoje obowiązki m.in. jako punkt kontaktowy.

Drugi mit, to że IOD albo jest hamulcowym który nie rozumie biznesu i się czepia bez sensu (bo pilnuje, żeby administrator wypełniał swe obowiązki) albo że ma podpisywać i nie marudzić, przecież wszystko jest okey (notabene w każdej organizacji, zwłaszcza większej nie wszystko jest okey). Dlatego można IOD płacić grosze i wystarczy jak się pojawi raz, dwa razy w tygodniu papiery podpisać. 

Od dawna piszę, o tych i innych mitach związanycg z funkcją IOD. Nadal iwielu administratorów źle rozumie jego rolę lub jej nie docenia. Z wielu artykułów polecam post: "IOD - mistrz Jedi, rycerz Jedi czy padawan?".

Niedawno PUODO opublikowało pytania weryfikujące funkcjonowanie IOD'ów u Administratorów i w podmiotach przetwarzających. Co wynika z tych pytań o wizji PUODO na temat IOD'ów?

Nie będę się wymądrzał jak odpowiadać itp. Zapraszam za to do mojej analizy pół żartem pół serio (choć tematyka poważna) pytań.

1) Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?

Pytanie kontrolne. Jak jest, to można sprawdzać dalej. Jak nie ma to, koniec kontroli, chyba że ma być.

2) Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?

Pytanie kontrolne. Czy IOD jest, jeżeli być powinien.

3) Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub - jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?

To jest ciekawa kwestia. RODO nie nakazuje publikowania imienia, nazwiska czy telefonu IOD, natomiast ustawa nakazuje opublikować imię i nazwisko IOD oraz kontakt do niego. Ktoś mi wytłumaczy po co ustawodawca krajowy każe publikować imię i nazwisko IOD'a? Według mnie to nadmiarowe przetwarzanie.

No ale PUODO stosuje zasadę dura lex sed lex.

4) Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?

Pytanie kontrolne. Sprawdzenie stosowania przepisów. 

5) Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?

Pytanie kontrolne.

6) Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?

To pozwala ocenić, czy IOD ma czas dla organizacji czy bywa raz w tygodniu na godzinę i równie dobrze mogłoby go nie być 

7) Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?

To jest ciekawe pytanie. I bardzo dobre :-)))) Trzeba udowodnić, że powołało się eksperta a nie znajomego królika, ochotnika z łapanki lub najtańszego oferenta. To jasno pokazuje, że wybierając IOD trzeba się kierować jego kompetencjami i wiedzą, a nie ceną. A jakość kosztuje.

8) Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?

Według mnie jedno z najważniejszych pytań. Jeżeli IOD nie ma zasobów, to nie może skutecznie działać. I mówiąc o zasobach nie chodzi tylko o kasę ale i ludzi oraz narzędzia. 

9) W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?

Drugie mega ważne pytanie. Ja w czasie audytu proszę o plan szkoleń IOD. Potem sprawdzam dostęp do publikacji itp. Szybko wychodzi szydło z worka czy IOD utrzymuje wiedzę fachową czy też jego wiedza się deaktulizuje.

10) Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?

Pytanie formalno-prawne ale pomaga ocenić niezależność IOD. Według mnie podległość w strukturze pod Prezesem nie świadczy jeszcze o niezależności.

11) Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?

Pytanie formalno-prawne. Ale swoją drogą stawia ciekawe pytanie o zastępcę IOD, np. czy można go powołać na stałe jako wsparcie IOD? 

12) Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?

To pytanie, czy IOD ma odpowiednie zasoby ludzkie. W organizacjach liczących setki lub tysiące osób świadczących pracę, samotny IOD nie ma szans wykonać należycie swoich obowiązków.

13) W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?

To jest mega ważne pytanie. Wielu IOD skarży się, że nie są włączani we wszystkie sprawy, są włączani zbyt późno lub ich uwagi nie są należycie uwzględniane. Jednocześnie w dużych organizacjach samotny IOD nic by nie robił tylko na spotkania biegach. 

No i kwestia rozliczalności - ma zbierać podpisy? Przecież to byłby przerost formy nad treścią.

14) W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

Pytanie kontrolne. Choć ważne 

15) Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

Pytanie kontrolne ale bardzo ważne.

Niestety nadal bardzo często to IOD sporządza dokumentację systemu ochrony danych osobowych. To spadek po ABI i starej ustawie.

16) W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

Widać że teoretyk pisał te pytanie. Powiem tak. Niezależnym to się jest albo nie. Trzeba mieć autorytet i tyle. No ale jak ktoś bierze "kilkaset" złotych za funkcję IOD i podpisuje tylko papierki 2-3 razy w tygodniu to ani nie ma autorytety ani niezależności.

17) W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?

Kolejne pytanie teoretyka. Patrz odpowiedź wyżej.

18) W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?

Lubię pytania teoretyków. To zależy od transparentności i dojrzałości organizacji. 

Ja tam zawsze mam dowód na piśmie jak coś doradzałem. Nie raz mnie to uratowało.

19) W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?

Pytanie kontrolne 

20) Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:

To jest ciekawe zagadnienie i ważne.

a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,

Ciekawie kto prowadzi ewidencję czasu pracy w tym zakresie 

b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?

Ciekawe pytanie na osobnego posta. Z chęcią bym zobaczył jakieś wzory a potem sprawdził jak działają w praktyce. Bo wiecie papier przyjmie wszystko.

c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?

Ważne pytanie kontrolne. IOD nie powinien mieć dwóch panów.

21) Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?

Teoretycy kochają dokumenty. A papier przyjmie wszystko.

Choć procedury są bardzo ważne to .....

22) Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?

Pytanie kontrolne. Swoją drogą jak IOD nie ma na miejscu to jak nadzoruje?

23) Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?

Naprawdę teoretycy kochają papierologię.

A nie lepiej sprawdzić ile zrobił kontroli i szkoleń.

24) Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?

Pytanie kontrolne 

25) Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?

To jest ciekawa kwestia. Ja myślałem że komunikacja IOD i Administrator to podstawa. Oczywiście jak wszystko jest okey to można 1-2 razy do roku. Jak mamy incydenty czy zdarzenia to trzeba utrzymywać gorącą linię.

26) Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?

Pytanie kontrolne 

27) Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Ciekawe pytanie. Według mnie IOD działa jak oficer Compliance na drugiej linii obrony (częściowo na trzeciej). Według mnie to komórki audytu i kontroli wraz z najwyższym kierownictwem powinny kontrolować pracę IOD.

Ale jeżeli tylko on ma wiedzę w organizacji?

Ciekawe jak PUODO będzie modyfikował pytania i jak wykorzysta to narzędzie - ankiety.

Niech moc ochrony danych osobowych będzie z wami.

Czy masz system ochrony danych osobowych, zgodnie z RODO, w swojej organizacji? A czy działa? A skąd to wiesz?

To było w ostatnią środę. Na linkedln napisał do mnie znajomy przedsiębiorca czy może przedzwonić?

Odpowiedziałem się, że nie ma problemu, po godzinie 17 może spokojnie do mnie zadzwonić i możemy chwilę porozmawiać.

I faktycznie, po 17, do mnie przedzwonił. Powiedział, że wie, że jestem ekspertem od RODO i ma drobne pytanko. 

Na takie pytania odpowiadam standardowo, że jak drobne to oczywiście niech pyta i postaram się pomóc ale jak to coś poważniejszego to uzyskanie odpowiedzi będzie go kosztować - w końcu zarabiam odpowiadając na pytania lub sam pytając, zapobiegając problemom, rozwiązując problemy i minimalizując straty czyli udzielając pomocy prawnej. 

Powiedział, że rozumie.  Wczoraj czytał jeden z moich artykułów i zrozumiał, że nie wie czy u niego w przedsiębiorstwie działa skuteczny system ochrony danych osobowych. Co prawda 4 lata kupił zestaw dokumentacji RODO od znajomej kancelarii i jakiś ekspert pomagał mu poprawić stronę 3 lata temu, ale po moim artykule nabrał wątpliwości czy to wystarczy.

Dopytałem, jak dużą ma firmę i czy przetwarza dużo danych osobowych?

Okazało się, że firma jest średnia, ma kilkadziesiąt pracowników i przetwarza "chyba" dużo danych osobowych.

Odpowiedziałem szczerze, że jakbym miał zgadywać, to system ochrony danych osobowych u niego jest pozorny i nieskuteczny. Jak chce wiedzieć co nie działa lub czego brak i co trzeba poprawić to trzeba zrobić audyt. Audyt średniego przedsiębiorstwa kosztuje u mnie od kilkunastu tysięcy w górę + VAT. Oczywiście po uzyskaniu odpowiedzi na parę dodatkowych pytań przedstawię konkretną ofertę. Audyt kończy się raportem z zaleceniami oraz moją ofertę - w czym mogę pomóc w działaniach naprawczych i ile to będzie kosztować. Oczywiście może działania korygujące lub naprawcze zlecić tak jak audyt mnie lub komuś innemu. Nawet mogę polecić parę kancelarii i ekspertów, którzy naprawdę się znają na ochronie danych osobowych, a nie tylko sprzedają dokumentację "podobno" zgodną z RODO.

Klient powiedział, że się zastanowi i się grzecznie pożegnał. Zobaczymy czy potraktuje ten wydatek jako inwestycję w bezpieczeństwo czy jako koszt. W sumie to "rozumiem". Na skuteczny system trzeba wydać od kilku do kilkaset tysięcy złotych (wdrożyć i utrzymać), a kary i odszkodowania to tylko od kilkudziesięciu tysięcy do kilku milionów złotych (tyle na razie maksymalnie nałożył PUODO), do tego koszty pomocy prawnej przed PUODO, WSA i NSA - kolejne kilkadziesiąt lub kilkaset tysięcy + utrata reputacji. No i co z tego, że coraz więcej kontrahentów wymaga bycia Compliance. No cóż przetrwanie czy rozwój nie są obowiązkowe jak mówi znajomy ekspert od zarządzania ryzykiem.

Jak obserwuję rynek, wykonują zlecenia audytów, aktualizacji lub naprawy systemu lub poprawy dokumentacji RODO to stwierdzam, że mimo tego, że prawo ochrony danych osobowych mamy w Polsce od ćwierć wieku, a RODO obowiązuje od 4 lat to:

1) nieliczni przedsiębiorcy i część sektora publicznego są świadomi swoich obowiązków z zakresu ochrony danych osobowych i utrzymują skuteczne i efektywne systemy ochrony danych osobowych,

2) spora część przedsiębiorców i sektora publicznego coś tam ma. Mniej lub bardziej pozornego lub nieskutecznego. Zwykle bardziej pozornego i mało skutecznego,

3) nadal spora część przedsiębiorców i sektora publicznego nie ma nic lub ma tylko półkownika - zakurzony i nieużywany segregator z niby dokumentacją RODO, której nikt nie czytał i nikt nie stosuje.

Dla mnie skuteczny i efektywny system ochrony danych osobowych to między innymi:

1) kwestia bezpieczeństwa organizacji i najwyższego kierownictwa,

2) kwestia przewagi konkurencyjnej,

3) kwestia odpowiedzialności - za brak, pozorność lub nieskuteczność systemu grozi odpowiedzialność administracyjna (finansowa), cywilna, karna,

4) kwestia kultury organizacyjnej.

Ludzie coraz bardziej są świadomi swoich praw i składają coraz więcej skarg do PUODO, a PUODO na nie reaguje.

PUODO prowadzi coraz więcej kontroli i nakłada coraz więcej kar.

Rośnie stres, zagrożenie cyberbezpieczeństwa itp - w każdym podmiocie w końcu dojdzie do naruszenia ochrony danych osobowych. Pytanie tylko kiedy i ile to będzie kosztować.

Mam teraz do ciebie trzy pytania:

1) Czy masz system ochrony danych osobowych w swojej organizacji? (bo jakieś dane osobowe na pewno przetwarzasz.

Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 2.

 

2) Czy ten system działa skutecznie i efektywnie?

Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 3.  

3) A skąd to wiesz?

Jeżeli robisz co rok audyty i kontrole (u różnych i sprawdzonych ekspertów) to super. Byle byś im płacić za to by naprawdę sprawdzili, a nie za certyfikat, że wszystko jest okey.

Jeżeli nie robisz audytów i kontroli to nie wiesz, a zgadujesz. I masz problem.

 

Niech moc RODO będzie z wami.

Ps a jak masz problem to wiesz jak się ze mną skontaktować :-) Wycenę robię indywidualnie pod klienta. Przy większych pracach montuję zespoły.