Strona Kancelarii i blog o Compliance, Sygnalistach, RODO, GDPR, prawie gospodarczym, zarządzaniu, zamówieniach in house i paru innych ciekawych rzeczach
niedziela, 12 maja 2024
Dwa scenariusze dla Polski i Europy - czyli stawka wyborów Europejskich
niedziela, 28 kwietnia 2024
Luźne przemyślenia oficera Compliance - szykuje się znowu piękna katastrofa, jak z RODO
Już wiem jak się czuła Kasandra. Choć raz chciałbym się pomylić w ważnej sprawie, ale nie. Literówki robię co kawałek ale w ważnej rzeczy jakoś nie mogę się mylić choćbym chciał. Ech......
W ostatnim poście Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO pisałem dlaczego z sygnalistami będzie jak z RODO. I każdy tydzień mnie utwierdza, że mam rację.Wielu moich kolegów i koleżanek myśli że wystarczy przeczytać ustawę i par książek i już się jest ekspertem. W końcu specjalista z prawa pracy lub karnista z sygnalistami też sobie poradzi. Machnie się procedurkę i już. Tak samo było kiedy wchodziło RODO. Sporo prawników poczuło zapach pieniędzy i zaczęło sprzedawać procedury strasząc olbrzymimi karami. Efekt jest taki, że do dziś po nich trzeba poprawiać, a wiele podmiotów nie ma systemu ochrony danych osobowych tylko półkowniki. Zbierającą kurz dokumentację. Teraz zaczynamy oglądać nową odsłonę tego zjawiska w związku z sygnalistami.
Od paru lat piszę, występuję na konferencjach i tłumaczę z koleżankami i kolegami praktykami, że trzeba będzie wdrożyć system przyjmowania zgłoszeń, prowadzenia działań następczych (w tym wyjaśniających) i chronić sygnalistów. System trzeba zaprojektować pod organizację, wdrożyć a potem nim zarządzać. Elementem systemu (jednym z wielu) jest m.im. procedura, rejestr czy kanały. Najważniejsi są jednak ludzie i komunikacja.
A potem czytam posty prawników z wielkich i znanych kancelarii, że "procedura musi być dostosowana do podmiotu", "trzeba będzie kupić procedurę" itp. posty. Dużo o procedurze, czasami coś o kanałach a zero o systemie czy zmianie Kultury.
Na koniec wieści z frontu legislacji, bo tu dużo się działo:
1) projekt ustawy o ochronie sygnalistów w Sejmie - druk nr 317 - sygnaliści się kłaniają
2) Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw - NIS 2 się kłania
3) Parlamenty Europejski przyjął Dyrektywa w sprawie należytej staranności przedsiębiorstw w zakresie zrównoważonego rozwoju (Corporate Sustainability Due Diligence Directive, Dyrektywa CSDD) - ESG się kłania.
4) Na RLC mamy Projekt ustawy o zmianie ustawy o rachunkowości, ustawy o biegłych
rewidentach, firmach audytorskich oraz nadzorze publicznym oraz
niektórych innych ustaw - i znowu ESG się kłania
5) Na RLC mamy Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego - DORA się kłania
6) dzieje się w prawie gospodarczym, np. na RLC mamy projekt ustawy o zmianie niektórych ustaw w celu deregulacji prawa gospodarczego i administracyjnego oraz doskonalenia zasad opracowywania prawa gospodarczego
7) a oprócz tego szykują się zmiany w AML, trwają prace nad standardami ESRS, planują rozwiązać CBA - może po 8 latach przerwy znowu zaczniemy serio walczyć z korupcją - itd.
Oj 2024 r. zapowiada się ciekawie
Niech moc Compliance będzie z wami
środa, 27 marca 2024
Życzenia Wielkanocne
niedziela, 24 marca 2024
Co oznacza sukces pisarza?
niedziela, 11 lutego 2024
Luźne przemyślenia oficera Compliance - dlaczego z sygnalistami będzie gorzej niż z RODO
Od blisko pięciu lat ostrzegam, że w przypadku systemów przyjmowania zgłoszeń, prowadzeniu postępowań następczych (w tym postępowań wyjaśniających) oraz ochrony sygnalistów (w skrócie systemy dla sygnalistów lub Whistleblowing) będzie w Polsce gorzej niż z wdrażaniem systemów ochrony danych osobowych po wejściu w życie RODO.
Dlaczego w Polsce wiele podmiotów nie ma skutecznych i efektywnych systemów ochrony danych osobowych? Po pierwsze wiele podmiotów w Polsce niestety nadal nie zna lub lekceważy prawo. Po drugie często za wdrożenia wzięły się kancelarie prawne, które nie miały doświadczenia w zarządzaniu systemami ochrony danych osobowych. Zaczęły one straszyć wielomilionowymi karami i wciskać klientom dokumentację RODO. Pomijając, że w RODO chodzi o ochronę praw i wolności osób, które dane się powtarza, o stworzenie skutecznego i efektywnego systemu ochrony danych osobowych (opartego na analizie ryzyka), a dokumentacja to tylko jedno z narzędzi tego systemu. Oczywiście dokumentacja u nich nie była tania. Z drugiej strony rynek psuły podmioty sprzedające dokumentację ze parek setek. W wyniku tego do dziś nawet w dużych firmach znajduję pokryte kurzem segregatory i Zarządy żyjące złudzeniem, że mają system, bo kupili dokumentację i 5 lat temu przeszli jakieś szkolenie. Na szczęście ochrona danych osobowych funkcjonuje w Polsce nie 5 lat (jak RODO) ale ćwierć wieku i mamy całe grono praktyków ochrony danych osobowych, które w zależności od wsparcia najwyższego kierownictwa zbudowali w wielu podmiotach lepsze lub gorsze systemy ochrony danych osobowych.
Od paru lat tłumaczę, że trzeba będzie w Polsce wdrożyć systemy dla sygnalistów, a procedura to akurat najłatwiejsza sprawa i nie jest to ani pierwszy ani ostatni krok. W tym roku ponieważ pojawiła się szansa, że w końcu w życie wejdzie ustawa o ochronie osób dokonujących zgłoszenia naruszeń, wiele kancelarii i firm poczuło kolejną po RODO żyłę złota. I się zaczęło pisanie i chwalenie kto to więcej i lepiej pisze procedur oraz jakie to one powinny być. Żeby było weselej robią to nawet renomowane i promujące się jako doświadczone w Compliance duże kancelarie. Ja rozumiem, że kasa musi się zgadzać i najtaniej i najłatwiej jest opchnąć klientowi procedurę lub parę procedur. Potem ewentualnie opchnąć swe usługi audytorskie, śledcze lub z zakresy obsługi sądowej (zależy jaki kto zbudował zespół).
Tylko takie podejście skończy się tym, że wiele firm będzie miało złudzenie, że spełniło wymagania, bo przecież mają kupioną za grubą kasę procedurę i ktoś ich parę lat temu przeszkolił.
W przypadku RODO, mieliśmy tysiące doświadczonych praktyków ochrony danych osobowych w sektorze publicznym i sektorze MSP. W przypadku Compliance już tak nie jest. Systemy dla sygnalistów czy compliance w sektorze publicznym czy MSP to wyjątek od reguły a nie zasada. No i ochrona danych osobowych nie budzi takich problemów Kulturowych jak dokonywanie zgłoszeń i ochrona sygnalistów.
Piszę teraz do podmiotów, które będą wdrażały i zarządzały systemami dla sygnalistów - unikajcie jak ognia podmiotów, które będą oferować procedurę przyjmowania zgłoszeń i będą się chwalić ile to ich napisały. Szukajcie ekspertów doświadczonych we wdrażaniu i zarządzaniu systemami dla Sygnalistów i mówiących o systemach. Dostosowanych do podmiotu.
Nie chodzi by mieć procedurę. Chodzi o to by sygnaliści zgłaszali wam naruszenia, o to byście je rzetelnie wyjaśniali i podejmowali właściwe działania następcze i żebyście chronili sygnalistów. Na wyższym metapoziomie chodzi o bardziej etyczne, efektywne i skuteczne organizacje oraz bardziej zaangażowanych pracowników oraz minimalizację ryzyk. Napisanie procedury to najłatwiejsze w tym wszystkim (a i to potrafią kancelarie popsuć pisząc długie i niezrozumiałe procedury).
Co do kanałów i aplikacji to każdy musi wybrać to co pasuje do jego Kultury. Choć to też trzeba robić z głową.
Niech moc Compliance będzie z wami
Ps a dla i wybaczcie jak się na LI przejadę publicznie po kimś kto zamiast o systemach będzie pisał tylko o procedurach ale człowiek się męczy, tłumaczy a potem duża kancelaria lub firma doradcza wciska procedury, a nie edukuje, że potrzeba wdrożyć i zarządzać systemem. A i wymówka, że to tylko skrót myślowy nie podziała.
niedziela, 28 stycznia 2024
Luźne przemyślenia oficera Compliance - Czemy sygnaliści nie dokonują zgłoszeń?
Dwa tygodnie temu w artykule "Sygnaliści na start" opublikowanym w Newsweek`u zamieszczone moje wypowiedzi. Najważniejsza z nich dotyczyła, czemu w Polsce ludzie nie dokonują zgłoszeń naruszeń.
W mojej ocenie z trzech głównych powodów dlaczego ludzie często wolą odwrócić wzrok widząc zło niż zareagować.
Po pierwsze boją się działań odwetowych. Niestety praktyka pokazuje, że organizacja lub koledzy i koleżanki, nie ściga tych co łamią prawo ale tych co przynoszą złe wieści lub nazywają zło po imieniu. I niestety bez ustawy nie udaje się lub bardzo trudno jest pomóc sygnalistom, którzy spotkali się z działaniami odwetowymi.
Po drugie boją się, że zostaną uznani za donosicieli lub kapusiów – to pozostałość po latach zaborów i czasach PRL. Problemem jest nie tylko co inni mogą o nas pomyśleć ale i co sami o sobie pomyślimy. Dokonanie zgłoszenia często wiąże się z pokonaniem wewnętrznych oporów przed zabraniem głosu. Wyjścia przed szereg.
Po trzecie często nie wierzą, że ktoś się rzetelnie zajmie ich zgłoszeniem i podejmie odpowiednie działania. Jak pisałem w artykule "Jaki jest warunek sine qua non skutecznych działań następczych po zgłoszeniu Sygnalisty w przypadku zgłoszenia zewnętrznego lub ujawnienia publicznego? " bez niezależnej Prokuratury i niezależnych i pluralistycznych mediów nie ma szans na sygnalistów. Sygnaliści oczekują, że ktoś rzetelnie zajmie się ich zleceniem. Liczy, że zostanie rzetelnie przeprowadzone postępowanie wyjaśniające, a potem przestępca nie uniknie kary.
Co trzeba zrobić by ludzie nie milczeli widząc zło?
Potrzebna jest zmiana mentalności oraz zbudowanie zaufania.
Ludzie muszą wierzyć, że nie można milczeć widząc zło lub naruszenie prawa ale trzeba reagować i alarmować. Ludzie muszą mieć pewność, że jak złożą zgłoszenie to ktoś się faktycznie nim zajmie, rzetelnie wyjaśni i podejmie odpowiednie działania następcze, a nie zamiecie sprawę pod dywan. A zgłaszającego (zwanego też sygnalistą lub demaskatorem) lub jego bliskich nie spotka odwet. To wszystko między innymi nakazuje wprowadzić dyrektywa Unijna.
Przed oficerami Compliance staje więc trudne zadanie. Muszą im zaufać pracownicy i musi im z drugiej strony zaufać najwyższe kierownictwo. Muszą oni edukować interesariuszy i budować Kulturę Compliance.
Jak? To już temat innego postu.
Niech moc Compliance będzie z wami.
I pamiętajcie zaufanie buduje się długo swoją codzienną działalnością, a można stracić przez jeden błąd. Kluczem jest Komunikacja i bycie Integrity.
niedziela, 21 stycznia 2024
Luźne przemyślenia oficera Compliance - Co ma wspólnego Compliance z ochroną danych osobowych i z cyberbezpieczeństwem
Praktycznie każdy oficer Compliance zarządzając ryzykami prawnymi i zgodnością w organizacji ma do czynienia również z systemem ochrony danych osobowych i systemem cyberbezpieczeństwem (jak nie ma to ma lukę w analizie ryzyk).
Tak się złożyło, że pracę magisterską pisałem z przestępstw komputowych, od kilkunastu lat zajmuję się Compliance, a od ponad 7 lat zajmuję się ochroną danych osobowych. Od prawie trzech lat jestem jednocześnie i kierownikiem Działu Zarządzania Zgodnością (Compliance) i Inspektorem Ochrony Danych Osobowych (tzw. IOD). Patrzę więc te zagadnienia z punktu widzenia praktyka.
Niewątpliwie te trzy systemy: system zarządzania zgodnością (compliance), system ochrony danych osobowych i system cyberbezpieczeństwa mają wspólny fundament i wspólny cel.
Tym fundamentem jest zarządzanie ryzykiem. Nie da się stworzyć skutecznego systemu (compliance, ochrony danych osobowych czy cyberbezpieczeństwa) bez analizy ryzyk. Oczywiście każda z tych analiz ma swoją specyfikę, ale metodyka zarządzania ryzykami jest jedna (oczywiście metody i narzędzia mogą być różne).
Te trzy systemy łączy jeden cel - minimalizacja ryzyka i zapewnienie organizacji bezpieczeństwa.
W związku z powyższym w każdej organizacja te wspólne fundamenty i cele powinny stanowić kluczową perspektywę dla organizacji (a dokładniej najwyższego kierownictwa). Wspólna praktyka, jednolite podejście w całej organizacji, ujednolicenie procedur, itd. umożliwia organizacjom efektywne zarządzanie zarówno z ryzykami Compliance, ryzykiem
związanym z danymi osobowymi, jak i bezpieczeństwem cybernetycznym. Warto wykorzystać efekt synergii w zarządzaniu tymi trzema systemami. Jednocześnie choćby z uwagi na ewentualny konflikt interesów oraz obszerność, powinny być one zarządzane przez trzy różne osoby.
Chciałbym podkreślić jedną rzecz. Oczywiście dokumenty w tym procedury są bardzo ważne. Stanowią m.in. część Komunikacji, zapewniają rozliczalność itp. itd. Ale w zarządzaniu ryzykami (nie ważne czy Compliance, czy dla praw i wolności osób (RODO) czy dla cyberbezpieczeństwa) nie chodzi o posiadanie kwitów. W każdej organizacji powinien być wdrożony, działać i być zarządzany SYSTEM. Czyli rozwiązania i środki organizacyjne i techniczne pozwalające adekwatnie i skutecznie zarządzać ryzykami.
Osobom szerzej zainteresowanym tematyką polecam:
1) moje wystąpienie na trzecia Konferencji DAPR „Na styku RODO i Cyberbezpieczeństwa” (link do nagrania na YouTube)
2) mapę myśli z mojego wystąpienia na tej konferencji.