piątek, 28 października 2022

Siódma rocznica bloga Kancelarii Radcy Prawnego Paweł Ludwiczak i parę słów o wartościach

Dziś jest siódma rocznica mojego bloga. Jednocześnie to już siedem lat jak prowadzę kancelarię. 

Moi szanowni klienci (nie wymienię was z imienia czy z firmy z uwagi na choćby tajemnicę radcowską) i partnerzy chciałbym wam podziękować. Moja kancelaria funkcjonuje i jest od lat rentowna dzięki wam. Mam nadzieję, że nadal będą mógł wam świadczyć pomoc prawną, uczyć was i uczyć się od was. Że będzie nam dane realizować wspólnie wiele ciekawych projektów. 
Dobra, czas na małe podsumowanie :-) Oczywiście tylko bloga i mojej obecności w socialmedia :-)

W dniu 28 października 2015 r. opublikowałem pierwszy post.

W sumie przez sześć lata napisałem na tym blogu 288 postów, z czego:
w pierwszym roku 52
w drugim roku 48 
w trzecim roku 26
w czwartym roku 43
w piątym 46
w szóstym 42 
w siódmym 31
Jestem ciekaw czy ktoś je wszystkie przeczytał :-) 

Według bloggera moja strona miała łącznie (przez 7 lata) 333.338 (rok temu to było 302.373  wyświetleń), z czego w ciągu ostatnich 12 miesięcy miała ponad 31 tysięcy wyświetleń.

Według analytics miałem, przez ostatnie 12 miesięcy, ponad 5,23 tysiąca indywidualnych czytelników. Czyli o ponad 200 mniej niż w poprzednim okresie. To spadek o 3,81 %. Ale jednocześnie ilość sesji na użytkownika wzrosła o 17,12%, ilość stron na sesję wzrosła o 10,87 %, średni czas sesji wzrósł o 26,04 % a współczynnik odrzuceń spadł o 27%. Mniej piszę to mam mniej wyświetleń i odwiedzin. Jednocześnie poprawiły się jednak inne wskaźniki.

Biorąc pod uwagę 7 lat, najczęściej czytane były posty: 

1) Recenzja książki Kazimierza Turalińskiego „Jak kraść? Podręcznik złodzieja”   - 1,21 tysięcy razy

2) Po co zawodowemu prawnikowi MBA - czyli mocne i słabe strony zawodowych prawników - 1,1 tysięcy razy 

3) Luźne przemyślenia prawnika - część 4 - Opinie prawne - oczami klientów i prawników - 1,02 tysięcy razy

4) "Recenzja książki "Czy jesteś tym który puka?" - 632 razy

5)  "Rekompensata za powierzenie usług w zakresie publicznego transportu zbiorowego - czyli ile?" - 507 razy

Najczęściej otwierane zakładki to:

1) "Profil zawodowy" -3,41 tysięcy

2) "Kontakt" - 3,08 tysięcy

3) "O mnie" - 3,07 tysięcy

Biorąc pod uwagę ostatnie 12 miesięcy najczęściej czytane były posty:  

1) Luźne przemyślenia prawnika - część 4 - Opinie prawne - oczami klientów i prawników - 315 razy 

2) Patriotyzm i Solidarność - 263 razy

3) Po co zawodowemu prawnikowi MBA - czyli mocne i słabe strony zawodowych prawników - 237 razy 

Najczęściej otwierane zakładki to:

1) FAQ o Compliance - 410 razy

2) "O mnie" - 347

3) Kontakt - 280


Do mojej działalności publicystycznej z ostatnich 12 miesięcy, należy doliczyć 23 artykułów na Infor.pl (w sumie na Infor.pl, od 5 lutego 2018 r. opublikowałem już 209 artykułów - tyle mam podpiętych pod swój profil eksperta) w tym parę artykułów opublikowałem jako współautor.

Mogę też się pochwalić, że od ponad 3 lat prowadzę  na INFOR.pl dział Compliance (LINK) i regularnie, średnio co tydzień pojawia się tam nowy artykuł, oczywiście o Compliance. Dzięki temu powstała największa baza tekstów o Compliance w sektorze publicznym w Polsce - wychodzi mi że jest ich ponad 110

Do tego trzeba dodać kolejne kilkanaście artykułów w Gazecie Małych i Średnich Przedsiębiorstw (część napisałem sam, części jestem współautorem). 

Rośnie też moja aktywność na Linkedln. Rok temu miałem ponad 3117 obserwujących, w tym 2435 osób w tzw. sieci. Dziś obserwuje mnie 4349 osób, a w sieci mam 2811 osób. Rośnie więc powoli ale stale.

Aktualne dane SSI na obrazku poniżej (myślę, że jest nieźle i moja strategia marketingowa działa)

 

Od ponad 5 lat używam Logo mojej Kancelarii. Zdecydowanie czas je uaktualnić - tyle, że non stop brak czasu :-)

Publikacji na FB, Twitterze i Instagramie nie liczą. Choć i tam jestem obecny :-)

Co roku piszę: "Uważam, że nie jest źle choć marzy mi się by było lepiej. Do najbardziej poczytnych blogów prawniczych na pewno jeszcze mi bardzo daleko. Ale kto wie co przyniesie przyszłość. (To powtarzam co roku :-)) 

Na pewno będę pisał dalej. Jeżeli chcecie o czymś przeczytać, macie pytania, wątpliwości lub własne przemyślenia proszę o komentarze lub kontakt. Obiecuję że odpiszę lub oddzwonię.".

Coraz częściej też występuję na konferencjach i prowadzę warsztaty. Głównie to wystąpienie online ale i było tradycyjne off-line. Zdecydowanie wolę występować przed żywą publicznością.  Jeżeli potrzebujesz prelegenta lub trenera w zakresie Compliance lub ochrony danych osobowych to się polecam!!! 
Moje wynagrodzenie jest ustalane w drodze negocjacji :-) 
Czasami zgadzam się wystąpić za darmo.
Natomiast propozycje bym wystąpił i za to zapłacił odrzucam od razu. 

Na zakończenie tej części postu chciałbym się podzielić z wami jedną informacją. Nie jestem socialninja ale 90% moich klientów trafia do mnie poprzez tego bloga, Linkedln lub infor. 10% trafia z polecenia (choć ta ilość cały czas rośnie i zwykle to też jest przez Linkedln). 

Czasami na blogu poruszam trudne tematy. Pisałem o szczepieniach narażając się antyszczepionkowcom. Pisałem, że nacjonalizm to nie patriotyzm. Pisałem o Compliance w Kościele Katolickim to szansa na odbudowę tej instytucji. Pisałem, też o łamaniu praworządności i podstawowych zasad przez PiS. Nie wszyscy muszą mnie lubić. Grunt by być Integrity. Tylko wtedy mogę tego wymagać od innych.

Pamiętajcie by stać na straży: Godności, Wolności, Równości i Solidarności.

Dziś nadal potrzeba nam zwłaszcza Solidarności. Wobec uchodźców, wobec ofiar PiS, wobec chorych. 

Ostatnio ktoś mi przypomniał, że prawo to kontekst. Przepisów nie należy analizować w oderwaniu od rzeczywistości i faktów. 

Drobne zmiany na przestrzeni czasu składają się na olbrzymią zmianę. I te dobre i te złe.

Najważniejsze to jednak działać. Dać sobie prawo do błędów i działać by mieć szansę na lepsze jutro. Działajmy więc.

czwartek, 13 października 2022

Ciekawostki z prawa handlowego i nie tylko - odcinek 42

Pół-roku nie napisałem postu z cyklu "Ciekawostki z prawa handlowego i nie tylko". Oczywiście pisałem o Compliance czy RODO. Nie da się jednak ukryć, że pisałem trochę mniej niż zwykle.

Ale dziś (13 października 2022 r.) wchodzi w życie spora nowelizacja Kodeksu Spółek Handlowych. Z tej okazji dla odmiany zaczynamy zgodnie z tytułem od prawa handlowego (i będzie tylko o ksh).

Nowelizacja niby wprowadza prawa holdingowe. Nawet nie skomentuję tych przepisów by się nie denerwować. Widać, że nas ustawodawca znowu nie posłuchał ekspertów od holdingów. Skupię się za to ważnych rzeczach. Ponieważ inaczej wygląda sytuacja Spółek z .o.o. a inaczej Spółek Akcyjnych (SA) omówię je osobno. Na marginesie pozostawiam kwestie związane z Prostymi Spółkami Akcyjnymi (według mnie to dziwny twór prawny i przydatny w specyficznych sytuacjach).

Co się zmieniło w Spółce z o.o. od 13 października 2022 r.?
1)  Wprowadzono obowiązek protokołowania obrad Zarządu chyba że umowa spółki lub regulamin zarządu stanowi inaczej - w Spółkach o miarę porządnej Kulturze organizacyjnej protokoły to standard.
2) Zapisano, że członek Zarządu powinien przy wykonywaniu swoich obowiązków dołożyć staranności wynikającej z zawodowego charakteru swojej działalności oraz dochować lojalności wobec spółki. Ponadto Członek zarządu nie może ujawniać tajemnic spółki także po wygaśnięciu mandatu - wydawało mi się, że jest to oczywiste
3) Zapisano, że Członek rady nadzorczej lub komisji rewizyjnej powinien przy wykonywaniu swoich obowiązków dołożyć staranności wynikającej z zawodowego charakteru swojej działalności oraz dochować lojalności wobec spółki. Ponadto Członek rady nadzorczej lub komisji rewizyjnej nie może ujawniać tajemnic spółki także po wygaśnięciu mandatu - wydawało mi się, że jest to oczywiste
4) Rada nadzorcza może badać wszystkie dokumenty spółki, dokonywać rewizji stanu majątku spółki oraz żądać od zarządu, prokurentów i osób zatrudnionych w spółce na podstawie umowy o pracę lub wykonujących na rzecz spółki w sposób regularny określone czynności na podstawie umowy o dzieło, umowy zlecenia albo innej umowy o podobnym charakterze sporządzenia lub przekazania wszelkich informacji, dokumentów. Informacje, dokumenty, sprawozdania lub wyjaśnienia, o których mowa powyżej, są przekazywane radzie nadzorczej niezwłocznie, nie później niż w terminie dwóch tygodni od dnia zgłoszenia żądania do organu lub osoby obowiązanej, chyba że w żądaniu określono dłuższy termin. Zarząd nie może ograniczać członkom rady nadzorczej dostępu do żądanych przez nich informacji, dokumentów, sprawozdań lub wyjaśnień. - Cztery lata byłem Przewodniczącym Rady Nadzorczej i jakoś nigdy nie miałem problemu by bezzwłocznie dostawać wszelkie informacje, dokumenty itp. lub porozmawiać z danym pracownikiem
5) Rada nadzorcza może ustanowić doraźny lub stały komitet rady nadzorczej, składający się z członków rady nadzorczej, do pełnienia określonych czynności nadzorczych. Powołanie komitetu rady nadzorczej nie zwalnia jej członków Rady Nadzorczej z odpowiedzialności za sprawowanie nadzoru - wydawało mi się, że jest to oczywiste
6)  Jeżeli umowa spółki tak stanowi, rada nadzorcza może podjąć uchwałę w sprawie zbadania na koszt spółki określonej sprawy dotyczącej działalności spółki lub jej majątku przez wybranego doradcę (doradca rady nadzorczej). Doradca rady nadzorczej może zostać wybrany również w celu przygotowania określonych analiz oraz opinii - uregulowanie doradcy Rady Nadzorczej to nowość,
7) Dodano przepisy dotyczące posiedzeń Rady Nadzorczej i protokołów - wydawało mi się, że jest to oczywiste
8) Zmieniono zasady odpowiedzialności członków Zarządu i Rady Nadzorczej wobec spółki za szkodę wyrządzoną działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami umowy spółki. Dotychczas wymagano by przy wykonywaniu swoich obowiązków dołożyli oni staranności wynikającej z zawodowego charakteru swojej działalności. Teraz dodatkowo muszą oni postępować w sposób lojalny wobec spółki, działać w granicach uzasadnionego ryzyka gospodarczego, w tym na podstawie informacji, analiz i opinii, które powinny być w danych okolicznościach uwzględnione przy dokonywaniu starannej oceny.
 
Co się zmieniło w Spółce Akcyjnej od 13 października 2022 r.?
1) Zapisano, że członek Zarządu powinien przy wykonywaniu swoich obowiązków dołożyć staranności wynikającej z zawodowego charakteru swojej działalności oraz dochować lojalności wobec spółki. Ponadto Członek zarządu nie może ujawniać tajemnic spółki także po wygaśnięciu mandatu - wydawało mi się, że jest to oczywiste
2) Nałożono na Zarząd SA obowiązek, udzielenia radzie nadzorczej, bez dodatkowego wezwania, informacji o:
a) uchwałach zarządu i ich przedmiocie - na każdym posiedzeniu rady nadzorczej, chyba że rada nadzorcza postanowi inaczej;
b) sytuacji spółki, w tym w zakresie jej majątku, a także istotnych okolicznościach z zakresu prowadzenia spraw spółki, w szczególności w obszarze operacyjnym, inwestycyjnym i kadrowym - na każdym posiedzeniu rady nadzorczej, chyba że rada nadzorcza postanowi inaczej; 
c) postępach w realizacji wyznaczonych kierunków rozwoju działalności spółki, przy czym powinien wskazać na odstępstwa od wcześniej wyznaczonych kierunków, podając zarazem uzasadnienie odstępstw- na każdym posiedzeniu rady nadzorczej, chyba że rada nadzorcza postanowi inaczej; 
d) transakcjach oraz innych zdarzeniach lub okolicznościach, które istotnie wpływają lub mogą wpływać na sytuację majątkową spółki, w tym na jej rentowność lub płynność - niezwłocznie po wystąpieniu określonych zdarzeń lub okoliczności. 
e) zmianach uprzednio udzielonych radzie nadzorczej informacji, jeżeli zmiany te istotnie wpływają lub mogą wpływać na sytuację spółki - niezwłocznie po wystąpieniu określonych zdarzeń lub okoliczności.
- to naprawdę może być wyzwanie
3) Zapisano, że Członek rady nadzorczej lub komisji rewizyjnej powinien przy wykonywaniu swoich obowiązków dołożyć staranności wynikającej z zawodowego charakteru swojej działalności oraz dochować lojalności wobec spółki. Ponadto Członek rady nadzorczej lub komisji rewizyjnej nie może ujawniać tajemnic spółki także po wygaśnięciu mandatu - wydawało mi się, że jest to oczywiste
4) Rada nadzorcza może badać wszystkie dokumenty spółki, dokonywać rewizji stanu majątku spółki oraz żądać od zarządu, prokurentów i osób zatrudnionych w spółce na podstawie umowy o pracę lub wykonujących na rzecz spółki w sposób regularny określone czynności na podstawie umowy o dzieło, umowy zlecenia albo innej umowy o podobnym charakterze sporządzenia lub przekazania wszelkich informacji, dokumentów. Informacje, dokumenty, sprawozdania lub wyjaśnienia, o których mowa powyżej, są przekazywane radzie nadzorczej niezwłocznie, nie później niż w terminie dwóch tygodni od dnia zgłoszenia żądania do organu lub osoby obowiązanej, chyba że w żądaniu określono dłuższy termin. Zarząd nie może ograniczać członkom rady nadzorczej dostępu do żądanych przez nich informacji, dokumentów, sprawozdań lub wyjaśnień. - Cztery lata byłem Przewodniczącym Rady Nadzorczej i jakoś nigdy nie miałem problemu by bezzwłocznie dostawać wszelkie informacje, dokumenty itp. lub porozmawiać z danym pracownikiem
5) Rada nadzorcza może delegować swoich członków do samodzielnego pełnienia określonych czynności nadzorczych lub ustanowić doraźny lub stały komitet rady nadzorczej, składający się z członków rady nadzorczej, do pełnienia określonych czynności nadzorczych. Powołanie komitetu rady nadzorczej nie zwalnia jej członków Rady Nadzorczej z odpowiedzialności za sprawowanie nadzoru - wydawało mi się, że jest to oczywiste
6)  Jeżeli umowa spółki tak stanowi, rada nadzorcza może podjąć uchwałę w sprawie zbadania na koszt spółki określonej sprawy dotyczącej działalności spółki lub jej majątku przez wybranego doradcę (doradca rady nadzorczej). Doradca rady nadzorczej może zostać wybrany również w celu przygotowania określonych analiz oraz opinii - uregulowanie doradcy Rady Nadzorczej to nowość,
7) Dodano przepisy dotyczące posiedzeń Rady Nadzorczej i protokołów - wydawało mi się, że jest to oczywiste
8) Zmieniono zasady odpowiedzialności członków Zarządu i Rady Nadzorczej wobec spółki za szkodę wyrządzoną działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami umowy spółki. Dotychczas wymagano by przy wykonywaniu swoich obowiązków dołożyli oni staranności wynikającej z zawodowego charakteru swojej działalności. Teraz dodatkowo muszą oni postępować w sposób lojalny wobec spółki, działać w granicach uzasadnionego ryzyka gospodarczego, w tym na podstawie informacji, analiz i opinii, które powinny być w danych okolicznościach uwzględnione przy dokonywaniu starannej oceny.

A na koniec mamy nowe przepisy karne. Za nieprzekazywanie Radzie Nadzorczej informacji, dokumentów, sprawozdań lub wyjaśnień w terminie lub przekazuje je niezgodne ze stanem faktycznym, lub zataja dane wpływające w istotny sposób na treść tych informacji, dokumentów, sprawozdań lub wyjaśnień grozi kara grzywny nie niższa niż 20 000 złotych i nie wyższa niż 50 000 złotych albo kara ograniczenia wolności. Za nieumyślne nieprzekazanie grozi grzywna do 20 000 złotych. Za utrudnienie dostępu do dokumentów i nieudzielanie informacji doradcy rady nadzorczej lub wprowadzanie w bład grożą równie surowe kary. Również jak ktoś czyni to nieumyślnie.

Według mnie powyższe przepisy co do zasady nie poprawią współpracy Zarządu i Rady Nadzorczej tam gdzie jest ona dobra, za to pogorszą tam gdzie jest zła. Jednocześnie Rada Nadzorcza zwłaszcza w SA nie będzie mogła bronić mówiąc, że czegoś nie wiedziała.

Obowiązek działania w granicach uzasadnionego ryzyka gospodarczego, w tym na podstawie informacji, analiz i opinii, które powinny być w danych okolicznościach uwzględnione przy dokonywaniu starannej oceny, moim zdaniem powinien wpłynąć na rozwój komórek zajmujących się zarządzaniem ryzykiem oraz komórek Compliance,

Na dziś starczy.

Niech moc Compliance będzie z wami.



niedziela, 2 października 2022

Recenzja książki Yuval Noah Harari "21 lekcji na XXI wiek"

Jakiś czas temu przeczytałem książkę Yuval Noah Harari "21 lekcji na XXI wiek".
Autor próbuje zdiagnozować obecne i przyszłe trendy, zagrożenia i szanse. Jedne mają mocną podbudowę naukową, a inne to po prostu filozoficzne przemyślenia autora.
Książka dzieli się na:
CZĘŚĆ I.   WYZWANIE TECHNICZNE 
1. Rozczarowanie 
2. Praca 
3. Wolność 
4. Równość 
CZĘŚĆ II. WYZWANIE POLITYCZNE 
5. Społeczność 
6. Cywilizacja 
7. Nacjonalizm 
8. Religia 
9. Imigracja 
CZĘŚĆ III. ROZPACZ I   NADZIEJA
10. Terroryzm 
11. Wojna 
12. Pokora 
13. Bóg 
14. Sekularyzm 
CZĘŚĆ IV. PRAWDA 
15. Niewiedza 
16. Sprawiedliwość 
17. Postprawda 
18. Science fiction 
CZĘŚĆ V.   ODPORNOŚĆ 
19. Edukacja 
20. Sens 
21. Medytacja
 
Muszę się przyznać, że niektóre koncepcje autora, np. wpływ rozwoju AI, Big Data, Genetyki, Nanotechnologii na Społeczeństwo potrafi wzbudzić niepokój i jest mocno niepokojący. Zgadzam się również z rozważaniami o nierównościach i nierównowadze wywołanej przez szybki rozwój technologiczny oraz neoliberalizm. Obecnie możemy obserwować jak nacjonalizm i populizm znowu próbują dawać proste odpowiedzi na trudne pytania, a tylko powodują większe problemy. 
Rozważania o religii czy medytacji natomiast pominę milczeniem.
Książka jest bardzo nierówna. Od świetnych i błyskotliwych fragmentów, po ... przemilczmy już słabsze fragmenty. Merytorycznie oceniam ją jednak na mocne 4+.
 
Czas na test śpiocha. Książka jest napisana nieźle. Nie usypia ale wciąga tylko momentami. Z testu śpiocha mocne 4.

Dla kogo ta książka? Dla każdego chce przewidzieć przyszłość, obecne trendy i się na nie przygotować oraz zrozumieć co dzieje się z obecnym Światem. Dla strategów, Liderów i innych, którzy muszą planować przyszłość, bo książka ma momentami specyficzny punkt widzenia i zmusza do myślenia.
Podobnych książek jest sporo, choćby "Internet ludzi - organizacja jutra", ale ta jest w większości mocno osadzona w rzeczywistości i szeroko podchodzi do tematu.

Ocena końcowa
Książce w szkolnej skali 1-6, daję mocne 4+.

Czy czytać? Czytać 
Powiem tylko tyle, że mimo wszystko nabrałem ochoty na przeczytanie w wolnej chwili innych książek tego autora, choćby po to by poznać jego specyficzne spojrzenie.

sobota, 24 września 2022

Ogłoszenia o kongresach Compliance

Najgorsze starochińskie przekleństwo to, żebyś żył w ciekawych czasach. Niewątpliwie czasy są ciekawe. Rzeczywistość przypomniała nam czym jest pandemia, wojna, rządy populistów i autokratów itd. W życiu zawodowym też się dzieje, choć na szczęście dla odmiany pozytywnie.

W dniu 20 września br. odbyła się II Konferencja DAPR pod tytułem "Korzyści z RODO dla Biznesu". GoTek Rysuje przygotowała znowu nieziemskie podsumowanie mojej prezentacji.

Domyślacie się, że mówiłem o budowaniu świadomości w organizacji i roli IOD`a.

W dniu 29 września br., będę miał przyjemność wystąpić jako gość na Konferencji Raczkowski Compliance Day 2022 r. Wraz z innymi gośćmi będę dyskutował o realiach pracy compliance oficera w polskich organizacjach. Będę mówił o praktyce, a nie teorii. Serdecznie zapraszam, zwłaszcza, że wydarzenie jest bezpłatne.

Natomiast w dniach 20-21 października br. odbędzie się III Polski Kongres Compliance. Występowałem na I i II, więc przyjąłem zaproszenie i na III. Będę mówił o odpowiedzialności za wdrożenie i utrzymanie systemu Compliance w świetle nowelizacji kodeksu spółek handlowych oraz projektu nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Czyli będzie i o Compliance, i o zarządzaniu, i prawie handlowym i prawie karnym. Wszystko to co tygryski lubią najbardziej. Oczywiście serdecznie zapraszam na wydarzenie.

Obserwujcie bacznie stronę stowarzyszenia Praktycy Compliance na Linkedin oraz stronę www. Niedługo będzie się działo.

Niech moc Compliance będzie z wami.

piątek, 26 sierpnia 2022

Recenzja książki Jocko Willink i Leif Babin "Ekstremalny zeszyt ćwiczeń - ucz się, bądź liderem, zwyciężaj"


 Po recenzji:
Jocko Willink i Leif Babin, przyszedł czas na recenzję pozycji "Ekstremalny zeszyt ćwiczeń - ucz się, bądź liderem, zwyciężaj".
 
Jeżeli powyższe książki potraktować jako podręcznik, to Ekstremalny zeszyt należy potraktować jako zeszyt ćwiczeń. Podobnie jak w książkach najpierw mamy trochę teorii, a potem praca domowa (ćwiczenia i zadania). Podział odpowiada książce "Ekstremalne Przywództwo" ale widać w niej wpływy przemyśleń z "Równowagi w Przywództwie". Merytorycznie 4 +. Plus za wojskowy konkretny styl.
 
Czytało mi się to nawet dobrze. Ze słowniczkiem zeszyt ma 100 stron więc usnąć nie zdążyłem ale też jakoś nie miałem poczucia niedosytu. Z testu śpiocha 4.  
 
Zeszyt zdecydowanie dla fanów ww. książek lub osób, które chcą wdrożyć "ekstremalne przywództwo". 
 
Zeszyt oceniam na 4 +.
Czy czytać?
CZYTAĆ 
Choć raczej powinno być czy ćwiczyć? 
Na pewno warto się zastanowić nad zadaniami w zeszycie.
 
Ps Dziękuję wydawnictwu SQN za udostępnienie mi zeszytu do testów. 

niedziela, 24 lipca 2022

IOD w świetle pytań PUODO

Zawsze jak szkolę z ochrony danych osobowych to pytam "kto odpowiada za ochronę danych osobowych?". Zwykle pada odpowiedź: "IOD".

Oczywiście jedną z osób, która odpowiada za system ochrony danych osobowych jest Inspektor Ochrony Danych w skrócie IOD.

Jednym z mitów dotyczących IOD jest to, że odpowiada on za wszystko. Za wszystko to odpowiada Administrator. IOD odpowiada za doradztwo, nadzór i swoje obowiązki m.in. jako punkt kontaktowy.

Drugi mit, to że IOD albo jest hamulcowym który nie rozumie biznesu i się czepia bez sensu (bo pilnuje, żeby administrator wypełniał swe obowiązki) albo że ma podpisywać i nie marudzić, przecież wszystko jest okey (notabene w każdej organizacji, zwłaszcza większej nie wszystko jest okey). Dlatego można IOD płacić grosze i wystarczy jak się pojawi raz, dwa razy w tygodniu papiery podpisać. 

Od dawna piszę, o tych i innych mitach związanycg z funkcją IOD. Nadal iwielu administratorów źle rozumie jego rolę lub jej nie docenia. Z wielu artykułów polecam post: "IOD - mistrz Jedi, rycerz Jedi czy padawan?".

Niedawno PUODO opublikowało pytania weryfikujące funkcjonowanie IOD'ów u Administratorów i w podmiotach przetwarzających. Co wynika z tych pytań o wizji PUODO na temat IOD'ów?

Nie będę się wymądrzał jak odpowiadać itp. Zapraszam za to do mojej analizy pół żartem pół serio (choć tematyka poważna) pytań.

1) Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
Pytanie kontrolne. Jak jest, to można sprawdzać dalej. Jak nie ma to, koniec kontroli, chyba że ma być.

2) Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
Pytanie kontrolne. Czy IOD jest, jeżeli być powinien.

3) Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub - jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
To jest ciekawa kwestia. RODO nie nakazuje publikowania imienia, nazwiska czy telefonu IOD, natomiast ustawa nakazuje opublikować imię i nazwisko IOD oraz kontakt do niego. Ktoś mi wytłumaczy po co ustawodawca krajowy każe publikować imię i nazwisko IOD'a? Według mnie to nadmiarowe przetwarzanie.
No ale PUODO stosuje zasadę dura lex sed lex.

4) Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
Pytanie kontrolne. Sprawdzenie stosowania przepisów. 

5) Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
Pytanie kontrolne.

6) Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
To pozwala ocenić, czy IOD ma czas dla organizacji czy bywa raz w tygodniu na godzinę i równie dobrze mogłoby go nie być 

7) Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
To jest ciekawe pytanie. I bardzo dobre :-)))) Trzeba udowodnić, że powołało się eksperta a nie znajomego królika, ochotnika z łapanki lub najtańszego oferenta. To jasno pokazuje, że wybierając IOD trzeba się kierować jego kompetencjami i wiedzą, a nie ceną. A jakość kosztuje.

8) Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
Według mnie jedno z najważniejszych pytań. Jeżeli IOD nie ma zasobów, to nie może skutecznie działać. I mówiąc o zasobach nie chodzi tylko o kasę ale i ludzi oraz narzędzia. 

9) W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
Drugie mega ważne pytanie. Ja w czasie audytu proszę o plan szkoleń IOD. Potem sprawdzam dostęp do publikacji itp. Szybko wychodzi szydło z worka czy IOD utrzymuje wiedzę fachową czy też jego wiedza się deaktulizuje.

10) Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
Pytanie formalno-prawne ale pomaga ocenić niezależność IOD. Według mnie podległość w strukturze pod Prezesem nie świadczy jeszcze o niezależności.

11) Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
Pytanie formalno-prawne. Ale swoją drogą stawia ciekawe pytanie o zastępcę IOD, np. czy można go powołać na stałe jako wsparcie IOD? 

12) Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
To pytanie, czy IOD ma odpowiednie zasoby ludzkie. W organizacjach liczących setki lub tysiące osób świadczących pracę, samotny IOD nie ma szans wykonać należycie swoich obowiązków.

13) W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?

To jest mega ważne pytanie. Wielu IOD skarży się, że nie są włączani we wszystkie sprawy, są włączani zbyt późno lub ich uwagi nie są należycie uwzględniane. Jednocześnie w dużych organizacjach samotny IOD nic by nie robił tylko na spotkania biegach. 
No i kwestia rozliczalności - ma zbierać podpisy? Przecież to byłby przerost formy nad treścią.

14) W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

Pytanie kontrolne. Choć ważne 

15) Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

Pytanie kontrolne ale bardzo ważne.
Niestety nadal bardzo często to IOD sporządza dokumentację systemu ochrony danych osobowych. To spadek po ABI i starej ustawie.

16) W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

Widać że teoretyk pisał te pytanie. Powiem tak. Niezależnym to się jest albo nie. Trzeba mieć autorytet i tyle. No ale jak ktoś bierze "kilkaset" złotych za funkcję IOD i podpisuje tylko papierki 2-3 razy w tygodniu to ani nie ma autorytety ani niezależności.

17) W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
Kolejne pytanie teoretyka. Patrz odpowiedź wyżej.

18) W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
Lubię pytania teoretyków. To zależy od transparentności i dojrzałości organizacji. 
Ja tam zawsze mam dowód na piśmie jak coś doradzałem. Nie raz mnie to uratowało.

19) W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
Pytanie kontrolne 

20) Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
To jest ciekawe zagadnienie i ważne.

a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
Ciekawie kto prowadzi ewidencję czasu pracy w tym zakresie 

b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?
Ciekawe pytanie na osobnego posta. Z chęcią bym zobaczył jakieś wzory a potem sprawdził jak działają w praktyce. Bo wiecie papier przyjmie wszystko.

c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
Ważne pytanie kontrolne. IOD nie powinien mieć dwóch panów.

21) Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
Teoretycy kochają dokumenty. A papier przyjmie wszystko.
Choć procedury są bardzo ważne to .....

22) Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
Pytanie kontrolne. Swoją drogą jak IOD nie ma na miejscu to jak nadzoruje?

23) Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
Naprawdę teoretycy kochają papierologię.
A nie lepiej sprawdzić ile zrobił kontroli i szkoleń.

24) Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
Pytanie kontrolne 

25) Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
To jest ciekawa kwestia. Ja myślałem że komunikacja IOD i Administrator to podstawa. Oczywiście jak wszystko jest okey to można 1-2 razy do roku. Jak mamy incydenty czy zdarzenia to trzeba utrzymywać gorącą linię.

26) Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
Pytanie kontrolne 

27) Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Ciekawe pytanie. Według mnie IOD działa jak oficer Compliance na drugiej linii obrony (częściowo na trzeciej). Według mnie to komórki audytu i kontroli wraz z najwyższym kierownictwem powinny kontrolować pracę IOD.
Ale jeżeli tylko on ma wiedzę w organizacji?

Ciekawe jak PUODO będzie modyfikował pytania i jak wykorzysta to narzędzie - ankiety.

Niech moc ochrony danych osobowych będzie z wami.

niedziela, 17 lipca 2022

Czy masz system ochrony danych osobowych, zgodnie z RODO, w swojej organizacji? A czy działa? A skąd to wiesz?



To było w ostatnią środę. Na linkedln napisał do mnie znajomy przedsiębiorca czy może przedzwonić?

Odpowiedziałem się, że nie ma problemu, po godzinie 17 może spokojnie do mnie zadzwonić i możemy chwilę porozmawiać.

I faktycznie, po 17, do mnie przedzwonił. Powiedział, że wie, że jestem ekspertem od RODO i ma drobne pytanko. 

Na takie pytania odpowiadam standardowo, że jak drobne to oczywiście niech pyta i postaram się pomóc ale jak to coś poważniejszego to uzyskanie odpowiedzi będzie go kosztować - w końcu zarabiam odpowiadając na pytania lub sam pytając, zapobiegając problemom, rozwiązując problemy i minimalizując straty czyli udzielając pomocy prawnej

Powiedział, że rozumie.  Wczoraj czytał jeden z moich artykułów i zrozumiał, że nie wie czy u niego w przedsiębiorstwie działa skuteczny system ochrony danych osobowych. Co prawda 4 lata kupił zestaw dokumentacji RODO od znajomej kancelarii i jakiś ekspert pomagał mu poprawić stronę 3 lata temu, ale po moim artykule nabrał wątpliwości czy to wystarczy.

Dopytałem, jak dużą ma firmę i czy przetwarza dużo danych osobowych?

Okazało się, że firma jest średnia, ma kilkadziesiąt pracowników i przetwarza "chyba" dużo danych osobowych.

Odpowiedziałem szczerze, że jakbym miał zgadywać, to system ochrony danych osobowych u niego jest pozorny i nieskuteczny. Jak chce wiedzieć co nie działa lub czego brak i co trzeba poprawić to trzeba zrobić audyt. Audyt średniego przedsiębiorstwa kosztuje u mnie od kilkunastu tysięcy w górę + VAT. Oczywiście po uzyskaniu odpowiedzi na parę dodatkowych pytań przedstawię konkretną ofertę. Audyt kończy się raportem z zaleceniami oraz moją ofertę - w czym mogę pomóc w działaniach naprawczych i ile to będzie kosztować. Oczywiście może działania korygujące lub naprawcze zlecić tak jak audyt mnie lub komuś innemu. Nawet mogę polecić parę kancelarii i ekspertów, którzy naprawdę się znają na ochronie danych osobowych, a nie tylko sprzedają dokumentację "podobno" zgodną z RODO.

Klient powiedział, że się zastanowi i się grzecznie pożegnał. Zobaczymy czy potraktuje ten wydatek jako inwestycję w bezpieczeństwo czy jako koszt. W sumie to "rozumiem". Na skuteczny system trzeba wydać od kilku do kilkaset tysięcy złotych (wdrożyć i utrzymać), a kary i odszkodowania to tylko od kilkudziesięciu tysięcy do kilku milionów złotych (tyle na razie maksymalnie nałożył PUODO), do tego koszty pomocy prawnej przed PUODO, WSA i NSA - kolejne kilkadziesiąt lub kilkaset tysięcy + utrata reputacji. No i co z tego, że coraz więcej kontrahentów wymaga bycia Compliance. No cóż przetrwanie czy rozwój nie są obowiązkowe jak mówi znajomy ekspert od zarządzania ryzykiem.

Jak obserwuję rynek, wykonują zlecenia audytów, aktualizacji lub naprawy systemu lub poprawy dokumentacji RODO to stwierdzam, że mimo tego, że prawo ochrony danych osobowych mamy w Polsce od ćwierć wieku, a RODO obowiązuje od 4 lat to:
1) nieliczni przedsiębiorcy i część sektora publicznego są świadomi swoich obowiązków z zakresu ochrony danych osobowych i utrzymują skuteczne i efektywne systemy ochrony danych osobowych,
2) spora część przedsiębiorców i sektora publicznego coś tam ma. Mniej lub bardziej pozornego lub nieskutecznego. Zwykle bardziej pozornego i mało skutecznego,
3) nadal spora część przedsiębiorców i sektora publicznego nie ma nic lub ma tylko półkownika - zakurzony i nieużywany segregator z niby dokumentacją RODO, której nikt nie czytał i nikt nie stosuje.

Dla mnie skuteczny i efektywny system ochrony danych osobowych to między innymi:
1) kwestia bezpieczeństwa organizacji i najwyższego kierownictwa,
2) kwestia przewagi konkurencyjnej,
3) kwestia odpowiedzialności - za brak, pozorność lub nieskuteczność systemu grozi odpowiedzialność administracyjna (finansowa), cywilna, karna,
4) kwestia kultury organizacyjnej.

Ludzie coraz bardziej są świadomi swoich praw i składają coraz więcej skarg do PUODO, a PUODO na nie reaguje.

PUODO prowadzi coraz więcej kontroli i nakłada coraz więcej kar.

Rośnie stres, zagrożenie cyberbezpieczeństwa itp - w każdym podmiocie w końcu dojdzie do naruszenia ochrony danych osobowych. Pytanie tylko kiedy i ile to będzie kosztować.

Mam teraz do ciebie trzy pytania:

1) Czy masz system ochrony danych osobowych w swojej organizacji? (bo jakieś dane osobowe na pewno przetwarzasz.
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 2.
 
2) Czy ten system działa skutecznie i efektywnie?
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 3.  

3) A skąd to wiesz?
Jeżeli robisz co rok audyty i kontrole (u różnych i sprawdzonych ekspertów) to super. Byle byś im płacić za to by naprawdę sprawdzili, a nie za certyfikat, że wszystko jest okey.
Jeżeli nie robisz audytów i kontroli to nie wiesz, a zgadujesz. I masz problem.
 
Niech moc RODO będzie z wami.
Ps a jak masz problem to wiesz jak się ze mną skontaktować :-) Wycenę robię indywidualnie pod klienta. Przy większych pracach montuję zespoły.