Tematy - Dane osobowe, Compliance - INFOR.PL

Niedługo minie 2 lata i 6 miesięcy od kiedy obowiązuje RODO. W Polsce chronimy dane od ponad 20 lat - pierwsza ustawa o ochronie danych osobowych obowiązuje od 30 kwietnia 1998 r. Dlaczego mimo upływu czasu nadal powoduje ono problemy?

W dniu 8 września 2020 r. CBA opublikowało 11 stronicowy dokument zatytułowany: "Wytyczne w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym". Wiele kwestii zostało w przedmiotowym dokumencie pominiętych (np. Sygnaliści), wiele tylko zasygnalizowanych. Od CBA oczekiwałbym co najmniej przygotowanie, wraz ze specjalistami z rynku, kilkudziesięciu stronicowego skryptu dającego podmiotom publicznym porządną pigułkę wiedzy i wskazującego kierunki. No ale na bezrybiu i rak ryba. Te wytyczne traktuję jako pierwszą zapowiedź rzetelnej debaty i kolejnych publikacji. Miejmy nadzieję przygotowanej z ekspertami od Public Compliance.

CBA wskazuje, że dla zapewnienia prawidłowego funkcjonowania programu zgodności w ramach danej instytucji koniecznym jest wyznaczenie osoby odpowiedzialnej za jego realizację. Chciałbym zwrócić Państwa uwagę na słowo „odpowiedniej osoby”. To nie może być osoba z przypadku lub tzw. „łapanki”. Musi ona posiadać odpowiednią wiedzę i umiejętności merytoryczne oraz odpowiedni charakter.

W dniu 8 września 2020 r. CBA opublikowało dokument zatytułowany: "Wytyczne w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym".

8 września 2020 r. CBA opublikowało dokument: "Wytyczne w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym". W wytycznych CBA omówiło pokrótce dziewięć komponentów programów zgodności. Pierwszy z nich to „Zaangażowanie kierownictwa”.

W dniu 28 września 2020 r. CBA opublikowało 11 stronicowe dokument zatytułowany: "Wytyczne w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym". Tym samym mamy oficjalny dokument potwierdzający, że państwo polskie widzi potrzebę tworzenia i wdrażania compliance w sektorze publicznym i ma pewną wizję tych systemów.

Czemu nie przygotować jednego wzorca dokumentacji Compliance i nie sprzedać go wszystkim spółkom? Niestety muszę rozczarować niektórych ekspertów, a zarządy spółek komunalnych i spółek Skarbu Państwa ostrzec. To zły pomysł.

Pomimo, że niedługo whistleblowing w administracji i w przedsiębiorstwach (na pewno w dużych i średnich) będzie obligatoryjny, spotykam się nadal z pytaniem czy to ma sens?

Jak pisaliśmy w artykule „Rozwój e-mediacji w czasach koronawirusa a RODO”, na mediatorach lub ośrodkach mediacyjnych w związku z przetwarzaniem danych osobowych ciąży cały szereg obowiązków. Jednym z nich jest obowiązek informacyjny.

Nieubłaganie zbliża się dzień 17 grudnia 2021 r., ostateczna data kiedy w Polsce powinny być wprowadzone w życie przepisy ustawowe niezbędne do wykonania Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii nakłada w art. 8 obowiązek ustanowienia kanałów i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, przez podmioty prawne w sektorze publicznym, a więc i jednostek samorządu terytorialnego. Oczywiście w przypadku podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników, państwa członkowskie mogą wprowadzić stosowne przepisy niezbędne, do wypełnienia obowiązku ustanowienia wewnętrznych kanałów dokonywania zgłoszeń, w życie do dnia 17 grudnia 2023 r.

Niezbędne są szkolenia dla pracowników jednostek samorządu terytorialnego. Zaczynając od marszałków, starostów, wójtów, burmistrzów, prezydentów, radnych, poprzez wiceprezydentów, dyrektorów, a kończąc na szeregowych pracownikach.

Rodzice przyjętych dzieci składają pisemne potwierdzenie woli przyjęcia dziecka do przedszkola, zawierając umowy. Do UODO docierają pytania rodziców dotyczące zakresu pozyskiwanych danych w ramach umów o świadczenie usług przedszkolnych. Jakich danych nie trzeba podawać? Czy forma placówki ma znaczenie?

Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii nakłada również na spółki komunalne i spółki Skarbu Państwa obowiązek ustanowienia kanałów i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych.

Obowiązek wdrożenia systemów Compliance w jednostce samorządu terytorialnego nie wynika wprost w przepisów. Jednocześnie każda jednostka samorządu terytorialnego jest obowiązana zarządzać ryzykiem prawnym. A przecież to jest istota Compliance.

Czy oficer Compliance powinien być pracownikiem danej jednostki, czy też może wykonywać zadania na podstawie umowy o świadczenie usług? Każde z tych dwóch rozwiązań jest możliwe i każde z nich ma swe plusy i minusy.

Często słyszę pytanie: Czy Compliance w jednostce samorządu terytorialnego oznacza utworzenie samodzielnego stanowiska czy też raczej działu (komórki organizacyjnej)?

Nie da się stworzyć jednego szczegółowego wzorca dokumentacji Compliance dla samorządów, ale myślę, że warto przedstawić parę podstawowych różnic i podobieństw pomiędzy oficerem Compliance w banku a oficerem Compliance w jednostce samorządu terytorialnego.

Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii nakłada w art. 8 obowiązek ustanowienia kanałów i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, przez podmioty prawne w sektorze publicznym, a więc i jednostek samorządu terytorialnego. Czy da się opracować jeden uniwersalny model Systemu Compliance dla samorządów?

Lekcje prowadzone na odległość z powodu koronawirusa nauczyciele dokumentują w dziennikach elektronicznych, za pomocą których kontaktują się też z uczniami i rodzicami. Zdarzyło się jednak wykorzystanie tradycyjnego dziennika. W związku z tym jeden z rodziców zarzucił naszej szkole (podstawowa, samorządowa) nieprzestrzeganie zasad ochrony danych osobowych zapisanych w dzienniku. Zgłosił też wątpliwości do zabezpieczeń tych danych w dziennikach elektronicznych, skoro nauczyciele używają ich na prywatnym sprzęcie komputerowym. Jak ta kwestia powinna wyglądać prawidłowo?

Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii nakłada w art. 8 obowiązek ustanowienia kanałów i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, przez podmioty prawne w sektorze publicznym, a więc i jednostek samorządu terytorialnego. W chwili obecnej oficerowie Compliance w samorządach terytorialnych lub znających Kulturę organizacyjną samorządów terytorialnych jest garstka.

Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii nakłada w art. 8 obowiązek ustanowienia kanałów i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, przez podmioty prawne w sektorze publicznym, a więc i jednostek samorządu terytorialnego.

Co zrobić jeżeli ktoś chce złamać prawo i zniszczyć system przyjmowania zgłoszeń od sygnalistów i podejmowania działań następczych? Sposobów jest wiele. Ja podam trzy antyrady, które według mnie na pewne zniszczą system whistleblowing`u.

W praktyce często bywa, że stanowisko oficera Compliance bywa łączone z innymi stanowiskami. Najczęściej ze stanowiskiem radcy prawnego, kierownika działu kontroli, kierownika działu audytu, kierownika działu zarządzania ryzykiem lub stanowiskiem Inspektora Ochrony Danych. Jest to spowodowane różnymi względami, np. wielkością, potrzebami i możliwościami Spółki.

Prowadziliśmy nabór na wolne stanowisko urzędnicze. Jesteśmy zobowiązani do upubliczniania informacji o kandydatach, w związku z czym umieściliśmy ich dane na naszej stronie internetowej (BIP) i tablicy ogłoszeń w siedzibie urzędu. Jedna z osób uczestniczących zarzuciła nam naruszenie zasad ochrony danych osobowych z uwagi na ujawnienie jej dokładnego adresu zamieszania. Czy ma rację?

Często podmioty mające już wdrożony System Compliance lub System Ochrony Danych Osobowych pytają: „Jak mamy oceniać oficera Compliance?” lub „Jak mamy oceniać Inspektora Ochrony Danych?”. „System działa rok, dwa. Słyszymy od oficera Compliance/IOD, że jest w porządku. Ufamy mu ale chcielibyśmy niezależnej oceny. Spojrzenia z boku.”.

Obserwując jak administracja publiczna w tym jednostki samorządu terytorialnego oraz podmioty prywatne (duzi i średni przedsiębiorcy) przygotowują się na obowiązywanie Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa przypominają mi się czasy wdrażania RODO. Między nami ekspertami od Compliance mówimy: „żeby nie było jak z RODO”. A niestety jest jak z RODO.

W niniejszym artykule chciałbym napisać krótko o roli i odpowiedzialności pracowników. To od zachowania wszystkich pracowników zależy sukces we wdrożeniu i utrzymaniu Systemu Compliance. To pracownicy wiedzą najlepiej co dzieje się w organizacji. To oni tworzą de facto organizacją i utrzymują ją w ruchu.

Wśród kwestii, które muszą rozważyć i rozstrzygnąć mediatorzy lub ośrodki mediacji jest m.in. określenie okresu, zakresu i sposobu przetwarzania danych osobowych osób w procesie mediacji.

Na kierownikach średniego i niższego szczebla ciąży szczególna odpowiedzialność (choć ciut mniejsza niż na najwyższym kierownictwie), gdyż powinni być oni przykładem dla innych pracowników. Jednocześnie odpowiadają oni również za komunikację i wprowadzanie standardów Compliance w życie.

Jaka jest rola oficera Compliance? Oczywiście przedstawiam pewien model. W rzeczywistości zakres obowiązków, sposób umocowania i pozycja oficera Compliance jest bardzo różna w różnych podmiotach – od członka Zarządu po inspektora.

W niniejszym artykule chciałbym napisać krótko o roli i odpowiedzialności członków zarządów, wspólników lub partnerów w spółkach osobowych, wójtów, burmistrzów, prezydentów itd. Czyli osób z najwyższego kierownictwa, kierującymi i reprezentującymi swe organizacje. To oni mają obowiązek i uprawnienie zajmowania się sprawami kierowanych przez siebie podmiotów i reprezentowania jej. I to oni ponoszą z tego tytułu odpowiedzialność.

Tak jak pisaliśmy w artykule „Rozwój e-mediacji w czasach koronawirusa a RODO”, jedną z kwestii, które muszą rozważyć i rozstrzygnąć mediatorzy lub ośrodki mediacji jest określenie podstawy prawnej przetwarzania danych osobowych osób w procesie mediacji.

Jaki zakres danych powinien zawierać wniosek rekrutacyjny? Przez jaki okres można przechowywać dane osobowe kandydatów? Na te i inne pytania związane z rekrutacją do szkół i przedszkoli na rok szkolny 2020/2021 odpowiada Urząd Ochrony Danych Osobowych.

Ludzkość wielokrotnie miała do czynienia z epidemiami. Dziś jednak dysponujemy technologią, która jeszcze dekadę temu była elementem filmów sci-fi lub przyszłości, a dziś jest rzeczywistością.

UODO przygotował poradnik zawierający 20 zasad pomagających zachować bezpieczeństwo danych podczas lekcji online. O czym powinni pamiętać zarówno szkolni administratorzy, jak i nauczyciele oraz uczniowie, przygotowując się do lekcji online?

Jak prawidłowo chronić i przetwarzać dane osobowe w związku ze zdalnym nauczaniem? Urząd Ochrony Danych Osobowych przygotował poradnik dla dyrektorów szkół, nauczycieli i rodziców.

Compliance oznacza między innymi odpowiedzialność. Należy pamiętać, że sytuacja wyjątkowa, jak epidemia wirusa SAR-CoV-2 czyli tzw. koronawirusa nie zwalnia przedsiębiorców z obowiązku przestrzegania przepisów, norm wewnętrznych, czy zasad etyki. Moim zdaniem, w sytuacjach wyjątkowych, jak np. obecna epidemia, od podmiotów zbiorowych wymaga się jeszcze większej niż zwykle staranności, a Systemem Zarządzania Zgodnością (Compliance) ma wyjątkowo wielką rolę do odegrania w tym czasie i po nim.

W artykule "Compliance – czyja to odpowiedzialność?" udzieliłem odpowiedzi na pytanie: Kto odpowiada za ten Compliance? W Spółce, organizacji, jednostce samorządu terytorialnego? W tym tekście przyjrzę się bliżej roli i odpowiedzialności członków Rady Nadzorczej.

Po opublikowaniu artykułu „Compliance – czyja to odpowiedzialność?” otrzymałem dużo uwag i pytań. Najcelniejsza uwaga była taka: „Owszem wszyscy odpowiadają za Compliance, ale każdy w innym zakresie i na innej podstawie”. I od razu padło pytanie: „Kto, na jakiej podstawie i w jakim zakresie odpowiada za Compliance?”.

Ostatnio usłyszałem bardzo dobre pytanie: Kto odpowiada za ten Compliance? W Spółce, organizacji, jednostce samorządu terytorialnego?

Ostatnio usłyszałem takie pytanie: Czy mamy jeden rodzaj Compliance? W pierwszym momencie odpowiedziałem: Tak, mamy jeden Compliance (jedno zarządzanie zgodnością) tak jak mamy jeden system prawny, czy jedną obsługę prawną. I wtedy mnie olśniło.

Bardzo często słyszę pytanie: Czy Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (zwana Dyrektywą o Sygnalistach) nakazuje chronić tylko prawa sygnalistów?

Od czego zależy udane wdrożenie i utrzymanie systemów Compliance, systemów przyjmowania i reagowania na zgłoszenia Sygnalistów, systemów antykorupcyjnych lub systemów Zarządzania Bezpieczeństwem Danych Osobowych (dalej będę pisał tylko o systemach Compliance ale poniższe zasady należy stosować też analogicznie do pozostałych systemów)?

Czy w określanym przez radę gminy wzorze wniosku o przyznanie dodatku energetycznego można żądać podania numeru PESEL osoby, która taki wniosek składa?

Od czego zależy udane wdrożenie i utrzymanie systemów Compliance, systemów przyjmowania i reagowania na zgłoszenia Sygnalistów, systemów antykorupcyjnych lub systemów Zarządzania Bezpieczeństwem Danych Osobowych (dalej będę pisał tylko o systemach Compliance, ale poniższe zasady należy stosować też analogicznie do pozostałych systemów)?

Od czego zależy udane wdrożenie i utrzymanie systemów Compliance, systemów przyjmowania i reagowania na zgłoszenia Sygnalistów, systemów antykorupcyjnych lub systemów Zarządzania Bezpieczeństwem Danych Osobowych?

Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa, zwana też kolokwialnie Dyrektywą o sygnalistach nie wymaga by kanały do zgłaszania naruszeń zapewniały anonimowość.

W dniu 26 listopada 2019 r. została opublikowana Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa, zwana też kolokwialnie Dyrektywą o sygnalistach.

Dane osobowe, Compliance

RODO - o czym trzeba pamiętać po 2,5 roku?

Compliance według CBA – szkolenia, ocena ryzyk i inne komponenty

Compliance w sektorze publicznym według CBA – pracownik ds. zgodności

Compliance w sektorze publicznym według CBA – zmiana Kultury organizacyjnej

Compliance w sektorze publicznym według CBA - Zaangażowanie kierownictwa

Wytyczne CBA w zakresie tworzenia i wdrażania compliance w sektorze publicznym

Dlaczego nie da się stworzyć jednego systemu Compliance dla spółek komunalnych lub spółek Skarbu Państwa?

Whistleblowing w administracji i w przedsiębiorstwach – czy to ma sens?

Obowiązek informacyjny w mediacji na gruncie RODO

Whistleblowing – Compliance musi pamiętać, że sygnalista jest najważniejszy w walce z nieprawidłowościami

Szkolenie pracowników jako niezbędny element wdrożenia Compliance w JST

Umowa o świadczenie usług przedszkolnych - jakich danych nie trzeba podawać?

Systemy Compliance w spółkach komunalnych i spółkach Skarbu Państwa

Wdrażanie Compliance w jednostkach samorządu terytorialnego – na co zwrócić uwagę

Oficer Compliance w jednostce samorządu terytorialnego – pracownik czy firma zewnętrzna

Compliance w jednostce samorządu terytorialnego – samodzielne stanowisko czy dział

Oficer Compliance w JST w związku z dyrektywą o sygnalistach

Compliance w samorządzie terytorialnym - czy da się opracować jeden uniwersalny model systemu?

Jak zabezpieczać dane osobowe w dziennikach lekcyjnych podczas kształcenia zdalnego

Compliance. Rewolucja w samorządzie terytorialnym spowoduje rewolucję w zawodzie oficerów Compliance

Compliance. Rewolucja w samorządzie z powodu dyrektywy PE i Rady ws. ochrony osób zgłaszających naruszenia prawa UE

Compliance - trzy pewne sposoby by zniszczyć System przyjmowania zgłoszeń od Sygnalistów i podejmowania działań następczych

Łączenie funkcji oficera Compliance lub Inspektora Ochrony Danych z innymi funkcjami w organizacji

Czy ujawnienie adresu zamieszkania kandydata na stanowisko urzędnicze narusza ochronę jego danych osobowych

Jak oceniać oficera Compliance i Inspektora Ochrony Danych?

COMPLIANCE - Jak NIE wdrażać systemu przyjmowania zgłoszeń i podejmowania działań następczych - antyporadnik

Compliance – rola i odpowiedzialność pracowników

Okres, zakres i sposoby przetwarzania danych osobowych w mediacji

Compliance – rola i odpowiedzialność kierownictwa średniego i niższego stopnia

Compliance – rola i odpowiedzialność oficerów Compliance

Compliance – rola i odpowiedzialność członków zarządów, wspólników lub partnerów w spółkach osobowych, wójtów, burmistrzów, prezydentów

Podstawa prawna przetwarzania danych osobowych (z RODO) w mediacji

Przetwarzanie danych osobowych podczas rekrutacji do przedszkoli i szkół 2020/2021

Czy nowoczesna technologia, może pomóc światu w walce z koronawirusem?

20 zasad bezpiecznych lekcji online

Nauka zdalna a dane osobowe - poradnik dla szkół

Przedsiębiorstwa i Compliance w czasach koronawirusa

Compliance – rola i odpowiedzialność członków Rady Nadzorczej

Compliance – rola i odpowiedzialność wspólnika, akcjonariusza w spółkach kapitałowych

Compliance – czyja to odpowiedzialność?

Czy mamy jeden rodzaj Compliance?

Czy Dyrektywa o Sygnalistach chroni tylko Sygnalistów?

Compliance – przepis na sukces – piąty składnik – KULTURA ORGANIZACYJNA

Compliance – przepis na sukces – czwarty składnik – Komunikacja

Compliance: Od czego zależy udane wdrożenie i utrzymanie systemów Compliance?

Wniosek o przyznanie dodatku energetycznego bez numeru PESEL

Compliance: Pracownicy, w tym kierownictwo średniego i niższego szczebla – czyli najważniejsi są ludzie

Compliance: Przywództwo - rola i odpowiedzialność organu nadzoru i najwyższego kierownictwa

Compliance: Czy sygnaliście powinniśmy zapewniać anonimowość czy tylko poufność?

Compliance: co się wiąże z opublikowaniem Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa?