Ciekawostki z prawa handlowego i nie tylko - odcinek nr 29

Minął miesiąc i czas na kolejny odcinek Ciekawostek z prawa handlowego.

No to zaczynamy od tego co tygryski lubią najbardziej, czyli COMPLIANCE.

Miesiąc temu pisałem, że w Gazecie Prawnej pojawił się artykuł, iż Ministerstwo Sprawiedliwości przedstawi niedługo nowy projekt nowej ustawy o odpowiedzialności podmiotów zbiorowych. Internet zaroił się wtedy artykułami o pogłoskach itd., a ja czekałem na projekt ustawy. No dobra zgłosiłem wniosek de lege ferenda co do kary. I się projektu nie doczekałem. Projektu jak nie było, tak nie ma.

Ale za to pojawiły się wytyczne CBA w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym. Artykuł o tym będzie wkrótce na prawo.pl i na Inforze. Radzę więc śledzić bloga i mój profil Linkedln. Można też już przeczytać moją opinię na prawo.pl. Cytuję: "Paweł Ludwiczak, radca prawny i compliance officer, nie ma wątpliwości, że nowe regulacje, wytyczne, a także edukacja spowodują, że w najbliższym czasie wzrośnie świadomość decydentów i rozpocznie się wdrażanie Public Compliance w Polsce. - W efekcie za kilka lat nie będziemy mówić ogólnie o systemach zgodności w sektorze publicznym, ale w administracji rządowej, samorządowej oraz spółkach komunalnych i Skarbu Państwa - podsumowuje.".

Jeżeli chcesz mnie zobaczyć i posłuchać (on-line) to zapraszam na Virtual Public Compliance Summits, gdzie będę prelegentem.

Przy okazji to prowadzę m.in. szkolenia z Compliance (choć pewnie o tym wiesz). A TU jest jeden z moich profili szkoleniowca.

Bym zapomniał. Na YouTube pojawił się kolejny wywiad ze mną. Oczywiście o spółkach, RODO i Compliance.

Skoro już mówimy o szkoleniach, to polecam szkolenie "2,5 roku z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”", które jest zaplanowane na 25 listopada br. Mam nadzieję, że koronawirus nie zmusi mnie znów do przełożenia jego terminu.

Skoro już jesteśmy przy RODO, to NIK skontrolował urzędy w największych miastach. O dziwo okazało się, że naprawdę nie jest źle. Choć idealnie też nie jest. No ale życie. Raport znajdziesz TU.

RODO to informacje i dane. A skoro mowa o informacjach to polecam artykuł, którego jestem współautorem: "Czas nadmiaru informacji - wyzwania XXI w. dla przedsiębiorców".

I przy okazji w październikowym wydaniu Gazety Małych i Średnich Przedsiębiorstw znajdziesz aż dwa artykułu mojego współautorstwa. Ale jeszcze będę się nimi chwalił.

Ostatnio bierze mi się na wspominki. W poście "Jak minął prawie rok z Dyrektywą o Sygnalistach?" wspominałem wydarzenia Compliance. Dziś chciałbym wspomnieć wydarzenie, które zainspirowało mnie by zacząć pisać poradnik "Prawnik w social mediach" (wspominałem o tym TU). To było ponad rok temu, Innovative Lawyers' Consultants 2019.

Prace nad poradnikiem powoli ruszają. 

I tym wspomnieniem przeszłości, które mam nadzieję jest zapowiedzią przyszłości (bo kocham występować) dziś kończymy.

Niech moc Compliance będzie z wami.

Ps niedługo, już za 4 tygodnie, odcinek nr 30 ciekawostek i kolejna rocznica bloga.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 28

Dziś daniem głównym będzie krótka analiza projektowanej zmiany Kodeksu Spółek Handlowych.
Ale najpierw przystawki.

UOKiK zabrał się za uświadamianie Zarządów, że za zawieranie porozumień ograniczających konkurencję może na nich osobiście nałożyć sankcję do dwóch milionów zł. Swoją droga to ciekawy pomysł. Jakby na Członków Zarządu i Rad Nadzorczych móc nałożyć sankcje za łamanie prawa przez zarządzane przez nich podmioty to zarządzanie i nadzór pewnie by się w niektórych przypadkach poprawił. W końcu nic tak nie boli jak uderzenie po kieszeni.

W Gazecie Prawnej pojawił się artykuł, że Ministerstwo Sprawiedliwości przedstawi niedługo nowy projekt nowej ustawy o odpowiedzialności podmiotów zbiorowych. Podobno ustawa ma dotyczyć głównie dużych przedsiębiorstw, podobno za brak Compliance ma być 50 mln zł kary, podobno ..... itd.
Do tego pojawił się artykuł o planach wdrożenia konfiskaty prewencyjnej - kolejny "genialny" pomysł Ministerstwa Sprawiedliwości.
No i internet zaroił się artykułami o pogłoskach itd. Mam taką zasadę omawiam projekty, które czytałem a nie plotki. Dlatego nie będę linkował jak inni artykułów GP ani pisał co tam podobno szykują. Poczekam na projekty, potem je przeczytam, a potem o nich napiszę.
 

Natomiast chciałbym się odnieść co do kary 50 mln zł.
Po pierwsze uważam, że kara za brak lub pozorność systemu Compliance powinna wynosić 100 mln zł lub 10% światowego przychodu podmiotu (lub grupy kapitałowej do której należy) lub 10% aktywów podmiotu (lub grupy kapitałowej do której należy).
Po drugie, nigdy surowa kara nikogo nie powstrzymała przed łamaniem prawa. To nieuchronność kary powstrzymuje przed łamaniem prawa. A jak patrzę na RODO to kary teoretycznie są surowe - plus, faktycznie wydają się rozsądne - plus, jest ich strasznie mało i chyba jeszcze nikt nie zapłacił. Choć ostatnio WSA uznał, że Prezes UODO prawidłowo nałożył karę na Burmistrza Aleksandrowa Kujawskiego. Więc z nieuchronnością jest raczej kiepsko - minus. Dlatego wiele podmiotów zaczęło lekceważyć RODO.

A wiecie jaki jest prawdziwy problem z tymi ustawami. Pierwszy to upolitycznienie Prokuratury i brak rozumienia biznesu przez Prokuratorów. Drugi to niszczenie niezależności Sądów przez Pana Z., który kontroluje Prokuraturę.

Jeżeli już jesteśmy przy RODO, to PUODO uaktywnił się bardziej i zasypuje nas aktualnościami itd. Bardzo chwalę jego działalność edukacyjną. Tylko czy mógłby niektóre wytyczne wydawać szybciej. A co ważniejsze czy mógłby je konsultować z prawnikami i biznesem. Bo niektóre są mocno kontrowersyjne, choćby to spełnianie obowiązku informacyjnego wobec członków spółek kapitałowych gdy podpisują umowę.

Poza tym przydałby się "cennik" kar i większa ilość kontroli. Myślę, że kilkaset mandatów dla dużych przedsiębiorstw i administracji (zwłaszcza rządowej i poczty - ta za przetwarzanie danych wyborców bez podstawy prawnej powinna dostać parę milionów zł kary) po kilkanaście - kilkadziesiąt tysięcy zł. nauczyłoby wszystkich szacunku do RODO.

Poza tym PUODO mogłoby powydawać dobre wzorce :-) może to by skończyło z praktyką sprzedaży dokumentacji RODO, a otworzyłoby znowu rynek wdrażania systemów ochrony danych osobowych i ich audytów.

Pozostając przy PUODO to pojawiło się nowe Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych. A w nim sporo ciekawych informacji.

Na stronie RCL pojawił się Projekt ustawy o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego

Dobra czas na danie główne. Dziś będzie krótko o nowelizacji KSH. W dniu 5 sierpnia 2020 r. pojawił się na stronie RCL projekt zmiany KSH- LINK
W sumie mamy 50 propozycji zmian. Nie będę tu omawiał ich po kolei tylko podsumuję.
1. To próba wprowadzenie do Polski tzw. prawa holdingowego. Nie ukrywam, że prawo holdingowe by się przydało ale ..... Proponowane regulacje oceniam negatywnie.  PRIMO - brak odpowiedniego zabezpieczenia interesów wierzycieli spółek zależnych, a wręcz pogorszenie ich sytuacji. SECUNDO naruszenie interesów pozostałych udziałowców/akcjonariuszy. Na świecie jest trend by szerzej uwzględniać interesy wszystkich interesariuszy i uwzględniać interesy mniejszościowych wspólników/akcjonariuszy. Ten projekt nie wpisuje się w ten trend.

2. Próba wzmocnienia Rad Nadzorczych. O ile popieram ideę zmiany sposobu myślenia o radzie nadzorczej – z pojmowania jej jako organu czysto kontrolnego w kierunku organu będącego równoprawnym partnerem zarządu, mającym dostęp do informacji oraz do realnych instrumentów nadzoru, to już niestety wykonanie - tj. proponowane przepisy jakoś budzą mój niedosyt albo obawy. Na pewno przyjrzę im się bliżej. 

3. Mój opór budzi wydawanie wiążących poleceń spółkom zależnym. Burzy to obecną filozofię działania Spółek kapitałowych i ich organów.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 27

Dopiero co opublikowałem "Ciekawostki z prawa handlowego i nie tylko - odcinek nr 26" a tu minął kolejny miesiąc. 

Polecam lekturę artykułu, który napisałem z Jerzym Kossakowskim. Znajdziesz go w sierpniowym wydaniu http://gazeta-msp.pl/

Ostatnio sobie wszedłem w LEX`ie w Kodeks Spółek Handlowych. Kliknąłem w wersje i wyświetliło się w 2020 r.: wersja z 1 stycznia, z 1 marca, z 31 marca, z 18 kwietnia, z 1 lipca, z 3 września i z 1 grudnia. Czy naprawdę KODEKS musi się zmieniać 7 razy w roku? To nie wpływa na pewność prawa i obrotu.

Druga rzecz, której nie lubię to zmian do zmian projektów.  W dniu 1 stycznia 2021 r. ma obowiązywać nowe Prawo Zamówień Publicznych. A na stronie Rządowego Centrum Legislacji pojawił się projekt ustawy o zmianie ustawy o umowie koncesji na roboty budowlane lub usługi, ustawy ‒ Prawo zamówień publicznych oraz ustawy ‒ Przepisy wprowadzające ustawę ‒ Prawo zamówień publicznych. Ktoś kupił komentarz do nowej ustawy lub był na szkoleniu? Liczył na to, że choć raz z powodu długiego vacatio legis spokojnie przeczyta nowe prawo? A nie ma gwarancji, że jeszcze coś się nie zmieni.

Powinienem przeczytać nowe prawo zamówień publicznych. Ale nie wiem jaką wersję mam czytać. 

A nie lubię sobie zaśmiecać głowy nieaktualną lub błędną wiedzą.

A korzyści z długiego vacatio legis poszły się ...... przejść.

Skoro już jesteśmy przy spółkach. Na stronie https://www.iia.org.pl/aktualnosci można znaleźć zaktualizowany model trzech linii obrony IIA 2020 r. - LINK dla leniwych :-) Wiem co sobie poczytam m.in. w sierpniu.  Choć widać, że pisali to audytorzy :-)

Pozostając w klimatach Spółek. To można obejrzeć kolejne filmy - wywiady ze mną. Polecam m.in. "Po co komu bezpieczna firma ? Co ci grozi prowadząc firmę ? Jak funkcjonują duże firmy ? Compliance". Można zobaczyć mnie i posłuchać :-)

Zawsze dużo czytałem i myślałem. Po jednym z artykułów przyszło mi do głowy pytanie: lepiej zarządzać żelazną ręką i poddawać pracowników ścisłej kontroli czy też lepiej zadbać o budowę silnej kultury organizacyjnej, której podmiotem będzie zmotywowany, zaangażowany, odpowiedzialny i lojalny pracownik, odpowiednio wyposażony i wspierany? 

Powyższe pytanie można rozpatrywać w różnych aspektach.

Po pierwsze w świetle wymagań Biznesu 4.0 czy też Biznesu 5.0. Jak pisałem w jednym ze swych postów czy artykułów nie ma nowoczesnego biznesu bez kreatywności, a tej nie ma bez zaufania. A ścisła kontrola i rządy żelaznej ręki zaufaniu i kreatywności nie służą. Oczywiście kontrola zawsze musi być. Inaczej "okazja czyni złodzieja". Ale to powinna być trzecia linia obrony a nie pierwsza.

Po drugie na to pytanie można patrzeć w świetle COMPLIANCE i whistleblowing`u. Na świecie najwięcej nadużyć jest wykrywanych dzięki sygnalistom i wtedy straty są najmniejsze. Sygnalistą może być każdy pracownik, kontrahent itd. Ale trzeba zbudować najpierw Kulturę gdzie nadużycia będzie się ścigać i karać a nie ukrywać lub zamiatać pod dywan. Statystycznie każdego roku organizacje tracą około 5% swoich przychodów w wyniku nadużyć. Compliance, w tym sprawne systemy przyjmowania zgłoszeń i podejmowania działań następczych po prostu się opłacają.

Biznes się zmienia, a wraz z nim musi zmieniać się Compliance. Trzeba pamiętać m.in. o:

1) cyberbezpieczeństwie i wyzwaniach cyfryzacji. Ale i możliwościach, które daje,

2) strategii - Compliance nie to koszt, ale inwestycja i niezbędny element strategii i podmiotu,

3) zaufaniu i ludziach - to podstawa,

4) plan jest niczym, planowanie jest wszystkim.

Odcinek bez RODO to odcinek stracony :-) Ostatnio pisałem o IOD`zie to dziś tylko wspomnę, że trwają dyskusje w związku z uchyleniem "Tarczy prywatności". Polecam artykuł panoptykonu - LINK  :-)

Wybaczcie ale mamy sezon wakacyjny i dłużej nie będę was męczył

Niech moc Compliance i RODO będzie z wami :-)

IOD - mistrz Jedi, rycerz Jedi czy padawan? A oficer Compliance?

W ramach treningu intelektualnego spróbujmy odpowiedzieć na pytanie: "IOD to mistrze Jedi, rycerz Jedi czy padawan?". Brak miecza świetlnego i mocy pomińmy.

Ale najpierw wstęp :-)

W grudniu 2019 r. popełniłem artykuł: "Inspektor Ochrony Danych - kiedy musi być, kim powinien być a kim bywa - czyli 7 pytań o IOD`a". O IOD`ach pisałem też w innych artykułach na blogu (np. "Ciekawostki z prawa handlowego i nie tylko - odcinek nr 26") lub na Inforze (np. "Łączenie funkcji oficera Compliance lub Inspektora Ochrony Danych z innymi funkcjami w organizacji"). Dlaczego pomimo ponad dwóch lat obowiązywania RODO cały czas piszę o Inspektorach Ochrony Danych?

Inspektor Ochrony Danych ma kluczowe znaczenie dla funkcjonowania systemu bezpieczeństwa danych osobowych. Podobnie jak oficer Compliance w przypadku Systemów Compliance. A niestety często brak go, jest nim nieodpowiednia osoba lub najczęściej brak mu odpowiednich zasobów i umocowania. Może moja edukacja na temat IOD`ów coś pozwoli zmienić na lepsze w tym zakresie.

No ale co z tymi Jedi?

IOD w organizacji pełni funkcję mistrza Jedi. To on zgodnie z RODO między innymi dostarcza wiedzy organizacji i udziela zaleceń. Bez niego w podmiocie brak by było wiedzy. A wiedza to do potęgi i bezpieczeństwa klucz.

IOD w organizacji pełni też funkcję rycerza Jedi. To on monitoruje przestrzeganie przepisów, współpracuje z PUODO i pełni funkcję punktu kontaktowego. To on kieruje walką i jest często na pierwszej linii walki z zagrożeniami (dla organizacji oraz praw i wolności osób) związanych z przetwarzaniem przez organizację danych osobowych.

IOD jest też padawanem. Musi cały czas się uczyć i doskonalić swój warsztat, ponieważ: 

1) prawo się zmienia lub jego interpretacja,

2) organizacje się zmieniają i procesy przetwarzania danych osobowych się zmieniają (w tym powstają nowe),

3) ryzyka ewoluują,

4) środki zabezpieczeń się zmieniają,

5) itd. 

A kto nie rozwija się, ten się cofa. A IOD swą wiedzę utrzymywać musi. A najlepiej by coraz mocniejszy w wiedzy był.

No i na Inspektorów Ochrony Danych woła się czasami IOD`a. A chyba każdy wie kim był mistrz YODA :-)

Z oficerem Compliance jest tak samo. Tylko on się zajmuje zarządzaniem ryzykami prawnymi a nie ochroną danych osobowych.

Wiele podmiotów oszczędza na ochronie danych osobowych i na Compliance. Traktując to jako koszt. A to inwestycja w bezpieczeństwo, przewagę konkurencyjną, markę i w budowę lepszej, odporniejszej i bardziej etycznej organizacji.

Niech moc RODO i Compliance będzie z wami i was prowadzi 

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 26

Nie wiem jak ty ale ja upływ czasu widzę po tym jak:

a) szybko rosną moje dzieci,

b) muszę znowu napisać ciekawostki z prawa handlowego.

Na szczęście lub nieszczęście materiału na ciekawostki jest zawsze dużo, a ostatnio aż za dużo.

Na szczęście z selekcją materiałów nie mam problemów. Choć oczywiście mój wybór jest czysto subiektywny. No to jedziemy

Po pierwsze przypominam, o obowiązku zgłaszania informacji o beneficjentach rzeczywistych do Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR). Nowe Spółki mają na to 7 dni od dnia wpisu podmiotów do Krajowego Rejestru Sądowego (KRS). Spółki wpisane do KRS przed dniem wejścia przepisów o CRBR mają czas do 13 lipca 2020 r.

W przypadku aktualizacji informacji przekazanych do KRS podmioty mają 7. dni od ich zmiany. 

Wszystkie informacje znajdziecie TU.

Ostatnio pisałem "Jak usprawnić pracę Rad Nadzorczych w spółkach prawa handlowego?".

Zostając w temacie Rad Nadzorczy przypominam członkom Rad Nadzorczych o:

1) Compliance i sygnalistach,

2) ochronie danych osobowych,

3) kulturze organizacyjnej,

4) zarządzaniu ryzykiem,

5) sukcesji na kluczowych stanowiskach (i nie mam tu na myśli tylko Zarządu),

6) cyberbezpieczeństwie,

7) CSR.

To według mnie takie 7 głównych priorytetów Rad Nadzorczych (kolejność dowolna). Niestety to też często siedem grzechów Rad Nadzorczych 

Jak już jesteśmy przy cyberbezpieczeństwie to Krajowa Izba Radców Prawnych upublikowała

"Księgę bezpieczeństwa" - (Link: - https://kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/).

Polecam lekturę. Przypominam, że każda kancelaria o cyberbezpieczeństwo MUSI dbać.

A pierwszym krokiem jest kultura i wiedza,

Co do wiedzy i Kultury. To w zakresie RODO ważną funkcję pełni to Prezes UODO. Wydaje on stanowiska. Dziś chciałbym na trzy z nich zwrócić wam uwagę:

1) Administrator, a  nie IOD, powinien opracować wewnętrzną politykę ochrony danych osobowych. IOD tylko doradza i nadzoruje - LINK - kiedyś uważałem inaczej, dziś PUODO i moi koledzy i koleżanki mnie przekonali do tego stanowiska. Znam sporo podmiotów, gdzie polityki opracowuje IOD,

2)  to nie IOD powinien nadawać upoważnienia ale Administrator, IOD tylko nadzoruje - LINK - bardzo ciekawa teza. Znam trochę podmiotów gdzie jest inaczej,

3) należy dopełniać obowiązku informacyjnego na mocy art. 13 i 14 RODO wobec osób upoważnionych do reprezentacji spółek np. członków zarządu (organów spółek) bądź osób uprawnionych do składania oświadczeń w imieniu określonego podmiotu - LINK - bardzo kontrowersyjne stanowisko PUODO. Jak na razie to uważam je za błędne. Ale na pewno będę się jeszcze zastanawiał co jest na rzeczy.

Mam wrażenie, że w zakresie ochrony danych osobowych zachodzą dwa niepokojące zjawiska. Z jednej strony lekceważenie ochrony danych osobowych przez coraz większą ilość podmiotów. Z drugiej strony narastający formalizm.

A przecież w RODO chodzi o ochronę praw i wolności osób fizycznych. A systemu ochrony danych powinny być adekwatne i elastyczne (reagować odpowiednio na zmiany).

Jako przykład lekceważenia RODO można wymienić bezpodstawne przetwarzanie danych osobowych przez Pocztę Polską na potrzeby wyborów 10 maja br (pisałem o tym TU).
Dziś wyczytałem, że Fundacja Panoptykon pozwała o to Pocztę. Brawo i trzymam za was kciuki. Zobaczymy jak się teraz zachowa PUODO. Czy zda ten test apolityczności i niezależności?

Na wdrożenie systemów przyjmowania zgłoszeń od Sygnalistów i podejmowania działań następczych zostało zgodnie z tzw. Dyrektywą o Sygnalistach 17 miesięcy. A na razie nawet projektu ustawy ani widu ani słychu. Tym samym ziszcza się czarny scenariusz. Abym się mylił.

Niech moc Compliance i RODO będzie z wami.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 25

Ostatnie 3 miesiące wszyscy pisali o Koronawirusie oraz tzw.  Tarczach (teraz szykują już czwartą tzw. Tarczę).

Przy okazji wprowadzano zmiany w innych ustawach (np. KSH co opisałem ostatnio - LINK)
Osobiście czekam na falę pozwów związanych z zamknięciem gospodarki przez Rząd. Myślę, że w wielu sytuacjach na podstawie Kodeksu cywilnego, przedsiębiorcy będą mogli żądać odszkodowania za szkody powstałe w czasie epidemii od Skarbu Państwa lub innego podmiotu wykonującego władzę publiczną. 

W dniu 10 maja br. miały być wybory. Ale zostały przełożone przez Jarków bez żadnego trybu. Kilkadziesiąt milionów wydane na karty do głosowania, wydrukowanych bez podstawy prawnej zostały wyrzucone w błoto. I nikt nie poniósł kary. To pokazuje upadek praworządności i zasad w Polsce.

Człowiek przyzwyczaja się do wszystkiego. Z jednej strony to dobrze. Bo to pozwala nam przetrwać. Z drugiej to źle. Bo coraz mniej nas, jako Społeczeństwo oburza łamanie praworządności, hejt, chamstwo czy kłamstwa. Coraz mniej szanujemy i wierzymy władzy, organom i procedurom. 

Nie bądźmy obojętni i nie powtarzajmy błędów z przeszłości.

No ale to post z serii Ciekawostki z prawa.

CBA opublikowało Sprawozdanie z realizacji Rządowego Programu Przeciwdziałania Korupcji na lata 2018–2020 za pierwsze półrocze 2019 roku oraz raport Obszary przestępczości korupcyjnej w Polsce w latach 2018–2019.

EY Polska rozpoczął projekt "Jak być zawsze o krok przed oszustami, jeśli oni znają najlepsze skróty?". Na swojej stronie (LINK) opisują schematy działania oszustów. Polecam lekturę.

Podobno znowu trwają pracę nad nowelizacją KSH, podobno mają być zwiększone kompetencje Rad Nadzorczych oraz poprawione regulacje związane z funkcjonowaniem grup kapitałowych. Pożyjemy zobaczymy.

Ostatnio pisałem trochę o RODO (w tym o drugich urodzinach RODO) i Compliance.

Materiały o Compliance znajdziecie TU i TU

A materiały o RODO znajdziecie TU

Cały czas wszyscy czekamy na wdrożenie Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa. Czas mamy do grudnia 2021 r. Oby nie było tak jak z RODO. Na ostatnią chwilę i niekompletnie.

Przy okazji przypominam, że od 1 stycznia 2021 roku wchodzi w życie nowe Prawo Zamówień Publicznych.

I tyle w telegraficznym skrócie. Po prostu za dużo się dzieje

Dwa lata z RODO - małe podsumowanie

W dniu 25 maja 2020 r. miałem prowadzić szkolenie: "2 lata z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”".
Niestety wybuchła epidemia Koronawirusa i szkolenie odwołałem.

Ale ja jestem uparty, jeżeli vis maior znów mi nie przeszkodzi, w dniu 25 listopada poprowadzę szkolenie "2,5 roku z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”". Serdecznie zapraszam.

Zamiast świętować drugie urodziny RODO na sali, prowadząć szkolenie zdecydowałem się napisać dzień po urodzinach tego krótkiego posta.
Tradycyjnie rzecz ujmując: w tym tygodniu RODO skończyło dwa lata. Pora więc na małe podsumowanie.

Czy sprawdziły się moje przewidywania co do RODO-ERY? Jak pisałem w artykule "Co oznacza RODO-ERA?"
Dwa lata temu niepokoiłem się
1. że ustawodawca nie zdąży z ustawą przepisy wprowadzające ustawę o ochronie danych osobowych – ustawa ta pojawiła się ze sporym opóźnieniem. Usunęła sporą ilość sprzeczności lub luk prawnych ale nie wszystkie. W sumie jakoś to przeżyliśmy,
2. działalnością RODO - Trolli - czyli osób, które chcą nieuczciwie lub nieetycznie „zarobić” wykorzystując Państwa strach, niewiedzę lub błąd – o dziwo nie stało się to jakąś plagą. Może z uwagi, że PUODO nakłada kary rzadko i w miarę rozsądnej wysokości,
3. działalnością RODO-pieniaczy lub osób „Świętszych od Papieża” – spotyka się takie osoby ale nie jest to nagminne lub zbytnio uciążliwe,
4. brakiem wiedzy na temat RODO lub złym zrozumieniem RODO przez wiele podmiotów – niestety ta obawa się potwierdziła,
5. praktyką PUODO – na szczęście raczej wydaje ostrzeżenia, udziela upomnień i nakazuje dokonanie określonych czynności. Kar pieniężnych było niedużo.
 

Na co liczyłem w związku z RODO?
Liczyłem, że:
1. będziemy lepiej chronić nasze dane osobowe i czyjeś dane osobowe oraz że inni będą lepiej chronić nasze dane, a co najważniejsze odzyskamy kontrolę nad naszymi danymi osobowymi – jest progres ale nadal daleka droga przed nami. Świadomość rośnie ale za wolno,
2. szybko wyjdzie ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych – wiadomo, szybko nie wyszła. Idealna też nie jest,
3. PUODO raczej będzie edukował i ostrzegał niż karał, np. publikując rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych – sprawdziło się. Choć tych rekomendacji powinno być więcej, powinny być bardziej konsultowane z ekspertami i biznesem. Nad wyjaśnieniem swych motywów, np. dlaczego taka wysokość kary a nie inna też PUODO też powinno popracować. Ale w PUODO na ocenę dobrą zasłużył. Z plusem na zachętę,
4. pojawią się zatwierdzone kodeksy postępowania, o których mowa w art. 40 RODO – widział ktoś? Trwają nad nimi pracę, ale nie ma ich za dużo, Panie i Panowie do pracy!!!
5. pojawią się rzetelne podmioty certyfikujące – żaden się nie pojawił - PORAŻKA,
6. zamiast straszenia karami, będziemy rozmawiać jak lepiej chronić nasze prawa i wolności – faktycznie nie straszymy już karami, tylko rozmawiamy. A nawet co do STRACHU nastąpiło przegięcie w drugą stronę. Przedsiębiorcy i administracja zaczęła lekceważyć RODO. Bardzo mnie to niepokoi,
7. uda się zrealizować szczytne cele które stoją za RODO – wygląda na to że walka o ten cel nadal trwa.

Czego nie przewidziałem?
Nie przewidziałem, że:
1. PUODO podejmie decyzje budzące wątpliwość co do jego apolityczności. "Brak reakcji na bezprawne udostępnienie danych wyborców Poczcie Polskiej i wstrzymanie ujawnienia list poparcia do KRS niepokoi. PUODO ma dbać o nasze prawa i wolności a nie rządzących. Ma być świętszy pod tym względem od żony Cezara,
2. po dwóch latach będzie tyle niejasności z jednej strony a z drugiej takie lekceważenie RODO.

Na końcu parę rad:
1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji,
2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasoby,
3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga.

Przypominam o:
1 szkoleniu pracowników - to podstawa,
2. rocznych audytach,
3. pytaniu ekspertów jak ma się wątpliwości.

Niech moc RODO będzie z wami

Po co nam RODO?

Bardzo lubię przysłowie "Kto pyta, ten nie błądzi".

Jeżeli chcemy dojść do prawdy lub chociaż się do niej zbliżyć, to musimy pytać. 

W poście "Zasady przetwarzania danych osobowych zgodnie z RODO" cofnąłem się do podstaw. Do zasad, zgodnie z którymi mają być przetwarzane dane osobowe. Ale aby ludzie przestrzegali zasady muszą zrozumieć po co one są.

Zadajmy więc sobie parę pytań (oczywiście RODO powoduje o wiele więcej pytań, pomimo prawie dwóch lat obowiązywania, ale dziś wybrałem trzy):

1) Po co nam RODO? Przecież od 30 kwietnia 1998 r. obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Co oznacza, że w Polsce mamy 20 lat doświadczenia w ochronie danych osobowych.

2) Po co tak wysokie maksymalne kary w RODO?

3) Czy RODO zabije biznes w UE?

Ad 1) Po co nam RODO?

Należy zacząć od tego, że obecnie najcenniejszym surowcem są informacje i dane o nas oraz wiedza jak je efektywnie przetwarzać. Kto ma największe bazy danych i umie je efektywnie przetwarzać, ten ma władzę i olbrzymią przewagę nad każdym. Stety lub niestety straciliśmy kontrolę nad naszymi danymi. W wyniku czego zagrożone są nasze prawa i wolności. Ale co to ma o celów RODO? Już wyjaśniam.

RODO ma parę celów:

1) wzmocnienie ochrony naszych praw i wolności, w szczególności prawa do ochrony danych osobowych, 

2) umożliwienie nam odzyskania kontroli nad naszymi danymi osobowymi,

3) zharmonizowanie ochrony praw i wolności w UE,

4) stawienie czoła wyzywaniom związanym z szybkim postępem technicznym.

Ad 2) Po co tak wysokie maksymalne kary w RODO?

Aby kary były skuteczne, muszą po pierwsze być nieuchronne, po drugie bolesne. Kary w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa z perspektywy średniego lub małego przedsiębiorcy wydają się absurdalnie wysokie. Ale tak naprawdę to mają one robić wrażenie na GAFA (Google, Amazon, Facebook, Apple). Zapłata kary w wysokości 4%  całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego może zaboleć każdego, nawet członka GAFA.

Ja z tymi karami mam inny problem. Dwa lata temu wszyscy straszyli "Kup dokumentację zgodną z RODO albo zapłacisz karę 20 milionów EURO". A w RODO nie chodzi o kupno dokumentacji tylko wdrożenie i zarządzanie systemem ochrony danych osobowych. I nie powinno się tego robić ze strachu tylko z odpowiedzialności. No ale to wątek poboczny. Przed RODO, GIODO dawało symboliczne kary. Szczerze mówiąc nie miało "wielkiego kija" którym mogło by pogrozić tym co łamali prawo dotyczące ochrony danych osobowych. PUODO taki wielki groźny kij ma. Na szczęście używa go rozsądnie i oszczędnie. Niestety nie tłumaczy najlepiej dlaczego jeden podmiot dostał karę, a drugi nie oraz dlaczego kara była w tej wysokości a nie innej.

Ta pozorna absurdalność kary oraz brak wiedzy za co, kiedy i jaka grozi kara powoduje, że wiele podmiotów albo lekceważy RODO i przestało odpowiednio zarządzać systemem ochrony danych osobowych (o ile w ogóle go wdrożyło).

Ad 3) Czy RODO zabije biznes w UE?

Tak jak pisałem na początku, najcenniejszym surowcem są informacje i dane o nas oraz wiedza jak je efektywnie przetwarzać. Obecnie największe bazy danych ma GAFA. I jedynie GAFA wie jak je efektywnie przetwarzać. No jest jeden wyjątek - chińczycy. Oni mocno starają się przegonić świat w tym zakresie.

Wracając do GAFA, to w chwili obecnej mają oni taką przewagę, że żaden podmiot nie ma szans ich dogonić lub przegonić. Do tego, każdy podmiot, który może im zagrozić po prostu wykupują.

UE stara się by jej obywatele odzyskali kontrolę nad swoimi danymi, a firmy unijne miały szansę rozwoju i konkurowania nawet z GAFA. Jednym z narzędzi do realizacji tego celu jest RODO.

Dlatego RODO i inne planowane regulacje są szansą dla biznesu w UE, a nie zagrożeniem.
No chyba, że ktoś zbudował biznes na nielegalnym przetwarzaniu naszych danych. Wtedy ma problem.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 22

Kiedyś przeczytałem powiedzenie "Nauka ma gorzkie korzenia ale słodkie owoce". O ile nie zgadzam się z pierwszym członem (bo osobiście lubię się uczyć) o tyle w pełni zgadzam się z drugim.
O roli EDUKACJI napisałem dosadnie w krótkim poście: "Co powinno wisieć nad biurkiem top kierownictwa? - napis "Edukacja głupcze".
Jeżeli już jesteśmy przy edukacji, to polecam szkolenie: "2 lata z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”, które poprowadzę w dniu 25 maja 2020 r. Serdecznie zapraszam!

Wyrokiem z dnia 28 lutego 2020 r. Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję Prezesa UODO nakładającą administracyjną karę pieniężną w wysokości 55 750,50 zł. na Dolnośląski Związek Piłki Nożnej. Jestem ciekaw czy będzie orzeczenie NSA w tej sprawie.

Przy okazji cieszy mnie wstrzemięźliwość PUODO w nakładaniu kar - parę w czasie prawie 2 lat.

 

Jeżeli już jesteśmy przy RODO i powoli przechodzimy na Compliance to chciałbym zwrócić twoją uwagę na parę rzeczy:
1) cyberbezpieczeństwo to podstawa systemów Compliance, w tym Systemów Zarządzania Bezpieczeństwem Danych Osobowych. Nie warto lekceważyć ryzyk związanych z przestępstwami komputerowymi,
2) nowoczesne oprogramowanie, a w przyszłości AI będą bardzo dużym wsparciem dla oficerów Compliance, zawodowych prawników i IOD`ów.

Prosta Spółka Akcyjna wejdzie do obrotu rok później, nie 1 marca 2020 r. a 1 marca 2021 r.. Jest to związane m.in. z opóźnieniem we wdrożeniu e-KRS. LINK do ustawy. Swoją drogą w tej ustawie znajdziecie więcej zmian dotyczących procedury cywilnej, Kodeksu Spółek Handlowych itp.

Ręka w górę kto jeszcze nie słyszał o Centralnym Rejestrze Beneficjentów Rzeczywistych?
Jest ktoś taki? TO POBUDKA.
Spółki, które zostały wpisane do KRS przed dniem 13 października 2019 r., mają obowiązek zgłosić informacje o beneficjentach rzeczywistych do 13 kwietnia 2020 r.
Podmioty, które zostały wpisane do KRS po 13 października 2019 r., mają obowiązek zgłosić dane beneficjenta rzeczywistego nie później niż w terminie 7. dni od dnia wpisu do KRS.
Tu macie LINK i LINK. Ciekawej lektury.
Możemy obserwować, jak powoli jest tworzone e-Państwo. Szkoda tylko, że tak powoli. Drugi minus to taki, że likwiduje się jednocześnie sprawdzone metody. Obywatel i podmioty zbiorowe powinny mieć wybór czy chcą składać wnioski elektronicznie czy papierowo.

Przypominam o ustawie z dnia 19 lipca 2019 r. o zmianie niektórych ustaw w celu ograniczenia zatorów płatniczych.

Więcej o powyższych ustawach może napiszę później. Niestety ciekawych tematów jest dużo a czasu mało. Dlatego postaram się pisać regularnie o Compliance (przypominam o FAQ o Compliance) i RODO.  Natomiast o innych rzeczach będę tylko sygnalizował. Ewentualnie pisał więcej jak czas pozwoli.

Niech Compliance będzie z wami :-)

Zasady przetwarzania danych osobowych zgodnie z RODO

Jeżeli śledzisz mojego bloga lub mój profil na Linkedln wiesz, że zajmuję się m.in. Compliance i RODO. 

O ile ostatnio o Compliance i Sygnalistach piszę głównie na Inforze, o tyle dla odmiany o RODO piszę ostatnio tu na blogu.

Cztery najważniejsze, według mnie, moje posty o RODO w ostatnim czasie, to:
1) Poradnik: Co RODO zmieniło w polskim prawie – krótka ściąga
2) Półtora roku z RODO
3) Inspektor Ochrony Danych - kiedy musi być, kim powinien być a kim bywa - czyli 7 pytań o IOD`a
4) Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować? 

Tak się zastanawiałem o czym napisać i stwierdziłem, że cofną się do podstaw. Do zasad, zgodnie z którymi mają być przetwarzane dane osobowe.

Dane osobowe powinny być przetwarzane zgodnie z następującymi zasadami:

1) legalności tj. dane osobowe muszą być przetwarzane zgodnie z prawem,
2) rzetelności, tj. dane osobowe muszą być przetwarzane rzetelnie,
3) przejrzystości, tj. dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą (musi być spełniony obowiązek informacyjny),
4) celowości, tj. dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami,
5) proporcjonalności i minimalizacji danych, tj. dane osobowe muszą być przetwarzane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do realizacji celów, w których są przetwarzane,
6) prawidłowości, tj. dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane
7) ograniczenia czasowego, tj. dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
8) integralności tj. dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,
9) Privacy by desing tj. należy uwzględniać ochronę danych osobowych już w fazie projektowania,
10) Privacy by default tj. należy stosować domyślną ochronę danych,
11) rozliczalności, tj. Administrator musi być w stanie wykazać przestrzeganie powyższych zasad.

Zasad jest tylko lub aż jedenaście. 

W następnych postach będę dalej omawiał podstawy RODO.

Niech moc RODO będzie z wami

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 21

Jest takie starochińskie przekleństwo "Abyś żył w ciekawych czasach".

Niestety czasy nastały w Polsce bardzo ciekawe, a będzie pewnie jeszcze gorzej.

W takich czasach warto zainwestować w wiedzę, np. o Compliance.

Dlatego polecam szkolenie, które będę prowadził w dniu 10 lutego 2020 r. "Nowe zasady odpowiedzialności podmiotów zbiorowych – jak zbudować skuteczny system Whistleblowing`u i system zarządzania zgodnością (Compliance)". Z tego co słyszałem od organizatorów są jeszcze wolne miejsca.

Ponadto w dniu 28 lutego 2020 r. będzie można mnie spotkać, posłuchać i porozmawiać ze mną na Konferencji "SYGNALIŚCI W ORGANIZACJI".

Jeżeli jesteśmy już przy sygnalistach, to chciałbym również zwrócić uwagę, że UOKiK uruchomił program dla sygnalistów. Umożliwia on anonimowe zgłaszania i anonimowy kontakt z Sygnalistami. Zainteresowanym podaję LINK.

Pozostając w temacie sygnalistów, polecam lekturę stanowiska Rzecznika Praw Obywatelskich "Jak chronić sygnalistów w służbach mundurowych?". Mamy naprawdę dużo do zrobienia jako Państwo i Społeczeństwo do zrobienia w tym zakresie. Przypominam, że Sygnalista to ktoś kto nie milczy w obliczu zła. Taka osoba zasługuje na szacunek i ochronę. A niestety w Polsce często spotykają ją działania odwetowe itd. Potrzebujemy na wczoraj dobrych przepisów w tym zakresie.

 

W nawiązaniu do Compliance i Sądów. Polska zajęła 41 miejsce w rankingu obrazującym percepcję korupcji przygotowanym przez Transparency International. To oznacza, że od paru lat spadamy w rankingu (w 2016 r. - 29 miejsce, 2018 r. - 36 miejsce). Jako jedną z przyczyn regresu autorzy wskazują dewastację sądownictwa. LINK

Wojewódzki Sąd Administracyjny w Warszawie stwierdził 20 stycznia br., że postanowienie zabezpieczające Prezesa Urzędu Ochrony Danych Osobowych nakazujące Kancelarii Sejmu powstrzymanie się z upublicznieniem list poparcia do KRS, nie ma zastosowania do sądów. Tym samym Sąd potwierdził opinie specjalistów od RODO w tym zakresie. Swoją drogą, parafrazując pewne powiedzenie, rzeknę, że "uczciwy jawności się nie boi". Skoro PiS robi wszystko co może, by nie ujawniać list poparcia do neoKRS to istnieje wysokie prawdopodobieństwo, że chce ukryć jakieś swoje poważne grzechy.

A skoro już jesteśmy przy tematach na pograniczu polityki i prawa, to w dniu 23 stycznia 2020 r. sędziowie trzech izb Sądu Najwyższego - Cywilnej, Karnej i Pracy podjęli uchwałę, że Sędziowie powołani na stanowiska na podstawie rekomendacji Krajowej Rady Sądownictwa utworzonej na podstawie ustawy z 8 grudnia 2017 r. nie są uprawnieniu do orzekania. Z zastrzeżeniem, że wyroki wydane przez tych sędziów do momentu podjęcia tej uchwały nie mogą być podważane. Z wyjątkiem, do zastrzeżenia, że orzeczenia Izby Dyscyplinarnej SN, od początku jej istnienia są dotknięte wadą i mogą zostać wzruszone. 

W tym miejscu chciałbym zauważyć, że PRAWO opiera się na pewnych uniwersalnych wartościach i nie może być podporządkowane bieżącym politycznym interesom. 

Najważniejsze wartości to: Równość, Wolność, Godność, Praworządność.

Nie wszystko podlega interpretacjom w zależności od chwili i potrzeby. Są pewne rzeczy, które uznajemy za fundament. Takim fundamentem Demokracji jest np. Trójpodział Władzy i niezależność Sądownictwa. Tam gdzie nie ma niezależnego Sądownictwa tam nie ma Demokracji, nie ma Wolności, Równości i Godności. Dlatego bardzo mnie cieszy uchwała Sądu Najwyższego, który staje w obronie praworządności i niezależności Sądów.

Pomimo, tego co mówi próbuje się wmówić ludziom tu nie chodzi o spór polityczny czy różnice w interpretacji. Tu chodzi o to czy chcemy być w kręgu kultury Zachodniej i członkiem UE (UE opartej na wspólnych wartościach, takich jak Wolność, Równość, Godność, Solidarność, Praworządność), czy też chcemy być w kręgu kultury Wschodu gdzie liczy się tylko SIŁA i AUTORYTARNA WŁADZA. Przypominam, tylko, że wschodnią Rosja tylko czeka by znowu podporządkować swoich sąsiadów (Białoruś już jest de facto pod kontrolą Rosji, w Ukrainie toczy się wojna, a Polska jest następnym celem).

Szanowni Państwo słuchajmy zdania autorytetów prawniczych: byłych sędziów Trybunału Konstytucyjnego, byłych sędziów Sądu Najwyższego, szanowanych profesorów, uchwał KIRP, NRA i Wydziałów Prawa. Stójmy po stronie uniwersalnych i najważniejszych wartości.

Parafrazując śp. Władysława Bartoszewskiego. Warto stać na straży wartości, choć nie zawsze się to opłaca. Opłaca się być koniunkturalistą, ale nie warto.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 20

Gdy zaczynałem parę lat temu serię postów "Ciekawostki z prawa handlowego i nie tylko" wyglądały one całkowicie inaczej. Dużo było o prawie handlowym, o prawie umów i o wyrokach Sądu Najwyższego.

A w ostatnich odcinkach serii jest dużo o ochronie danych osobowych i Compliance.

Nadal, choć mniej, piszę jednak o prawie handlowym, transporcie zbiorowym i zamówieniach in house.

Dwudziesty odcinek i koniec roku kalendarzowego skłania mnie do pewnej refleksji i podzielenia się z moimi czytelnikami częścią mych planów na przyszły rok.

Pomimo, że prowadzę bloga już ponad cztery lata refleksji na koniec roku oddaję się po raz pierwszy. Może dlatego, że rocznica bloga wypada w październiku i zawsze wtedy robię roczne podsumowanie (tu jest LINK do ostatniego).

Duża nowelizacja Kodeksu Spółek Handlowych, w tym wprowadzenie Prostej Spółki Akcyjnej (PSA) powinna w przyszłym roku zaowocować jakimś artykułem lub artykułami na ten temat. Na razie od paru miesięcy dumam po co jest PSA i jak wykorzystać tą Spółkę. Mówiąc szczerze na razie nie pałam entuzjazmem do tej Spółki.

Ostatnie orzeczenie TSUE na temat zamówień in house w publicznym transporcie zbiorowym i pojawiające się głosy praktyków i doktryny spowodowały, że planuję artykuł na temat "jak udzielić zamówienia w publicznym transporcie zbiorowym w dużym mieście". Czyli wrócę na chwilę do źródeł mego bloga.  

O sygnalistach piszę ostatnio  sporo na Inforze. I nadal tam będę publikował o Compliance. Coś tu jednak na blogu też się pojawi.

RODO - to nigdy nie kończąca się historia i obok Compliance rzecz która mnie jako prawnika najbardziej obecnie pasjonuje :-) spodziewajcie się więc kolejnych artykułów i informacji.

Ponieważ jestem molem książkowym, na pewno pojawią się kolejne recenzje książek. Średnio czytam jedną, dwie książki na tydzień ale nie recenzuję wszystkich. Dlaczego? A to już moja słodka tajemnica :-)

No ale starczy tego bajania czas na konkret :-)

RODO - na stronie PUODO pojawił się podręcznik dla IOD`ów - jeszcze nie czytałem ale wygląda na pozycję wartą przeczytania - LINK

COMPLIANCE - na Inforze coraz więcej moich artykułów. Inni eksperci też się budzą. A zegar tyka 

PUBLICZNY TRANSPORT ZBIOROWY - nasz DROGI ustawodawca kolejny raz przesunął o rok termin wejścia w życie (w pełni) ustawy o publicznym transporcie zbiorowym (LINK do ustawy). Czyli kolejny rok powiatowe publiczny transport zbiorowy będzie umierał. A raczej będę umierały jego resztki.
A wystarczyło by żeby:
1) ustawa w końcu weszła w pełni w życie,
2) wprowadzono możliwość dawania prawa wyłączności,
3) środki z tzw. ustawy pks`owej przekazano gminom i powiatom,
4) rozszerzono możliwość udzielania zamówień in house.

A przy okazji
SZCZĘŚLIWEGO NOWEGO ROKU

Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować?

Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować?
Przecież od 30 kwietnia 1998 r. obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Co oznacza, że w Polsce mamy 20 lat doświadczenia w ochronie danych osobowych.
Dla nikogo więc RODO nie powinno teoretycznie stanowić problemu. W końcu RODO to zmiana ewolucyjna, a nie rewolucyjna.

Niestety jest parę powodów, które powodują, że jest inaczej. Poniżej pokrótce je omówię.

1. niska kultura prawna - niestety to duży problem w Polsce. Wiele podmiotów nie zna lub nie rozumie prawa. Do tego, poprzednia ustawa o ochronie danych osobowych była lekceważona przez wiele podmiotów, a teraz wiele podmiotów lekceważy RODO,
2. zmiana filozofii w ochronie danych osobowych - RODO opiera się bardziej na filozofii anglosaskiej (ucierania się standardów) a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO,
3. brak jednoznacznych odpowiedzi - zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk, a poprzednio była check lista i wzory. To powoduje, że 19 lat doświadczenia może być obciążeniem a nie zaletą. Bo teraz nawet najlepsza dokumentacja nie załatwi problemu,
4. nowa ustawa o ochronie danych osobowych została uchwalona na ostatnią chwilę. Ponadto trzeba pamiętać, że RODO stosujemy wprost i ma ono pierwszeństwo przed polskim ustawami. Spowodowało to pojawienie się luk prawnych i sprzeczności pomiędzy normami. Niestety ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) weszła w życie dopiero 4 maja 2019 r. czyli prawie rok po wejściu w życie RODO. Pomimo nowelizacji ponad 160 ustaw luki i sprzeczności prawne nadal występują,
5. IOD`owie - niestety często byli to ludzie z łapanki. Niektórzy z nich obsługują kilkanaście lub kilkadziesiąt podmiotów. Często nie mają oni dostatecznych zasobów i pozycji by dobrze wypełniać swe obowiązki,
6. środki na wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych - wiele podmiotów traktuje to jako koszt a nie inwestycję w bezpieczeństwo. Co powoduje, że tnie te "koszty". A potem są problemy.
7. itd. 

O czym warto pamiętać, by RODO nie stanowiło problemów?

1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji
2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasobym,
3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA, 
6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga

A teraz mam szybkie pytanie na koniec: Kto was zrobił audyt powdrożeniowy?
Bo zakładam, że wdrożyliście RODO i nie polegało to tylko na kupnie dokumentacji.