Compliance/RODO

compliance-ISO

Compliance/ISO

Czy standardy i normy ISO mogą jakoś pomóc we wdrożeniach compliance? Oczywiście tak, pisałem o tym w poprzednim tekście (mamy przecież cała grupę norm /37000/ poświęconą temu tematowi). Ale wdrożenie compliance (a również RODO, whistleblowing) to nie tylko kwestia zgodności, ale  też zasad bezpieczeństwa informacji, ciągłości biznesowej, żeby wymienić tylko te najbliższe. Przygotowałem więc prostą grafikę, która pokazuje podstawowe normy ISO, z których możemy korzystać budując system compliance w firmie.

Po publikacji tego rysunku na in odezwały się głosy, że to przecież nie wszystko, że choćby tylko w tych tematach można by wskazać więcej. Oczywiście, że tak jest. Norm, z których możemy korzystać jest znacznie więcej. Pamiętać należy wg mnie o dwóch rzeczach. Pierwsza to to, że korzystanie z norm to nie jest od razu certyfikacja. Nie musimy brać jednostki certyfikującej, robić dokumentację. Potraktujmy to jako podpowiedź, sugestię, dobre praktyki biznesowe. Od tego one są - dają wskazówki, wytyczne, porady jak przygotować dany proces w formie standardowej. A druga rzecz to to, że owo wdrożenie (i podpowiedzi, czyli poszczególne normy i standardy ISO) zależą od naszej specyfiki, danej organizacji, potrzeb klientów, dostawców, itp.

Tak więc nie bójmy się norm ISO, korzystajmy z nich, szukajmy dobrych rozwiązań. Po uwagach na in ten bardzo podstawowy schemat rozszerzyłem, poszerzyłem wskazania o normy z rodziny 22300, 29000 oraz 31000. Mamy z tego nie jedną, a trzy strony - każdy znajdzie coś dla siebie odpowiedniego -). Poszerzona grafika do pobrania tutaj.

iso-37000

ISO 37000

Ostatnio sporo mamy informacji o normach ISO z rodziny 37000 (Governance and ethics). Postanowiłem rzucić okiem na podział norm wg kategorii ICS i rozrysować to, co jest w grupie 03.100.02.

Mamy dostępne teraz cztery normy (37001, 37002, 37301, 37000 - od 14/09/2021), w tym na razie po polsku tylko 37001:2017. Ale prace komitetu TC309 trwają, w opracowaniu mamy kolejne cztery normy:
ISO 37007 Guidelines for efficiency measurement
ISO 37004 Governance maturity model
ISO 37005 Selecting, Creating and Using Indicators
ISO 37006 Indicators of Effective Organizational Governance

Same ciekawe rzeczy się szykują -))

m_ul0032-675

AML w biurach rachunkowych

Od dnia 31 lipca 2021r obowiązuje nowelizacja ustawy  o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML). Najbardziej dyskutowana zmiana w ustawie to aktualizacja listy instytucji obowiązanych do wdrożenia działań AML. Lista została zmodyfikowana i poszerzona m.in. o biura rachunkowe.

Co to oznacza dla tych instytucji? W skrócie - wdrożenie procedur związanych z analizą ryzyka swojej działalności pod kątem AML. W praktyce oznacza to obowiązek okresowej oceny działań klientów biur, oceny ryzyka ich działalności i jej wpływ na własną działalność. Czyli mamy kolejną grupę przedsiębiorców, którzy muszą zapoznać się  z zasadami oceny ryzyka.

Jeśli ktoś szuka informacji o zasadach, możliwościach i procesach związanych z analizą ryzyka, to zapraszam do kontaktu.

Kilka słów więcej można znaleźć na stronie prawo.pl, ogólne wytyczne daje też MF (wytyczne z roku 2019, można je sobie uaktualnić o najświeższe wytyczne EBA dotyczące oceny ryzyka prania pieniędzy i finansowania terroryzmu związanego z indywidualnymi stosunkami gospodarczymi i transakcjami sporadycznymi)

Wytyczne dotyczące rozpoznawania twarzy

Na stronie UODO opublikowano informacje dotyczące zatwierdzonych na początku br. wytycznych Rady Europy (Komitet Konwencji nr 108) związanych z zasadami przetwarzania obrazów cyfrowych zawierających twarze osób w celu identyfikacji lub weryfikacji tych osób za pomocą szablonów twarzy. Coraz szersze zastosowanie biometrii, i rozwój produktów związanych z weryfikacją tożsamości w oczywisty sposób wiąże się z pewnymi ograniczeniami prawnymi. Wytyczne opublikowano w celu ustalenia standardów i zasad, jakimi to przetwarzanie ma podlegać.

Cytując za komunikatem UODO: (...) Wytyczne zawierają wiele wskazówek w odniesieniu do zasad, które powinny być przestrzegane i stosowane w celu zapewnienie nienaruszalności godności ludzkiej, praw człowieka i podstawowych wolności każdej osoby, w tym prawa do ochrony danych osobowych. Wytyczne są adresowane do ustawodawców i decydentów, twórców, producentów i dostawców usług oraz podmiotów wykorzystujących technologie rozpoznawania twarzy. (...)

Na stronie urzędu pojawiło się nieoficjalne tłumaczenie tych zasad, do pobrania również tutaj.

edpb

Transfer danych do państw trzecich zgodny z RODO

Pod koniec czerwca br. weszła w życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych  klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich. Aktualizacja związana jest z wyrokami w sprawie Schrems i dotyczą transferu danych poza obszar związany rozporządzeniem RODO (czyli do 'państw trzecich').

Cytując za stroną UODO:

(...) Standardowe klauzule umowne stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO, które umożliwiają przekazywanie danych poza Europejski Obszar Gospodarczy.  Standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych, tj. do: 

  • przekazywania danych między administratorami,
  • przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
  • przekazywania między podmiotami przetwarzającymi
  • przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim. (...)

W linkach pełny tekst decyzji wykonawczej oraz opublikowanych zaleceń.

s_Meeting_Room_-_Corporate_Concept

Sygnaliści w gminach

Za chwilę (XII/2021) czeka nas dużo pracy - wdrożenie procesów do obsługi zgłoszeń naruszeń (tzw. dyrektywa o sygnalistach). A wdrożeń w zasadzie brak, zarówno w firmach prywatnych jak i publicznych, samorządach. Wygląda na to, że starym zwyczajem odkładamy wszystko na ostatnią chwilę. Nie pomaga nam w tym nasz ustawodawca, bo on zwleka z materiałami - dalej nie mamy ustawy, która powinna być podstawą takich wdrożeń.

Niedawno upubliczniono raport Uniwersytetu Ekonomicznego w Poznaniu, który przedstawia stan prac nad tymi systemami w samorządach w roku 2020. Wnioski nie są optymistyczne, wdrożeń w zasadzie brak, w dalszym ciągu ze strony tych jednostek praktycznie nie ma zainteresowania tym tematem.

Może się to skończyć 'papierowym wdrożeniem' kilku dokumentów, prawdziwa idea wysłuchania sygnalisty znów może nam gdzieś ulecieć. Pisze o tym Paweł Bronisław Ludwiczak na łamach infor-u wskazując na zagrożenia prawne i procesowe takiego podejścia.

m_frange-batch01-00883

Nowy Rok - nowy milion

Mamy kolejną karę UODO, równy milion PLN. Kwota działa na wyobraźnię i nie jest przypadkowa. Jak podał urząd w komunikacie – jej wysokość ma spełniać funkcje represyjną, ale również prewencyjną. Przed czym? Jak wynika z decyzji organu, głównie przed dwoma rzeczami: przed lekceważeniem zagrożenia oraz przed brakiem właściwej reakcji.

Do ID Finance Poland Sp. z o.o. trafia mail od niezależnego konsultanta, który wskazuje na publiczną dostępność bazy danych klientów firmy. Firma odbiera informację, zastanawia się jednak, czy nie jest próba wyłudzenia danych lub okupu. Po wewnętrznych konsultacjach spółka przekazuje informację do firmy przetwarzającej dane. Tam rozpoczyna się kolejna analiza, na ile otrzymana wiadomość jest wiarygodna. Serwery zostają ponownie zrestartowane, jednak zabezpieczenia znów nie zostają poprawnie zweryfikowane. Z zebranego przez UODO materiału wynika, że przez tych kilka dni nie jest zgłoszone podejrzenie naruszenia danych osobowych, spółka nie podejmuje kontaktu ze swoimi klientami, a działania w firmie zmierzające do ustalenia ew. podatności są mało efektywne.

W ciągu tego czasu okazuje się, że ktoś jednak kopiuje bazę, usuwa dane i rzeczywiście zwraca się do spółki z żądaniem okupu. Dzień później do administratora danych trafia informacja z portalu zaufanatrzeciastrona.pl o naruszeniu ochrony danych osobowych klientów spółki z podaniem IP serwera, którego dotyczy naruszenie. W firmie rozpoczyna się kolejna analiza, która potwierdza doniesienia i dopiero wtedy zostaje zgłoszony incydent do UODO. Następuje dokładna weryfikacja zabezpieczeń serwerów i komunikacja z osobami (ponad 140 tys. osób), których ten incydent dotyczył. Całość trwa 10 dni, ustawowo termin zgłoszenia incydentu naruszenia ochrony danych osobowych to 72 godziny, a administrator ma obowiązek rozpocząć analizę zdarzenia niezwłocznie po otrzymaniu sygnału o możliwym naruszeniu.

Co można jeszcze dodać w komentarzu? Przede wszystkim chyba to, że to jednak administrator jest odpowiedzialny za przetwarzanie danych osobowych, nawet jeśli to przetwarzanie komuś powierza. Incydent należy rzetelnie zweryfikować, a nie przerzucać się mailami między dyrektorami. I jeszcze chyba to, że o dane swoje i swoich klientów należy dbać cały czas – nawet będąc spółką w likwidacji.

regulacje

Kodeksy w RODO

Regulacja RODO zakłada możliwość przyjęcia branżowych kodeksów, które w bardziej szczegółowy sposób przybliżą obowiązki dyrektywy o ochronie osób dla danej branży. Mamy u siebie wiele takich projektów (na dziś ponad 30), żaden nie jest formalnie przyjęty. Powodem jest brak akceptacji przez Europejską Radę Ochrony Osób wymogów dla podmiotów, które te kodeksy mają zatwierdzać i monitorować.

Takie wymogi mają być zatwierdzone przez radę na początku grudnia 2020r. Po tej dacie możemy się spodziewać, że treści w przygotowanych kodeksach będzie można traktować już bardziej oficjalnie i będą one rzeczywistą pomocą dla przedsiębiorców.

Jeśli szukacie pełnej listy polskich kodeksów, to odsyłam na stronę rodokodeksy.pl - znajdziecie tam aktualizowaną listę takich dokumentów.

m_baked_3840794

Zjeść, czy nie zjeść... -)

Kwestia ciasteczek na stronach dalej nie jest prosta - jak je znaleźć, jak opisać, co z tym zrobić, czy Shrems II coś ma z tym wspólnego? Sporo pytań.

Audyt stron internetowych jest obowiązkową pozycją w usługach wszystkich zajmujących się stronami www. Ale to temat nie tylko dla agencji, to temat dla każdego - mamy przecież tysiące stron, którymi administrujemy własnoręcznie z lepszym lub gorszym skutkiem. Więc jak sprawdzić samemu, czy na naszej stronie zagnieździły się jakieś pyszności?

Ja sprawdziłem takie trzy strony, jeśli ktoś ma inne adresy - będę wdzięczny za podzielenie się nimi. Warto sprawdzić poprawność nie tylko jednym narzędziem. jak zauważyłem, wynika z każdego z nich trochę się różnią.

https://www.cookieserve.com/

https://www.cookiebot.com/

https://www.cookiemetrix.com/

edpb

EDPB - kolejne projekty

Rada wzięła się ostro do pracy, mamy kolejne dokumenty do konsultacji. Jeden dotyczy administratorów i przetwarzających w ramach RODO (Guidelines 07/2020 on the concepts of controller and processor in the GDPR), drugi dotyczy targetowania osób przez social media (Guidelines 08/2020 on the targeting of social media users).

Funkcje administratora i przetwarzającego są kluczowe w procesie przetwarzania danych osobowych. W związku z tym niezmiernie istotną sprawą jest to, aby pojęcia te były rozumiane na całym obszarze EU w jednolity sposób. Konsultacje prowadzone są do 19 października, a o sprawie informuje również nasze UODO.

Taki sam okres zgłaszania uwag dotyczy kolejnego ogłoszenia, czyli konsultacji dotyczącej zasad targetowania osób poprzez social media. Ponieważ rola mediów społecznościowych jest coraz większa, zwiększa się także zakres danych trafiających do tego typu portali, rada uznała iż czas na porządkowanie pewnych pojęć i zasad również i w tym zakresie.

edpb

PSD2 vs RODO

Branża finansowa jest miejscem chyba najszerszego zbierania danych o swoich klientach. Kolejne rozwiązania prawne i technologiczne powodują, że nasze dane zbierane są w coraz większym zakresie - terytorialnym, merytorycznym, prawnym.

W takim środowisku ewentualne kolizje prawne, organizacyjne, itp. nie powinny nas zdziwić. Ale zawsze można próbować je ominąć, np. dzięki publicznym konsultacjom. Do takich zaprasza EDPB (European Data Protection Board) w kontekście wdrożenia regulacji PSD2. Otwarta bankowość, nowi partnerzy i strony naszych finansowych operacji podlegają pod obie te regulacje. Zachowanie zgodności z tymi przepisami nie zawsze jest łatwe i zrozumiałe. Konsultacje trwają do 16 września i są w pełni publiczne - informacje na tej stronie.

Bardzo dobre porównanie zrobił Michał Nowakowski (finregtech.pl), polecam jego opracowanie: PSD2 vs RODO

naruszenia
rodo-kary

Kara w RODO - coś nam daje?

Jakoś tak nam wychodzi, że wdrożenie czegoś bez kija (kara, brak klienta, wymóg kontrahenta) idzie nam wolniej niż podążanie za marchewką (wdrożenie, dzięki któremu mamy więcej czasu, pieniędzy, spokoju, itp.). Wymogi regulacyjne są na to świetnym przykładem. Niektóre z nich stosowane szeroko (działają bez względu na specyfikę podmiotu) są przedmiotem wielu nieprzychylnych komentarzy, w których często pomijany jest sens wprowadzenia danego przepisu.

A marchewka? Marchewką w takich sytuacjach najczęściej jest to, że nie dostaniemy kijem po głowie. A gdybyśmy dostali? Tak lekko, dla pouczenia - to by nasz czegoś nauczyło? Znawcy tematu mówią, że istotna jest nie tyle wysokość kary, co jej nieuchronność. Jak to się ma do naszego RODO? Jak widać po mapce, każdy krajowy regulator podchodzi inaczej do kar - ich częstotliwości i wysokości. I patrząc na nasze krajowe podwórko odnoszę nieodparte wrażenie, że tam, gdzie tych kar jest więcej, ale nie są one wygórowane, podmioty mają z tego więcej korzyści niż z kilku spektakularnych spraw regulatora.

Polecam serwis www.enforcementtracker.com, będzie można na bieżąco śledzić poczynania poszczególnych regulatorów.

Jeszcze jedna nasza lokalna strona: www.mwinspektorzy.pl, dane na bieżąco aktualizowane.

A także nowość z informacjami o karach: Kompas FORSAFE | Forsafe Tu autorzy najpierw przygotowali kategorię kar i naruszeń, a później zaprezentowali listę firm ukaranych przez regulatora z całego obszaru EU.

Źródło grafiki: Adam Klimowski, fb: Notatnik inspektora ochrony danych

m_Cyber_security_umbrella

RODO - i już tak dwa lata...

To moje prywatne podsumowanie tego, co wiąże się z ochroną danych wprowadzonych (w zasadzie - znowelizowanych, bo tego typu zapisy już mieliśmy) przez rozporządzenie RODO.

Początek 2018. Korpo, w którym pracuję, dochodzi do wniosku, że chyba trzeba przyśpieszyć z tym RODO bo to już za chwilę. Więc wgryzamy się, kolejni eksperci wciągnięci do pracy, jakoś idzie. PIA, DPIA - a czemu, a po co? Francuski organ ochrony coś opublikował, może popatrzeć na to? … No i tak poleciało do maja, potem - masa pytań, skarg, próśb o zapomnie, zapchane skrzynki prywatne i służbowe bo każdy (?) wypełnia obowiązek informacyjny. No i jakoś poszło.
Potem przyszła kara dla morele.net, kolejne wycieki, pobudka dla niektórych samorządów (bo im coś wyciekło, albo im ktoś coś zaszyfrował). Wydaje się, że chyba załapaliśmy po co nam to, i co z tego mamy.

A co mamy? "(…) nie mówię tu o kulawym i irytującym biurokratycznym mechanizmie znanym pod nazwą RODO, którego długofalowym efektem będzie to, że już w ogóle przestaniemy czytać informacje o podejściu usługodawcy do naszej prywatności (…)". Czyli  klikamy i nic z tego nie mamy 🤔.
Po rozmowach i audytach, które miałem, taki obraz jest niestety bardzo częsty - klikamy i nic z tego nie mamy. A jak byśmy tak wzięli sprawy w swoje ręce, o czym pisze autor powyższego stwierdzenia? To by była pełna samodzielność, wiedza i decyzja - moja własna, co z moimi danymi mogę robić (art. - tutaj). Pomysł taki znalazłem również w pewnej książce ("Zero" Elsberg Marc ) i wydawał mi się dość odległy, jeśli chodzi o możliwość wdrożenia. A tu użytkownicy in podpowiadają, że już mamy takie cuda, np. bsafer.pl - kto by się spodziewał...

Nie wierzyłem w zbawczą moc jednego rozporządzenia. Miałem jednak nadzieję, że obie strony (właściciel danych i użytkownicy owych danych) z biegiem czasu dostrzegą, że obecnie przewagę daje wiedza, jaka wynika z przetwarzania owych danych. Będziemy mieli coraz większy głód wszelkich informacji, coraz lepiej będziemy je przetwarzać i analizować. W związku z tym właściciele danych będą mieli coraz mniej prywatności dla siebie. Wątpię coraz bardziej, czy w pełni zdajemy sobie sprawę z konsekwencji takiej przyszłości.

IMG_9334

Wdrożenie dyrektywy o sygnalistach coraz bliżej

Co prawda w tym przypadku musimy czekać na odrębną regulację naszego krajowego ustawodawcy (inaczej niż było w RODO), jednak unijna dyrektywa wskazuje minimalne wymagania proceduralne i procesowe. Można więc pomyśleć o tym, aby odpowiednie działania przetestować już teraz nie czekając na ostatnią chwilę.

Te minimalne wymagania dyrektywy można opisać w następujących punktach:

  • Pracodawca ma zapewnić jasne warunki i zasady zgłaszania naruszeń przez sygnalistów
  • Pracodawca ma zapewnić poufne kanały przyjmowania zgłoszeń o naruszeniach
  • Pracodawca ma 7 dni na potwierdzenie przyjęcia zgłoszenia o naruszeniu
  • Pracodawca deleguje do podejmowania działań następczych bezstronną osobę
  • Przy rozpatrywaniu zgłoszenia należy dochować należytej staranności
  • Pracodawca ma obowiązek wysłania informacji zwrotnej do sygnalisty maksymalnie do 3 m-cy od momentu otrzymania zgłoszenia
  • Pracodawca ma zapewnić jasne warunki i zasady zgłaszania naruszeń przez sygnalistów

W linku podaję stronę przygotowaną przez Fundację Batorego, gdzie znajdziemy m.in. polski tekst dyrektywy, a także raport z badań wykonanych przez fundację. Raport dotyczy sytuacji sygnalistów w naszym kraju i pokazuje, dlaczego taki proces powinien zostać wdrożony w jak najszerszej grupie firm.

A wszystkim przeciwnikom wdrażania kolejnych działań kontrolnych w organizacjach polecam badania wykonane przez organizację ACFE. Wg ich szacunków po wdrożeniu mechanizmów kontrolnych o 48% szybciej można wykryć nieprawidłowości, a ich skala jest o 40% mniejsza.

A word cloud of risk management.

Analiza ryzyka - a co to jest?

Definicji ryzyka jest wiele, można tu podać np. taką: ryzyko to zagrożenie dla osób, rzeczy i interesów przedsiębiorstwa w ramach prowadzonej działalności, istniejących zależności, powiązań i innych zdarzeń.

A czym może być sama analiza ryzyka? Opisując to bardzo roboczo, powiedziałbym, że jest to opis najbardziej prawdopodobnych dla nas zagrożeń, ocena tych zagrożeń i działania ograniczające owe zagrożenia.

Proces analizy ryzyka można podzielić np. na takie etapy:

  1. Analiza kontekstu wewnętrznego i zewnętrznego danej organizacji
  2. Opisanie i wycena posiadanych aktywów (zasobów)
  3. Analiza podatności naszych zasobów
  4. Przygotowanie listy zagrożeń dla naszej organizacji
  5. Ocena prawdopodobieństwa wykorzystania zidentyfikowanych podatności
  6. Oszacowanie ryzyka
  7. Ustanowienie polityki bezpieczeństwa, gdzie będzie opisany sposób postępowania z ryzykiem
  8. Wdrożenie mechanizmów ograniczających skutki wystąpienia ew. zagrożeń
  9. Ustalenie procesu zarządzania ryzykiem w organizacji

Jest wiele narzędzi do przeprowadzenia analizy ryzyka, możemy robić to 'ręcznie' w plikach tekstowych lub arkuszach kalkulacyjnych, można używać dedykowanych systemów i narzędzi IT. Należy pamiętać o tym, że analizy ryzyka powinna być udokumentowania i adekwatna do wielkości i rodzaju danej organizacji.

W załączonym dokumencie prezentuję pewne rozwinięcie opisanych powyżej punktów.

Analiza ryzyka (jakościowa)

Two Thousand Twenty Showing New Year 2020 3d Rendering

Compliance 2020

Najważniejsza ryzyka prawno - podatkowe na początku roku 2020:

  •  biała lista podatników VAT
  •  ulga na złe długi i ustawa antyzatorowa
  •  schematy podatkowe
  •  mikrorachunek podatkowy (wymóg realizowania płatności podatkowych na indywidualne rachunki podatkowe)
  •  nowa matryca stawek VAT i wiążąca informacja stawkowa
  •  nowa grupa przedsiębiorców ma obowiązek używania kas fiskalnych
  •  split payment (realizacja płatności zgodnie z regułą split payment)
  •  podatek u źródła (regułą będzie pobranie podatku wg stawki krajowej)
  •  dokumentacja PPK (organizacja ma mieć przygotowaną dokumentację dla programu PPK)
  •  zmiany w prawie konsumenckim (osoba fizyczna prowadząca działalność gospodarczą zyskuje prawa konsumenta)
compliance

Czym jest compliance?

Patrząc na definicję (wg ISO 19600) to jest to zdolność do spełnienia wszystkich zobowiązań organizacji w zakresie complinace.

Brzmi jak 'masło maślane'? - trochę tak. Ale patrząc na to od strony funkcjonalnej, można by powiedzieć, że compliance to taka organizacja i struktura przedsiębiorstwa, która uniemożliwi zaistnienie w nim nieprawidłowości. To już chyba bardziej klarowna definicja.

Jak można dobrze wdrożyć compliance w firmie? Przede wszystkim dobrze zacząć - od analizy ryzyka i wskazania podstawowych zagrożeń dla organizacji. I chodzi nie tylko o ryzyka prawne (często ogranicza się zakres compliance tylko do tego typu ryzyk), ale o każde ryzyko występujące w organizacji.

Przy wdrażaniu compliance nie ma jednej ścieżki, metody - jest to  uzależnione od specyfiki danej organizacji, ryzyk w niej występujących, możliwych do poniesienia kosztów w tym zakresie. Można to zrobić układając odpowiednie procesy i komórki w organizacji, można wspomóc się systemami IT (np. systemy klasy CMS - Compliance Management Systems lub GRC -Governance, Risk management, Compliance).

Wybór ścieżki wdrażania i narzędzia do dalszej pracy w zakresie compliance zawsze będzie zależał od właściwej analizy zrobionej na początku projektu.