niedziela, 15 września 2024

Trzeci krok we wdrożeniu systemów dla Sygnalistów

Napisałem "Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?" i "Drugi krok we wdrożeniu systemów dla Sygnalistów" dziś czas napisać o trzecim kroku.

Przypomnę tylko, że w drugim kroku musimy zaprojektować system do przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów. W trzecim kroku system należy wdrożyć.

W dużym skrócie należy:
1) przyjąć procedurę i zapoznać z nią osoby świadczące pracę,
2) uruchomić kanały zgłoszeń,
3) rozpocząć komunikację, w tym szkolenia w celu zmiany Kultury organizacyjnej,
4) wydać upoważnienia itd. osobom do przyjmowania zgłoszeń i prowadzenia działań następczych,
5) zacząć prowadzić rejestr itd,
6) zadbać by system przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów działał skutecznie i efektywnie.
 
Przypominam:
25 września br. muszą już funkcjonować systemy dla sygnalistów,
18 września br. jest ostateczny termin przyjęcia procedury zgłoszeń wewnętrznych i zapoznania z nimi pracowników
W dniu  13 września minął ostatni możliwy termin do rozpoczęcia konsultacji procedury.
Zegar tyka, a czas się kończy.
 
Niech moc Compliance będzie z wami.


 

niedziela, 1 września 2024

Drugi krok we wdrożeniu systemów dla Sygnalistów

Tydzień temu napisałem "Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?".

Dziś czas na drugi krok. W drugim kroku musimy zaprojektować system do przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów.
W tym celu należy przeprowadzić audyt podmiotu, w tym ryzyk naruszeń, możliwości, zasobów i potrzeb.
To pozwoli:
1) opracować projekt procedury zgłoszeń, klauzul RODO, upoważnień itd. oraz zmianę innych dokumentów (np. RCP),
2) zaprojektować odpowiednie kanały zgłoszeń,
3) zaplanować system ochrony sygnalistów,
4) zaprojektować komunikację i szkolenia,
5) znaleźć osoby do przyjmowania zgłoszeń i prowadzenia działań następczych.
 
Pozwoli to zaprojektować adekwatny system przyjmowania zgłoszeń o naruszeniach, podejmowania działań następczych i ochrony sygnalistów.  
Jak znam życie wiele podmiotów pójdzie na skróty i kupi gotową dokumentację lub zamówi ją w kancelarii prawnej, która wcześniej tego nie robiła. I będzie jak z RODO. W wielu podmiotach dokumentacja wyląduje w segregatorze, a ten będzie się kurzył na półce.
Podmiot wyda kasę i będzie miał złudzenie, że ma system.
Odradzam.
 
Przypominam:
25 września br. muszą systemy dla sygnalistów,
18 września br. ostateczny termin przyjęcia procedury zgłoszeń wewnętrznych i zapoznania z nimi pracowników
Najlepiej 6 września, a najpóźniej  13 września (jeżeli przeprowadzimy 5 dniowe a nie 10 dniowe konsultacje) muszą się zacząć konsultacje procedury.
Zegar tyka, a czas się kończy.
 
Niech moc Compliance będzie z wami.

niedziela, 25 sierpnia 2024

Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń od sygnalistów?

Od czego zaczyna się wdrożenie systemu do przyjmowania zgłoszeń o naruszeniach prawa od sygnalistów, prowadzenia działań następczych i ochrony sygnalistów?

Najpewniej mniej świadomi powiedzą, że od napisania procedury przyjmowania zgłoszeń.
Bardziej świadomi, że od audytu.

Prawdziwi eksperci wiedzą, że zaczyna się od decyzji najwyższego kierownictwa o wdrożeniu, a poprzedza ją świadomość najwyższego kierownictwa.

W tym miejscu chciałbym zwrócić uwagę, że kluczowa kwestia to czy najwyższe kierownictwo podejmuje decyzję o wdrożeniu bo:
a) musi - bo nakazuje to ustawa lub właściciel - wtedy często podejście jest niechętne bo nikt nie lubi być zmuszany do czegoś,
b) chce - bo rozumie cele tego systemu i chce go wdrożyć i nim zarządzać.
Najczęściej na diagramie x (muszę) y (chcę) każdy podmiot jest w innym miejscu.
Im bardziej najwyższe kierownictwo chce tym daje w praktyce większe wsparcie i zasoby.
Im bardziej najwyższe kierownictwo musi tym mniej chce i tym mniejsze wsparcie. 
Choć zdarzają się wyjątki.
Dlatego warto dbać by najwyższe kierownictwo na diagramie bardziej chciało, a mniej musiało.

A skąd się bierze świadomość najwyższego kierownictwa?
Albo najwyższe kierownictwo ma świadomość bo powstała ona wcześniej albo zdobywa ją:
a) z wnętrza organizacji - np. od pracownika
b) z zewnątrz organizacji - np. na konferencji, szkolenia, artykułu itp.

Mamy świadome najwyższe kierownictwo, podejmuje ono decyzję o wdrożeniu, bo musi bo mamy ustawę o ochronie sygnalistów. 
Następne pytania to kim i jak?
Ale o tym w następnym poście.

Niech moc Compliance będzie z wami.

A twoje najwyższe kierownictwo jest już świadome?

niedziela, 18 sierpnia 2024

Dlaczego chronimy Sygnalistę? I czego nie rozumieją prawnicy teoretycy

Dlaczego organy publiczne, podmioty sektora publicznego i sektora prywatnego powinny chronić Sygnalistów?

Pierwszą odpowiedź, udzielona przez prawników teoretyków to: "bo przepisy nam nakazują". I zaraz dodają o ile:
a) zgłosi naruszenie prawa wymienione w ustawie (czyli np. jak sygnalista zgłosi wykorzystywania seksualnego kobiet, przestępstw białych kołnierzyków itd. to go nie będą chronić i nie przeprowadzą działań następczych?),
b) informację o naruszeniu sygnalista uzyskał w kontekście związanym z pracą (co więksi teoretycy chcą od sygnalisty by udowadniał że uzyskał informację o naruszeniu w kontekście związanym z pracą - a jak nie jest to co? Nie przeprowadzą działań następczych? Nie będą chronić sygnalisty?).

Druga odpowiedź, udzielona przez oficerów Compliance to: "bo tak nakazuje etyka". Skoro ktoś się naraża i zgłasza naruszenie prawa zamiast odwrócić wzrok to etyka nakazuje go chronić. Z punktu widzenia etyki widać, że nie ważne jakie naruszenie prawa zgłosi sygnalista i czy w kontekście pracy. Jak ktoś reaguje na zło to zasługuje na ochronę. Dlatego Whistleblowing świetnie pokazuje czy ktoś jest faktycznie CSR lub ESG czy też tylko ściemnia.

Trzecia odpowiedź praktyków Compliance brzmi: "bo skoro chcemy zwalczać i zapobiegać naruszeniom prawa, a najskuteczniejszy jest w tym system przyjmowania zgłoszeń o naruszeniach, prowadzenia działań następczych i ochrony sygnalistów to chronimy każdego Sygnalistę". Bo jak choć raz nie będziemy chronić Sygnalisty (bo zgłoszą naruszenie nie objęte ustawą lub nie w kontekście związanym z pracą) to nikt nam niczego nie zgłosi. Bo nam nie zaufa. Pracownik, kontrahent, stażysta itd. nie będzie się zastanawiał jakie naruszenie może zgłosić lub nie. Skoro naszym głównym celem (jak pisałem https://www.ludwiczak-radcaprawny.pl/2024/08/po-co-jest-ustawa-o-ochronie-sygnalistow.html?m=1 ) jest zwalczanie naruszeń prawa, a ochrona każdego Sygnalisty wspiera cel główny to odpowiedź dla praktyków Compliance jest prosta.

Pamiętajcie. Będziecie mieli zgłoszenia jak ludzie wam zaufają. Jak nie będzie chronić choć jednego Sygnalistę to stracicie zaufanie ludzi. Jak stracicie zaufanie ludzi to nie będzie zgłoszeń. Jak nie będzie zgłoszeń to nie będziecie wykrywać, zapobiegać i zwalczać naruszeń prawa.

Niech moc Compliance będzie z wami.

niedziela, 11 sierpnia 2024

Po co jest ustawa o ochronie sygnalistów?

Zastanawiam się:
1) czemu ustawa o ochronie sygnalistów to taki bubel prawny,
2) czemu tyłu ekspertów non stop wypisuje tyle głupot o systemach dla sygnalistów lub ich wdrażaniu,
3) czemu systemy do przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów są tak powoli i niechętnie wdrażane.

Według mnie wynika to z tego, że mało kto wie po co jest ta regulacja.

Ustawa o ochronie sygnalistów i wcześniejsza dyrektywa za swój główny cel ma: ochronę dóbr publicznych poprzez zwalczanie naruszeń prawa.
W tym celu powinny być wdrażane i zarządzane systemy do przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów.
Przedmiotowe systemy mają:
1) pozwalać szybciej i efektywniej wykrywać naruszenia prawa,
2) zapobiegać naruszeniom prawa.

Wbrew nazwie to nie ochrona sygnalistów jest głównym celem. Ochrona sygnalistów też ma służyć celowi głównemu - ochronie dóbr publicznych poprzez wykrywanie, zapobieganie i zwalczanie naruszeń prawa. 
Ochrona sygnalistów po prostu zachęca kolejne osoby do zgłaszania naruszeń. Tak jak działania odwetowe zniechęcają sygnalistów do zgłoszenia naruszeń.
Oczywiście ochrona sygnalisty i innych osób jest bardzo ważna. Oczywiście RODO jest bardzo ważne.
Ale najważniejszym celem tej regulacji jest ochrona dobra publicznego i zwalczanie naruszeń prawa.  A wszyscy się skupiają na ochronie sygnalisty i RODO. Owszem to jest ważne ale nie to jest według mnie priorytet i cel główny.

Co do tego co może zgłaszać sygnalista.
Ograniczenia listy kategorii naruszeń prawa, jakie może zgłaszać sygnalista lub ograniczanie kim może być sygnalista służy tylko przestępcom i nie służy celowi głównemu - ochronie dóbr publicznych i walki z naruszeniami prawa.

To, że PIP i przedsiębiorcy zwalczali np. zgłaszanie naruszeń prawa pracy jest dla mnie abbercją. Przecież:
1) PIP jest m.in. od zwalczania naruszeń prawa, dlaczego więc pozbywa się najbardziej efektywnego narzędzia,?
2) przedsiębiorcom powinno zależeć by zwalczać łamanie prawa. Jak można być ESG lub odpowiedzialnym społecznie i nie chcieć zwalczać naruszeń prawa?

Dyrektywa ustawia standard minimum.
Nikt nie zabraniał byśmy w Polsce objęli ustawą zgłaszanie: wszystkich czynów zabronionych z kodeksu karnego, kodeksu karnego skarbowego, kodeksu wykroczeń, pozakodeksowych przepisów karnych, mobbingu, dyskryminacji oraz przepisów wymienionych w Dyrektywie.
Z możliwością objęcia systemem zgłoszeń innych przepisów w tym kodeksów etyki i przepisów wewnętrznych. 
W ten sposób najskuteczniej byśmy chronili dobra publiczne i zwalczali naruszenia prawa.

Bycie przedsiębiorcą to też obowiązki. Również ochrona dóbr publicznych. Tak jak każdego innego obywatela.
 
W interesie przedsiębiorcy jest jak najszybciej wykryć naruszenie prawa i podjąć działania następcze. Czyli w interesie przedsiębiorcy jest wdrożyć i zarządzać system dla sygnalistów. To inwestycja. 
 
A jak ktoś się chwali że jest ESG lub CSR i nie ma skutecznego systemu do przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów to tylko maluje trawę na zielono. 
 
Już z kilkadziesiąt osób pytało mnie kiedy ustawa wchodzi i życie? Kiedy mogą zacząć pisać procedury i mogą je uzgadniać? Od kiedy muszą chronić sygnalistów.
Odpowiem, krótko:
1) ustawa wchodzi w życie 25 września
2) nie ważne ile masz pracowników, każdy podmiot publiczny i prywatny musi chronić sygnalistów (nawet jak nie ma procedury),
3) podmioty zobowiązane ustawą muszą przyjąć i wdrożyć procedurę do 25 września br. W dniu 25 września powinny u nich działać systemy przyjmowania zgłoszeń o naruszeniach, prowadzenia działań następczych i ochrony sygnalistów.
 
25 WRZEŚNIA 2024 r. 
Niech moc Compliance będzie z wami

niedziela, 21 lipca 2024

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka? Czyli w czym mogą pomóc w związku z ustawą o ochronie sygnalistów

 


To już trzecia aktualizacja postu "W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?". Ponad rok temu była ostatnia aktualizacja (link). Myślę, że najwyższe pora znowu go ciut odświeżyć.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz ten post.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:
1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością,
2) Whistleblowing`u czyli systemach przyjmowania zgłoszeń od Sygnalistów (demaskatorów) i podejmowania działań następczych,
3) RODO - ochronie danych osobowych,
4) umowach gospodarczych,
5) spółkach handlowych, w tym nadzorze właścicielskim, due diligence oraz ładzie korporacyjnym,

W tym zakresie świadczę pomoc prawną w tym też szkolę, pomagam we wdrożeniu, audytuję i doradzam.

Występuję też na licznych konferencjach i warsztatach. Nie licząc paru wydarzeń niekomercyjnych, organizowanych przez moich przyjaciół, które wspieram by szerzyć Kulturę Compliance lub RODO, to mój występ na konferencji lub prowadzenie przeze mnie warsztatów jest co do zasady płatne. Nawet krótkie wystąpienie wymaga ode mnie godzin przygotowań, a mój czas kosztuje. Dodatkowo reklamuję wydarzenia, w których występuję co też ma swoją wartość bo jak powiedział w październiku 2022 r., przestawiając mnie jeden z organizatorów kongresu Compliance Day - jestem najbardziej znanym oficerem Compliance w Polsce.  Według mnie nie jestem najbardziej znanym ekspertem Compliance ale niewątpliwie przez ostatnie parę lat zbudowałem swoją markę i wizerunek. Więc wiesz kim jestem.

Moje zawodowe zainteresowania to analizy, strategia i zarządzanie. Jestem nietypowym prawnikiem, bo kocham liczby i zawsze o nie pytam (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fantastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się, to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).
 
Zawsze też z chęcią polecą innego radcę prawnego, adwokata lub eksperta.  Zwłaszcza jak na czymś się nie znam.

Kilkadziesiąt tysięcy podmiotów sektora prywatnego i publicznego musi do 24 września br. wdrożyć systemy przyjmowania zgłoszeń wewnętrznych, prowadzenia działań następczych i ochrony sygnalistów. Parę tysięcy organów publicznych będzie musiało do 24 grudnia br. wdrożyć systemy przyjmowania zgłoszeń zewnętrznych.
Tak się składa, że m.in. wdrożyłem jeden z pierwszych systemów dla sygnalistów w sektorze publicznym. Jeżeli potrzebujesz eksperckiej i praktycznej wiedzy jak wdrożyć i zarządzać systemem dla sygnalistów to zapraszam do kontaktu w celu ustalenia warunków współpracy. 

No to teraz wiesz już kim jestem i w czym się specjalizuje Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.
W czym TOBIE mogę pomóc? :-)
Tanio nie będzie (choć w porównaniu z wielką czwórką jestem ciut tańszy).
Zapraszam do KONTAKTU


niedziela, 26 maja 2024

Szósta rocznica RODO

Wczoraj była szósta rocznica RODO. RODO zostało opublikowane 8 lat temu, a obowiązuje 6 lata, od 25 maja 2018 r.

To było niezwykłe 8 lat. Najpierw wszyscy lekceważyli RODO. Potem 7 lat temu zaczęły się wdrożenia - żeby było ciekawie do dziś mam zlecenia na wdrożenia. W maju 2018 r. miałem pełny portfel zamówień aż do września. Druga połowa 2018 r. i pierwsza połowa 2019 r. to była hossa na szkolenia. Potem zapanowała cisza. Pojedyncze szkolenia i audyty. Bardzo pojedyncze.

O dziwo od roku znowu zaczął się ruch w interesie. Może dlatego, że PUODO się uaktywniło.

Co ciekawe po politycznym PUODO, od paru miesięcy mamy nowego, niezależnego Prezesa Urzędu Ochrony Danych Osobowych. Trzymamy go za słowo, że będzie konsultował i słuchał środowisk eksperckich.

Sam należę do dwóch. Do SPOD i do SABI. Wiedzy i wymiany doświadczeń, nigdy za dużo.

W chwili obecnej eksperci od ochrony danych osobowych zmagają się:
1) nadal z RODO - to w ogóle ciekawy temat jak ODO ewoluowała i ewoluuje i ile nadal stanowi problemów,
2) DORA,
3) NIS2,
4) AI,
5) nowymi regulacjami unijnymi.

Już w 2018 r. niezbędne były zespoły wdrożeniowe - bezpiecznik, informatyk i prawnik.
Dziś już wyraźnie widać, że w zakresie ochrony danych osobowych dochodzi do coraz większej specjalizacji.
Jeżeli w 2018 r. wydawało się, że można być IOD wszędzie i IOD może wszystko ogarnąć, to dziś wiadomo, że IOD`owie się specjalizują i IOD nie ma dziś szansy wszystkiego ogarnąć.

Przy ochronie danych osobowych:
1) nie da się nudzić,
2) cały czas coś się dzieje nowego i zawsze coś jest do poprawy,
3) człowiek non stop się uczy.

Niech moc RODO będzie z wami.
 
Pamiętajcie:
1) zarządzanie ryzykiem to fundament,
2) komunikacja, w tym szkolenia to podstawa,
3) papier służy komunikacji i celom dowodowym.