niedziela, 26 stycznia 2020

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 21

Jest takie starochińskie przekleństwo "Abyś żył w ciekawych czasach".
Niestety czasy nastały w Polsce bardzo ciekawe, a będzie pewnie jeszcze gorzej.

W takich czasach warto zainwestować w wiedzę, np. o Compliance.
Dlatego polecam szkolenie, które będę prowadził w dniu 10 lutego 2020 r. "Nowe zasady odpowiedzialności podmiotów zbiorowych – jak zbudować skuteczny system Whistleblowing`u i system zarządzania zgodnością (Compliance)". Z tego co słyszałem od organizatorów są jeszcze wolne miejsca.

Ponadto w dniu 28 lutego 2020 r. będzie można mnie spotkać, posłuchać i porozmawiać ze mną na Konferencji "SYGNALIŚCI W ORGANIZACJI".

Jeżeli jesteśmy już przy sygnalistach, to chciałbym również zwrócić uwagę, że UOKiK uruchomił program dla sygnalistów. Umożliwia on anonimowe zgłaszania i anonimowy kontakt z Sygnalistami. Zainteresowanym podaję LINK.

Pozostając w temacie sygnalistów, polecam lekturę stanowiska Rzecznika Praw Obywatelskich "Jak chronić sygnalistów w służbach mundurowych?". Mamy naprawdę dużo do zrobienia jako Państwo i Społeczeństwo do zrobienia w tym zakresie. Przypominam, że Sygnalista to ktoś kto nie milczy w obliczu zła. Taka osoba zasługuje na szacunek i ochronę. A niestety w Polsce często spotykają ją działania odwetowe itd. Potrzebujemy na wczoraj dobrych przepisów w tym zakresie.
 
W nawiązaniu do Compliance i Sądów. Polska zajęła 41 miejsce w rankingu obrazującym percepcję korupcji przygotowanym przez Transparency International. To oznacza, że od paru lat spadamy w rankingu (w 2016 r. - 29 miejsce, 2018 r. - 36 miejsce). Jako jedną z przyczyn regresu autorzy wskazują dewastację sądownictwa. LINK

Wojewódzki Sąd Administracyjny w Warszawie stwierdził 20 stycznia br., że postanowienie zabezpieczające Prezesa Urzędu Ochrony Danych Osobowych nakazujące Kancelarii Sejmu powstrzymanie się z upublicznieniem list poparcia do KRS, nie ma zastosowania do sądów. Tym samym Sąd potwierdził opinie specjalistów od RODO w tym zakresie. Swoją drogą, parafrazując pewne powiedzenie, rzeknę, że "uczciwy jawności się nie boi". Skoro PiS robi wszystko co może, by nie ujawniać list poparcia do neoKRS to istnieje wysokie prawdopodobieństwo, że chce ukryć jakieś swoje poważne grzechy.

A skoro już jesteśmy przy tematach na pograniczu polityki i prawa, to w dniu 23 stycznia 2020 r. sędziowie trzech izb Sądu Najwyższego - Cywilnej, Karnej i Pracy podjęli uchwałę, że Sędziowie powołani na stanowiska na podstawie rekomendacji Krajowej Rady Sądownictwa utworzonej na podstawie ustawy z 8 grudnia 2017 r. nie są uprawnieniu do orzekania. Z zastrzeżeniem, że wyroki wydane przez tych sędziów do momentu podjęcia tej uchwały nie mogą być podważane. Z wyjątkiem, do zastrzeżenia, że orzeczenia Izby Dyscyplinarnej SN, od początku jej istnienia są dotknięte wadą i mogą zostać wzruszone. 

W tym miejscu chciałbym zauważyć, że PRAWO opiera się na pewnych uniwersalnych wartościach i nie może być podporządkowane bieżącym politycznym interesom. 

Najważniejsze wartości to: Równość, Wolność, Godność, Praworządność.

Nie wszystko podlega interpretacjom w zależności od chwili i potrzeby. Są pewne rzeczy, które uznajemy za fundament. Takim fundamentem Demokracji jest np. Trójpodział Władzy i niezależność Sądownictwa. Tam gdzie nie ma niezależnego Sądownictwa tam nie ma Demokracji, nie ma Wolności, Równości i Godności. Dlatego bardzo mnie cieszy uchwała Sądu Najwyższego, który staje w obronie praworządności i niezależności Sądów.

Pomimo, tego co mówi próbuje się wmówić ludziom tu nie chodzi o spór polityczny czy różnice w interpretacji. Tu chodzi o to czy chcemy być w kręgu kultury Zachodniej i członkiem UE (UE opartej na wspólnych wartościach, takich jak Wolność, Równość, Godność, Solidarność, Praworządność), czy też chcemy być w kręgu kultury Wschodu gdzie liczy się tylko SIŁA i AUTORYTARNA WŁADZA. Przypominam, tylko, że wschodnią Rosja tylko czeka by znowu podporządkować swoich sąsiadów (Białoruś już jest de facto pod kontrolą Rosji, w Ukrainie toczy się wojna, a Polska jest następnym celem).

Szanowni Państwo słuchajmy zdania autorytetów prawniczych: byłych sędziów Trybunału Konstytucyjnego, byłych sędziów Sądu Najwyższego, szanowanych profesorów, uchwał KIRP, NRA i Wydziałów Prawa. Stójmy po stronie uniwersalnych i najważniejszych wartości.

Parafrazując śp. Władysława Bartoszewskiego. Warto stać na straży wartości, choć nie zawsze się to opłaca. Opłaca się być koniunkturalistą, ale nie warto.








niedziela, 19 stycznia 2020

Recenzja książki "Ekstremalne przywództwo - elitarne taktyki NAVY SEALs w zarządzaniu" - Jocko Willink i Leif Babin


Zawsze kochałem czytać książki o wojskowości, a od paru lat lubię również czytać książki o zarządzaniu. Kiedy więc zauważyłem za kilkanaście złotych (w olbrzymiej promocji) książkę "Ekstremalne przywództwo - elitarne taktyki NAVY SEALs w zarządzaniu" to ją kupiłem.
Następnie e-book (bo w tej formie ją kupiłem) trafił na Kindle na krótką listę kilkudziesięciu książek do przeczytania w pierwszej kolejności.
No ale niestety doba ma 24 godziny, obowiązków mam dużo, więc nie czytam już dla przyjemności jednej książki dziennie ale jedną tygodniowo, a książek do przeczytania są setki. Minęło więc trochę czasu zanim się za nią zabrałem (za namową dobrego kolegi przeskoczyła kilkanaście innych pozycji na liście).

Autorzy opisują koncepcję Ekstremalnego przywództwa i różne jego zasady. 
W każdym rozdziale mamy przedstawiony jeden element koncepcji lub jedną zasadę. Autorzy najpierw opisują, w każdym rozdziale, swe doświadczenia żołnierzy NAVY SEALs (jakby ktoś nie wiedział to elita elit sił specjalnych USA i jedne z najlepszych jednostek specjalnych na świecie) z wojny w Iraku. Potem zwięźle przedstawiają element koncepcji lub zasadę, która wynika z wcześniej opisanych doświadczeń.
A na końcu rozdziału odnoszą ten element koncepcji lub zasady do biznesu.
Czyta się to SUPER.
Taki "Helikopter w ogniu" w połączenie z Sun Tzu i dobrym poradnikiem biznesowym. 
Żadnego wodolejstwa, usypiania itd. 
Konkret podany precyzyjnie i ciekawie. Tak powinno się pisać.

Koncepcja Ekstremalnego przywództwa też mnie kupiła. Może dlatego, że nie wiedząc o tym jestem jej zwolennikiem od kilkunastu lat. Czytałem rozdział po rozdziale. I dawno tak bardzo nie zgadzałem się z autorami. Choć nie ukrywam, że parę koncepcji i zasad było dla mnie nowością lub otworzyło mi oczy na rzeczy, których nie brałem pod uwagę.

No ale nie byłbym sobą jakbym się ze wszystkim zgadzał.

Po pierwsze autorzy są wyznawcami kultu skuteczności. To skuteczność jest ostateczną miarą. To co nieskuteczne jest złe. Na szczęście nie wszystko co skuteczne jest dobre. Ten kult wygranych jest typowo amerykański i budzi moje opory. Na szczęście autorzy wiedzą, że nawet najlepsi mogą przegrać m.in. przez zwykłego pecha.

Po drugie by zwiększyć skuteczność, autorzy proponują ograniczyć ilość snu w celu zwiększenia ilości czasu na treningi, naukę, pracę itd. Niestety doba trwa tylko 24 godziny, a w życiu potrzebna jest równowaga. Nie będę tu się wymądrzał tylko polecę post kolegi o work-life-balance. On wszystko ładnie wyjaśnia - LINK. Ja osobiście ograniczania snu nie polecam.

Dla kogo jest ta książka?
Dla Liderów/Przywódców.
 
Czy dla wszystkich nie i wszędzie?
Tu mam wątpliwości. Ta koncepcja i zasady zostały stworzone na gruncie amerykańskiej Kultury, która jednak różni się od Kultury Europejskiej, a tym bardziej Polskiej.
Ekstremalne przywództwo polega na tym, że Przywódca bierze na siebie odpowiedzialność. Niestety w Polsce wielu szefów ceduje odpowiedzialność w dół drabiny. Za to gloria za sukces idzie w górę. Ile to razy byłem świadkiem, że zamiast szukać rozwiązania, szukało się kozła ofiarnego.
Mam duże wątpliwości czy sprawdziła by się w tzw. Polskim Piekiełku. No ale może się mylę. Może jestem zbyt dużym pesymistą.
 
Jako ten, który zarabia na życie zapobiegając problemom, rozwiązując problemy a w najgorszym razie minimalizując straty, zdecydowanie jestem fanem Ekstremalnego Przywództwa.

Uważam, że ta koncepcja jest dobra gdy pracuje się ze specjalistami. W innych przypadkach mam wątpliwości.

W każdym razie, w szkolnej skali 1-6, książkę oceniam na 5-.
 
Czy czytać?
CZYTAĆ


niedziela, 12 stycznia 2020

Recenzja książki "Jak zostać Dyktatorem - Podręcznik dla nowicjuszy" - Mihal Hem


Książkę ""Jak zostać Dyktatorem - Podręcznik dla nowicjuszy" autorstwa Mihal Hem przeczytałem jakiś czas temu.
Autor w ironiczny ale bardzo celny sposób napisał tą książkę w formie poradnika dla osób chcących mieć władzę absolutną. 
Porady dla przyszłych Dyktatorów opierają się na doświadczeniach obecnych lub przeszłych Dyktatorów.
Książkę bardzo dobrze się czyta. Z tego co pamiętam nie mogłem się od niej oderwać.
Momentami była to bardzo zabawna lektura.
Stety lub niestety też bardzo pouczająca i zmuszająca do refleksji. Czasami bardzo smutnych.

Książka pokazuje jak krucha, nietypowa i krótkotrwała  jest w historii świata Demokracja. I jak szybko i łatwo może zamienić się w Dyktaturę. Nawet w wyniku demokratycznych wyborów.

Patrząc na to co dzieje się w Rosji, w Turcji, na Węgrzech, czy od 2015 r. w Polsce widać jak bardzo aktualna jest ta książka.
Czytając tą książkę, miałem momentami wrażenie, że Pan K. stosuje się ściśle do porad w niej zawartych.

Czy polecam tą książkę? Pisaną przecież dla przyszłych Dyktatorów.
Tak polecam. Zwłaszcza zwolennikom Demokracji. 
Jak nauczał Sun Tzu warto znać swego wroga i jego sposoby. 
Zwłaszcza, że Dyktator często się maskuje pod płaszczykiem patrioty, wroga korupcji itd.

Książkę oceniam na 5- (w szkolnej skali 1-6) i jest to chyba pierwsza 5, którą wystawiłem pisząc recenzje.

poniedziałek, 30 grudnia 2019

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 20

Gdy zaczynałem parę lat temu serię postów "Ciekawostki z prawa handlowego i nie tylko" wyglądały one całkowicie inaczej. Dużo było o prawie handlowym, o prawie umów i o wyrokach Sądu Najwyższego.
A w ostatnich odcinkach serii jest dużo o ochronie danych osobowych i Compliance.
Nadal, choć mniej, piszę jednak o prawie handlowym, transporcie zbiorowym i zamówieniach in house.
Dwudziesty odcinek i koniec roku kalendarzowego skłania mnie do pewnej refleksji i podzielenia się z moimi czytelnikami częścią mych planów na przyszły rok.

Pomimo, że prowadzę bloga już ponad cztery lata refleksji na koniec roku oddaję się po raz pierwszy. Może dlatego, że rocznica bloga wypada w październiku i zawsze wtedy robię roczne podsumowanie (tu jest LINK do ostatniego).

Duża nowelizacja Kodeksu Spółek Handlowych, w tym wprowadzenie Prostej Spółki Akcyjnej (PSA) powinna w przyszłym roku zaowocować jakimś artykułem lub artykułami na ten temat. Na razie od paru miesięcy dumam po co jest PSA i jak wykorzystać tą Spółkę. Mówiąc szczerze na razie nie pałam entuzjazmem do tej Spółki.

Ostatnie orzeczenie TSUE na temat zamówień in house w publicznym transporcie zbiorowym i pojawiające się głosy praktyków i doktryny spowodowały, że planuję artykuł na temat "jak udzielić zamówienia w publicznym transporcie zbiorowym w dużym mieście". Czyli wrócę na chwilę do źródeł mego bloga.  

O sygnalistach piszę ostatnio  sporo na Inforze. I nadal tam będę publikował o Compliance. Coś tu jednak na blogu też się pojawi.

RODO - to nigdy nie kończąca się historia i obok Compliance rzecz która mnie jako prawnika najbardziej obecnie pasjonuje :-) spodziewajcie się więc kolejnych artykułów i informacji.

Ponieważ jestem molem książkowym, na pewno pojawią się kolejne recenzje książek. Średnio czytam jedną, dwie książki na tydzień ale nie recenzuję wszystkich. Dlaczego? A to już moja słodka tajemnica :-)

No ale starczy tego bajania czas na konkret :-)

RODO - na stronie PUODO pojawił się podręcznik dla IOD`ów - jeszcze nie czytałem ale wygląda na pozycję wartą przeczytania - LINK

COMPLIANCE - na Inforze coraz więcej moich artykułów. Inni eksperci też się budzą. A zegar tyka 

PUBLICZNY TRANSPORT ZBIOROWY - nasz DROGI ustawodawca kolejny raz przesunął o rok termin wejścia w życie (w pełni) ustawy o publicznym transporcie zbiorowym (LINK do ustawy). Czyli kolejny rok powiatowe publiczny transport zbiorowy będzie umierał. A raczej będę umierały jego resztki.
A wystarczyło by żeby:
1) ustawa w końcu weszła w pełni w życie,
2) wprowadzono możliwość dawania prawa wyłączności,
3) środki z tzw. ustawy pks`owej przekazano gminom i powiatom,
4) rozszerzono możliwość udzielania zamówień in house.

A przy okazji
SZCZĘŚLIWEGO NOWEGO ROKU

poniedziałek, 23 grudnia 2019

Spokojnych Świąt Bożego Narodzenia oraz Szczęśliwego Nowego Roku

Drodzy Czytelnicy, obecni i przyszli :-)

Drodzy Klienci mojej Kancelarii Radcy Prawnego :-)

Mam nadzieję, że wszyscy będziemy mieli zdrowe, spokojne, rodzinne i wesołe Święta Bożego Narodzenia :-)

Niech nadchodzący rok przyniesie Państwu mnóstwo sukcesów na drodze ku spełnieniu marzeń :-) oraz mnóstwo uśmiechu :-) 

Niech moc Compliance będzie z wami :-)

Niech moc RODO będzie z wami :-)

Niestety żyjemy w takich czasach, że nawet przed Świętami musimy zajmować się Polityką. 
Nie będę życzył Państwu aby znikły podziały, bo one zawsze były, są i będą.
Życzę Państwu aby Polacy nauczyli się prowadzić kulturalnie spory, zawierać kompromisy i podejmować mądre i odpowiedzialne decyzje.
Żeby nauczyli się być obywatelami i zrozumieli, że Polityka to nie coś brudnego i obrzydliwego, ale obowiązek i służba.
Żeby zrozumieli, że Polityka jest taka jak Społeczeństwo i musimy ją stworzyć lepszą.

Życzę Państwu i sobie aby w przyszłym roku wybory Prezydenckie wygrała kobieta lub mąż Stanu a nie człowiek, który łamie Konstytucję lub pomaga w jej łamaniu.
Aby był to pierwszy krok do odbudowy praworządności, Demokracji i pozycji Polski w UE. 
Niestety ta odbudowa zajmie długie lata. 
O ile w ogóle będzie możliwa.
Ale nie traćmy nadziei i odwagi.
Bądźmy mądrzy, cierpliwi i spokojni.



sobota, 14 grudnia 2019

Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować?

Dlaczego RODO od ponad 18 miesięcy powoduje problemy i będzie powodować?
Przecież od 30 kwietnia 1998 r. obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Co oznacza, że w Polsce mamy 20 lat doświadczenia w ochronie danych osobowych.
Dla nikogo więc RODO nie powinno teoretycznie stanowić problemu. W końcu RODO to zmiana ewolucyjna, a nie rewolucyjna.
Niestety jest parę powodów, które powodują, że jest inaczej. Poniżej pokrótce je omówię.
  1. niska kultura prawna - niestety to duży problem w Polsce. Wiele podmiotów nie zna lub nie rozumie prawa. Do tego, poprzednia ustawa o ochronie danych osobowych była lekceważona przez wiele podmiotów, a teraz wiele podmiotów lekceważy RODO,
  2. zmiana filozofii w ochronie danych osobowych - RODO opiera się bardziej na filozofii anglosaskiej (ucierania się standardów) a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO,
  3. brak jednoznacznych odpowiedzi - zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk, a poprzednio była check lista i wzory. To powoduje, że 19 lat doświadczenia może być obciążeniem a nie zaletą. Bo teraz nawet najlepsza dokumentacja nie załatwi problemu,
  4. nowa ustawa o ochronie danych osobowych została uchwalona na ostatnią chwilę. Ponadto trzeba pamiętać, że RODO stosujemy wprost i ma ono pierwszeństwo przed polskim ustawami. Spowodowało to pojawienie się luk prawnych i sprzeczności pomiędzy normami. Niestety ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) weszła w życie dopiero 4 maja 2019 r. czyli prawie rok po wejściu w życie RODO. Pomimo nowelizacji ponad 160 ustaw luki i sprzeczności prawne nadal występują,
  5. IOD`owie - niestety często byli to ludzie z łapanki. Niektórzy z nich obsługują kilkanaście lub kilkadziesiąt podmiotów. Często nie mają oni dostatecznych zasobów i pozycji by dobrze wypełniać swe obowiązki,
  6. środki na wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych - wiele podmiotów traktuje to jako koszt a nie inwestycję w bezpieczeństwo. Co powoduje, że tnie te "koszty". A potem są problemy.
  7. itd. 

O czym warto pamiętać, by RODO nie stanowiło problemów?
  1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji
  2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasobym,
  3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
  4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
  5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA, 
  6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
  7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
  8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga




A teraz mam szybkie pytanie na koniec: Kto was zrobił audyt powdrożeniowy?
Bo zakładam, że wdrożyliście RODO i nie polegało to tylko na kupnie dokumentacji.

niedziela, 8 grudnia 2019

Inspektor Ochrony Danych - kiedy musi być, kim powinien być a kim bywa - czyli 7 pytań o IOD`a

Dlaczego po ponad 18 miesiącach od rozpoczęcia obowiązywania RODO i kilkunastu własnych artykułach/postach, a po tysiącu artykułach innych autorów piszę ten post o Inspektorach Danych Osobowych (dalej IOD lub IOD`a)?
Bo z IOD`ami cały czas są problemy. A może im zaradzić tylko edukacja.
No dobra jedziemy z tematem. Takie podstawy podstaw.

1. Kto musi wyznaczyć IOD`a?

Zgodnie z RODO, administrator i podmiot przetwarzający wyznaczają IOD`a zawsze gdy:
  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Oczywiście administrator podmiot przetwarzający, gdy nie mają takiego obowiązku, to zawsze mogą powołać IOD'a. Zachęcam do tego zwłaszcza średnie i duże podmioty.

2. Czy IOD`em można być w paru podmiotach?

Tak, można. 
Po pierwsze grupa przedsiębiorstw może wyznaczyć jednego IOD`a, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej i analogicznie  dla kilku organów lub podmiotów publicznych można wyznaczyć, z uwzględnieniem ich struktury organizacyjnej i wielkości, jednego IOD`a. 
Po drugie nikt z IOD`ami nie podpisuje umowy na wyłączność i bywa, że jedna osoba jest IOD`em w kilku, kilkunastu a rekordziści w kilkudziesięciu podmiotach.
W tym miejscu mam tylko jedno pytanie. Jak można należycie wykonywać swoje obowiązki IOD`a w kilkudziesięciu podmiotach? Notabene położonych czasami w różnych miastach.
Czyżby IOD władał mocą bycia równocześnie w paru miejscach.

3. Czy IOD musi być pracownikiem czy mogę to zlecić na zewnątrz? Jakie powinien mieć kompetencje?

IOD może być pracownikiem lub może wykonywać na podstawie umowy o świadczenie usług. 

IOD powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

IOD może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Niestety bardzo często IOD wykonuje inne zadania i obowiązki, np. informatyka, co powoduje konflikt interesów. 
W sumie tylko łączenie funkcji IOD`a z oficerem compliance rodzi małe ryzyko braku konfliktu interesów.  

4. Jaki powinien być status IOD'a w podmiocie?

IOD powinien bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Jednocześnie powinien być w stałym kontakcie z wyższym kierownictwem.
IOD powinien mieć zapewnione wsparcie, w wypełnianiu swoich zadań, przez Administratora lub podmiotu przetwarzającego. W szczególności Administrator lub podmiot przetwarzający zapewniają IOD`owi zasoby niezbędne mu do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej (IOD powinien cały czas się szkolić).
Administrator lub podmiot przetwarzający są zobowiązani właściwie i niezwłocznie włączać IOD`a we wszystkie sprawy dotyczące ochrony danych osobowych.
Administrator lub podmiot przetwarzający nie mogą IOD`owi dawać instrukcji dotyczących wykonywania jego zadań. 
Administrator lub podmiot przetwarzający nie mogą odwołać ani karać IOD`a za wypełnianie przez niego swoich zadań. Ale za nie wykonywanie lub nienależyte wykonywanie według mnie już mogą.

IOD powinien znać swoją organizację, jej procesy oraz przepisy branżowe.
IOD musi mieć zmapowane dane w organizacji, co powinno znaleźć odzwierciedlenie w stosownych rejestrach. 
We współpracy z IOD`em powinna być przygotowana odpowiednia dokumentacja. Obecnie toczy się dyskusja czy dokumentację, w tym polityki powinien pisać IOD czy tylko służyć w tym zakresie radę i to nadzorować. Przeważnie to IOD pisze dokumentację. Sam tak uważałem jeszcze jakiś czas temu. Teraz jednak uważam, że powinien tylko nadzorować sporządzanie dokumentacji i służyć radą w trakcie jej tworzenia.
IOD powinien regularnie szkolić pracowników. 
IOD powinien monitorować, sprawdzać, i wspierać.
IOD powinien być niezależny i mieć odwagę powiedzieć NIE.
IOD powinien pamiętać, że jego praca nigdy się nie kończy. Systemem Bezpieczeństwa Danych Osobowych trzeba zarządzać i non-stop go aktualizować i poprawiać.
 
Niestety pomiędzy tym co powinno być a jest, często jest spora różnica. Wystarczy spytać IOD`a czy ma numery telefonów komórkowych wyższego kierownictwa i jaki ma budżet na szkolenia by zwykle wyszło szydło z worka.

5. Co z kontaktem z  IOD`em?

Administrator lub podmiot przetwarzający publikują dane kontaktowe IOD'a i zawiadamiają o nich PUODO.
Osoby, których dane dotyczą, mogą kontaktować się z IOD`em we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

6. Jakie są zadania IOD`a?

IOD ma następujące zadania:
  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów  o ochronie danych i doradzanie im w tym zakresie,
  • monitorowanie przestrzegania RODO i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. Ponadto monitoruje m.in.: podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania, powiązane z tym audyty itp.,
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie ich wykonania zgodnie z RODO,
  • współpraca z PUODO,
  • pełnienie funkcji punktu kontaktowego dla PUODO w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyk związanych z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

Tyle przepisy Rozporządzenia. Pytanie czy coś więcej mamy w nowej ustawie o ochronie danych osobowych.

Ustawa tylko uszczegóławia tylko zapisy RODO, tj.
  • przez organy i podmioty publiczne obowiązane do wyznaczenia IDO rozumie się jednostki sektora finansów publicznych, instytuty badawcze i NBP,
  • podmiot, który wyznaczył IOD`a, zawiadamia PUODO o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD`a oraz inne dane wymagane przez ustawę. Oczywiście o każdej zmienia należy poinformować PUODO, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania,
  • podmiot, który wyznaczył IOD`a, udostępnia jego dane (imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD`a) niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności - bardzo częstą praktyką jest podawania tylko adresu email, co według mnie jest błędną praktyką,
  • podmiot, który wyznaczył IOD`a, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności o czym zawiadamia PUODO.
7. Kto odpowiada za ewentualne naruszenie? IOD czy Administrator?
 
Zawsze Administrator. Zatrudnienie IOD`a nie zwalnia go z odpowiedzialności. Ale zatrudnienie właściwego IOD`a, zapewnienie mu odpowiedniej pozycji w organizacji itd. pozwala zmniejszyć ryzyko Administratora. 
Niestety Administratorzy traktują często IOD`a jak zło konieczne, oszczędzają na nim ile mogą i go lekceważą. A powinni traktować go jak partnera i bezcenne wsparcie na którym nie opłaca się oszczędzać.