Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Naruszenia, bajońskie kary, presja 72 godzin – czyli jak tu żyć… drogi GDPR :-)

06 lutego 2017, 07:55 | Teksty | komentarzy 20
 To już nasze trzecie spotkanie w temacie nowej regulacji dotyczącej ochrony danych osobowych (GDPR). Pierwsza część: wstęp do tematyki GDPR. Druga część: zapewnienie przejrzystości procesu przetwarzania danych osobowych – „co, kiedy, jak i dlaczego?”

Na początek może garść dość często przytaczanych, lecz bardzo istotnych faktów związanych z karami, jakie może zafundować naruszenie wymagań GDPR.

Na wstępie Art.83 mówi, iż każdy organ nadzorczy ma stosować kary, które będą, w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (co do ostatniego punktu, można być w stu procentach przekonanym, że tak będzie). Co ważne GDPR obliguje także organ nadzorczy, aby „administracyjne kary pieniężne” nakładał, zależnie od okoliczności każdego indywidualnego przypadku. Co wydaje się być sprawiedliwym rozwiązaniem, aczkolwiek stłumionym przez możliwą skale, kar…

Dodatkowo, wspomniany artykuł wskazuje, iż należy zbadać

charakter, wagę, czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Dość ciekawym wskazaniem wydaje się być także to, iż GDPR mówi, że podmiot nadzorczy musi brać pod uwagę także: wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego oraz stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Tak więc widzimy, że w świetle GDPR ważnego znaczenia nabiera stosowanie środków prewencyjnych, gdyż zapobieganie wcześniejszym naruszeniom może stać się „okolicznością łagodzącą” przy określaniu kary. Można tutaj pokusić się także o konkluzję mówiącą, że odpowiednio skonstruowane procedury reagowania na incydenty bezpieczeństwa informacji/cyberbezpieczeństwa, są także uznane za środek prewencyjny, pozwalający przygotować się na sytuacje materializacji ryzyka/wystąpienia naruszenia. Zakłada się, że takie działanie może zostać uznane za okoliczność łagodzącą.

Możliwy wymiar kar – czyli proszę o możliwie niski wysoki wymiar kary… :-)

O ile, wyżej opisane okoliczności prezentujące obszary brane pod uwagę podczas procesu oceny naruszeń wydają się dość przejrzyste i raczej nastawione na obiektywną ocenę okoliczność (także tych ładzących) wystąpienia naruszenie, o tyle wymiary kar wskazane w GDPR, są już bardzo wysokie i nie możemy ich uznać za „przyjazne przetwarzającemu” :-(.

Art.83.Par.4. mówi:

Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Kara ta dotyczy sytuacji naruszeń w zakresie:

naruszeń obowiązków administratora i podmiotu przetwarzającego, obowiązków podmiotu certyfikującego, obowiązków podmiotu monitorującego.

Co bardzo ważne Art.83.Par.5. mówi o jeszcze wyższej karze:

Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W tym przypadku już znaczenie bardziej detalicznie określono typ naruszeń, za które może zostać wymierzona wyższa kara, a obejmują one:

naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, naruszenie praw osób, których dane dotyczą, naruszenie obejmujące przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, wszelkich obowiązków wynikających z prawa państwa członkowskiego, nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem.

Niestety w mojej ocenie znacznie częściej możemy mieć do czynienia z tą drugą sytuacją, a przez to podmioty przetwarzające dane osobowe są narażone na kary rzędu 20 000 000 EUR i więcej !. Przyjmując hipotetyczne założenie, że przyjęte okoliczności łagodzące zwolnią podmiot z 50% należnej kary to wartości rzędu 10 000 000 EUR czy też 2% rocznego światowego obrotu są wartościami bajońskimi dla większości przedsiębiorstw i organizacji.

Wydaje się, że konieczność zapłaty tak wysokich kar może spowodować niemożność przetrwania rynkowego organizacji na którą zostaną one nałożone. Pamiętajmy, że w sekcji regulacji definiującej „okoliczności łagodzące” nie wskazano na możliwość oceny aktualnej sytuacji finansowej organizacji przed nałożeniem kary. W kryteriach określania kar, występuje pewna niejasność powiązana ze stwierdzaniem: „całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego”.

Pytaniem pozostaje, jakie metody zostaną wykorzystane w celu określania wskazanej wartości. Pamiętajmy, że większość światowych koncernów i korporacji bazuje na „jednostkach prawnych” (zwykle spółkach prawa handlowego), które są tworzone dla specyficznych regionów tj. kraje, regiony geograficzno-prawne. Należy odpowiedzieć na pytanie, jak i kto w takich przypadkach będzie określał „całkowity roczny obrót”? W Art.83.Par.7 możemy zaobserwować pewien poziom „uprzywilejowania” organów publicznych, ponieważ regulacja GDPR mówi:

każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

Pytaniem pozostaje, czy wynika z niego, że skala poziomu kar w obszarze instytucji publicznych może być ustalona stosownie do sytuacji finansowej danego kraju EU na tle innych Członków wspólnoty? To oczywiście pozostawiam ocenie każdego z odbiorców, natomiast w moim odczuciu (bez względu na poziom samooceny w zakresie dojrzałości posiadanego obecnie „systemu ochrony danych osobowych”) należy zaplanować minimum jego rewizje w najbliższym roku. Dodatkowym czynnikiem, jaki należy brać pod uwagę jest to, że srogi schemat kar, może być także wykorzystywany w nieuczciwej walce konkurencyjnej.

Zgłaszanie i reagowanie na naruszenia bezpieczeństwa danych osobowych

GDPR dość jasno, podobnie jak w przypadku poziomu kar, określa wytyczne dotyczące ram czasowych i sposobu reagowania na naruszenia bezpieczeństwa danych osobowych. Administrator danych osobowych, bez zbędnej zwłoki i w miarę możliwości, lecz nie później niż w okresie do 72 godzin po stwierdzeniu naruszenia, jest zobowiązany powiadomić o tym fakcie właściwy organ nadzorczy. Ważne jest, że jeśli organ nadzorczy zostanie poinformowany po terminie 72 godzin od stwierdzenia naruszenia, zgłaszający musi bezwzględnie wyjaśnić przyczynę zaistnienia opóźniania w zgłoszeniu. W przypadku stwierdzenia naruszenia ochrony danych osobowych przez przetwarzającego dane (działającego w imieniu administratora), przetwarzający jest zobligowany do zgłoszenia takiego faktu (bez zbędnej zwłoki) bezpośrednio administratorowi danych osobowych. Nie zostały jasno nakreślone ramy czasowe dla takiego zgłoszenia.

Natomiast, jako administrator danych osobowych (konstruując stosowne umowy z podmiotami, które będą przetwarzać dane w naszym imieniu) musimy zadbać, aby ustalony czas zgłaszania naruszeń przez przetwarzającego nie zagroził możliwości zgłoszenia naruszenia przez nas w czasie 72 godzin od jego zaobserwowania, do organu nadzorczego. W kontekście zgłaszania naruszeń bardzo duże znacznie ma przegotowanie i zaimplementowanie stosownych procedur reagowania, mówiących o tym, jakie informacje powinno zawierać zgłoszenie oraz o trybie postępowania w celu ograniczania negatywnych skutków naruszenia. Administrator jak i przetwarzający dane powinien także wdrożyć niezbędne środki techniczne pozwalające na (w miarę niezależne) zebranie i zabezpieczenie informacji o charakterze dowodowym.

Wdrożenie tego rodzaju zabezpieczeń pozostaje w bezpośrednim „interesie” administratora. Zgłoszenie naruszenia przez administratora powinno między innymi:

opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Wszystkie kroki podjęte w celu wyjaśnienia okoliczności zaistnienia naruszenia oraz podejmowanych kroków celu przeciwdziałania jego skutkom muszą być formalnie udokumentowane.

GDPR określa także odpowiedzialność administratora danych osobowych za powiadomienie osób, których dane mogły zostać narażone na niebezpieczeństwo. W myśl Art.34.Par.1:

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Administrator danych osobowych może zostać zwolniony z tego obowiązku pod warunkiem, że: uprzednio wdrożył odpowiednie środki zabezpieczające uniemożliwiające wgląd w zbiory danych narażone na skutki naruszenia (przykładem takich środków może być zaimplementowanie zabezpieczeń kryptograficznych), zgłoszenie wymagałoby niewspółmiernie dużego wysiłku.

Podsumowując, wydaje się, że administratorzy i przetwarzający dane osobowe muszą zrewidować kontekst operacyjny stosowania procedur reagowania na naruszenia bezpieczeństwa zbiorów danych osobnych. Warto także pomyśleć nad większym usystematyzowaniem podejścia do zarządzania bezpieczeństwem informacji w organizacji. Pamiętajmy, że rzadko występują sytuacje, gdy systemy przetwarzania danych osobowych są wyizolowane ze struktur systemów IT organizacji. Wszystko to sprawia, iż możemy mieć do czynienia z teorią „najsłabszego ogniwa”, we wspomnianym kontekście, może dojść do wystąpienia naruszenia bezpieczeństwa danych osobowych z „wektora ataku”, który nie został prawidłowo rozpoznany w czasie konstruowania strategii bezpieczeństwa.

–Maciej Pokorniecki

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. mmatja

    Kary mają być dotkliwe i słusznie – jedynie takie działają na przedsiębiorstwa. Wynika to wprost z analizy ryzyka. Przepisy prawa są świadomie łamane, gdyż jest to bardziej opłacalne. Nie skupiałbym się na tych maksymalnych kwotach, bo one mają być elementem powodującym, że ta analiza ryzyka w firmach wykaże konieczność dostosowania przepisów. Kryterium obrotu zostało wprowadzone po to, aby a) nie tworzyć spółek celowych do przetwarzania danych, które to następnie udostępniają je dalej, b) mieć bat na te naprawdę duże firmy. Weźmy np taki duży bank, który w ostanim czasie zapłacił już jakieś 15 miliardów dolarów kar za różne przewałki. Czy 10 milionów euro zrobi na nich wrażenie? Nie. Dlatego też trzeba było wprowadzić wyższe kwoty. Z drugiej strony napisanie po prostu, ze maksymalna kwota kary to miliard spowodowałoby, że ryzyko dla mniejszych firm stanie się kompletnie niepoliczalne. Tak, czy siak – należy przyjąć, że dla każdej możliwej firmy potencjalna kara będzie bardzo dotkliwa. Na tyle, że każda firma powinna się do tych wymogów chociaż trochę dostosować.

    Skoro więc to ustaliliśmy, to zastanówmy się jak to zrobić. Jak wg Was powinna wyglądać modelowa organizacja zarządzania danymi? Jak od strony technicznej umożliwić realizację zapisów RODO. Jeśli bowiem obecnie trzymam archiwa na taśmach, to w 30 dni od wniosku zainteresowanego to ja te taśmy mogę spalić. Spełniając oczywiście wymogi RODO, ale chyba nie w taki sposób, w jaki bym chciał. Umówmy się – większość średniej wielkości firm nawet nie wie w jakich systemach przetwarza dane osobowe. Nie mówiąc już nawet o tym, że po wejściu w życie RODO zakres tego, co rozumiemy jako dane osobowe się poszerzy. Ile firm daje pracownikom IT upoważnienia do przetwarzania danych osobowych? A przecież każdy pracownik (oprócz produkcyjnych, bo Ci może nie) obecnie przetwarza jakieś dane osobowe. Wystarczy, że dam komuś outlooka, gdzie ma książkę adresową z danymi pracowników. Jeśli taka osoba ją skopiuje i opublikuje, to jako przedsiębiorca mam problem (i narażam się na kary). A przecież ona może nawet nie mieć dostępu do wewnętrznych systemów firmy – bo np. mam exchange online.

    A na rady od lokalnych GIODO nie ma co liczyć. Czytałem wczoraj rekomendacje Irlandzkiego odpowiednika i były same banialuki typu „make sure to adjust your internal procedures to reflect the new requirements…”. Tak, jakby to było tylko „procedures”. Myślenie urzędników.

    Ludzie od security często do tematu przetwarzania danych osobowych wołani są jedynie przy okazji audytów, albo do potwierdzania danych dla ABI, który jest wyoutsourcowany. Wydaje mi się, że tym razem musimy być bardziej (jak ja nienawidzę tego słowa) proaktywni. Pretensje, że „dane niezabezpieczone, grozi nam pierdyliard kary” będą kierowane do nas.

    Odpowiedz
    • Prawda jest taka, jak pisze mmatja, że większość ludzi nie zdaje sobie w większych organizacjach sprawy gdzie, jak i czy przetwarzają dane osobowe, bo definicja i rozumienie tego czym są dane osobowe nie jest w cale takie łatwe, a i nie jest precyzyjne i jednoznaczne wdg ustawy czy przepisów.

      Odnośnie postępowania to wydaje mi się, ze należało by:
      1. poprawnie zdefiniować i wytłumaczyć użytkownikom i administratorom systemów informatycznych czym są dane osobowe oraz czym jest przetwarzanie ich, a czym nie.
      2. inwentaryzacja ww informacji i zbiorów oraz osób z dostępem do nich
      3. opisanie sposobu wykorzystanie danych
      4. optymalizacja wykorzystania przez konsolidację systemów
      5. definicja nowych dostępów oraz zbiorów danych
      6. procedury przetwarzania i zgłaszania

      Tutaj niestety rodzi się pytanie, jako że przed elektronicznym wyciekiem danych (włamania, czy masowe kopiowanie) możemy się zabezpieczyć, a przynajmniej w pewien sposób wyśledzić gdzie, jak i kto te dane 'wyciekł’, to pozostaje też tzw czynnik ludzki czyli łącznik ekranu z krzesłem – użytkownik.
      Zawsze może zapamiętać, przepisać czy w jaki inny 'analogowy’ sposób dane wynieść. Bardziej mozolnie ale zawsze. Jak w tym wypadku uchronić się przed problemami?

      Odpowiedz
    • John Sharkrat

      Masz konto na facebooku czy instagramie? A może maila na gmailu lub innym ogólnie dostępnym portalu, to nie pitol o ochronie danych osobowych. W większości krajów nie ma tak durnych regulacja jak w UE, niemówiącą już o Polsce, gdzie podobny ignorant do ciebie, nakazuje dostęp do komputera chronić 8 znakowym hasłem z literami małymi i wielkimi, znakami i cyframi, zmienianym co 30 dni, mimo, że NIKT w UE nie ma takiego nakazu, a jest zalecenie.

      Odpowiedz
      • mmatja

        Nie wiem skąd się wzięło to „ignorant” w Twojej wypowiedzi, ale jeśli obrażanie innych robi Ci dobrze na samopoczucie, to krzyż na drogę.
        Rozumiem, że wg Ciebie firmy i administracja państwowa nie powinny chronić danych osobowych swoich klientów, czy pracowników? Cóż – ja mam odmienne zdanie. Ale w kontekście tego artykułu zupełnie nie o to chodzi, co najwyraźniej już Ci umknęło. Otóż czy chcesz, czy nie – ta regulacja będzie Ciebie obowiązywała (chyba, że jeszcze nie rozpocząłeś kariery zawodowej).
        Ja i – jak sądzę – sporo innych odwiedzających ten portal zajmuję się bezpieczeństwem. Jeśli ustawodawca uchwali ustawę mówiącą o tym, że bezpieczne są jedynie czerwone serwery w seledynowych rack’ach, to choćbym uważał to za idiotyzm – zastanowię się, jak odnieść się do takiego wymagania. Tak samo tutaj. Różnica jedynie w tym, że wymagań jest mniej więcej pierdyliard i są znacznie trudniejsze do spełnienia. Niektóre wręcz niemożliwe. I dyskusja o tym ma sens. Chociażby z tak prozaicznego powodu, że jeśli mój pracodawca zostałby ukarany grzywną w wysokości miliona euro, to raczej nie będzie chętny, żeby kontynuować ze mną współpracę.
        A to, czy Polska jest jedynym krajem, który wymaga 8 znakowych haseł, czy zmiany ich co 30 dni (btw – nie jest), to sprawa trzeciorzędna. Choć być może ucieszy Cię, że to wymaganie zniknie wraz z nadejściem nowej ustawy.

        Odpowiedz
        • John Sharkrat

          Właśnie potwierdziłeś swój poziom niewiedzy i poziom umysłowy.

          Odpowiedz
          • mmatja

            Haha, cóż za błyskotliwa riposta. A może tytanie intelektu i alfo-omego tematów security wskażesz choć jeden konkret, który by uzasadniał Twoje tezy?
            Jak dotąd jedyna zbliżona do merytorycznej rzecz, którą tutaj napisałeś to: „Jak ludzie używają jednego hasła wszędzie mimo szkoleń, to jest to wyłącznie ich problem.” Co, nawet jeśli częściowo słuszne, ma się kompletnie nijak do komentowanego tematu.

        • John Sharkrat
          Odpowiedz
        • John Sharkrat
          Odpowiedz
      • Wredny

        A tak ogólnie to masz chociaz pojęcie dlaczego pojawił się ten wymóg długości hasła, tj. minimum 8 znaków z czterech grup znakowych i maksymalny interwał 30 dniowy? Jak nie wiesz, to mało wiesz o bezpieczeństwie sieci komputerowych i crack’ingu haseł. Jakiś „ignorant” dał takim specom jak Ty, podstawę wyjściową do budowania zabezpieczeń. Ale co tam ze specjalistą gadać! „Najpierw sprowadzi do swojego poziomu, a potem pokona doświadczeniem”… Powodzenia w zetknięciu z rzeczywistym wyciekiem danych i karami finansowymi po wycieku!

        Odpowiedz
  2. John Sharkrat

    Potrzebne to jak kretowi grabki. Jak ludzie używają jednego hasła wszędzie mimo szkoleń, to jest to wyłącznie ich problem. A jak ludzie dbają o swoją prywatność najlepiej widać na książkoryju czy instagramie.

    Odpowiedz
  3. Moje przemyślenia na koniec cyklu: niestety zabrakło tego samego, czego brakuje w obecnym prawie polskim. Bardzo dużo napisano o prawach i obowiązkach, precyzyjnie określono co wolno, czego nie wolno i co trzeba, ale najważniejsze zaledwie przewija się mętnie tu i ówdzie, trochę dokładniej pkt. 141–145 uzasadnienia, Art. 41 i tyle. Mowa o stworzeniu rozwiązań na poziomie instytucji państwowych, które pozwalałyby *faktycznie* wyegzekwować prawo. Co z tego, że „mam prawo”, skoro to ja muszę ponieść koszty jego ochrony nieporównywalnie wyższe niż napastnik? Dostałem spam? Koszt wysłania: 0.001zł. Koszt ochrony: zmarnowany czas, trud ustalenia podmiotu wysyłającego spam i minimum jeden polecony (mail ma prawo „się zagubić”), po którym mogę liczyć na łaskwe „bardzo nam przykro, dbamy o najwyższą (blablabla…)”.

    Bardzo wysoka kara to wyraz totalnej bezradności, a nie rozwiązanie. Owszem, zmieni trochę kalkulację zysków i strat, ale brakuje nieuchronności. Kara wysokości 100zł od osoby, ale powtórzona 10000 razy jest dużo bardziej uciążliwa.

    Odpowiedz
    • MaciekP

      Witam, dziękuję Ci za komentarz.

      Cykl się jeszcze nie skończył i długo nie skończy…., obiecujemy wejść w detale jak tylko będą dostępne. Nie chcemy snuć przypuszczeń o tym jak może wyglądać implementacja póki nie ma jeszcze jasno nakreślonej ram nowelizacji ustawy, czy też przepisów wykonawczych. Naszym celem na dziś jest najrzetelniej z możliwych przedstawienie Wam faktów związanych z rozporządzeniem, zadanie wielu pytań oraz zwrócenie uwagi na specyfikę GDPR. Pytania na, które znamy potencjalne odpowiedzi zamykamy, lecz wiele z nich pozostaje niestety otwartymi – my o nich pamiętamy. Na pewno nie pozostawimy Was tylko i wysokopoziomowymi opisami. Proszę śledźcie kolejne artykuły i wspólnie przygotujemy się (jeśli to tylko możliwe na zmiany w ochronie danych osobowych).

      Natomiast co do współmierności ochrony, ciężko teraz dyskutować z uwagi na powyższe – „czyli brak regulacji resortowych”. Jedną z podstaw GDPR jest podejście do bezpieczeństwa danych osobowych przez pryzmat zarządzania ryzykiem. Co idzie w ślad za tym każdy z nas ma przeanalizować swoje systemy i dopasować poziom ochrony do środowiska realnych podatności i zagrożeń. Wszystko po to, aby skupić się na ochronie tam gdzie jest wymagana. Z mojej strony mogę Wam obiecać, że będziemy w szczegółach śledzić jak ten właśnie wciąż jeszcze enigmatyczny wątek „podejścia opartego na ryzyku” będzie się rozwijał w kontekście nowego prawa.

      Odpowiedz
      • To nie była krytyka pod adresem Sekuraka! Odwaliliście kawał dobrej roboty i bardzo dobrze, że temat opisaliście. „Zabrakło” nie w cyklu artykułów, tylko w regulacji.

        Odpowiedz
        • MaciekP

          :-) Bardzo dziękujemy :-) Wasze opinie motywują nas do działania. Temat nie jest prosty, ale będziemy starać się go pokazywać od strony praktycznej (jak to tylko możliwe). Naturalną częścią wiedzy zawartej w artykule zawsze są Wasze komentarze o które gorąco prosimy i za nie dziękujemy. Pozdrawiam.

          Odpowiedz
    • John Sharkrat

      Wtedy powstaną narzędzia do fałszowania logów, aby ukryć włamanie. Bo będzie to tańsze. Poza tym dlaczego, to państwo ma mieć korzyści z włamań? I co będziesz miał z tego, że państwo kogoś złapie?

      Odpowiedz
  4. BOfH

    Akurat w przypadku przepisów prawa, zarządzanie ryzykiem nie jest dobrym podejściem – ponieważ takie ryzyka zawsze będą w obszarze „czerwone”/”wysokie”, a więc zawsze mają priorytet przed innymi. A to jest dość ograniczone podejście, ponieważ wszyscy wiemy, czym kończy się działanie niezgodne z prawem…

    Odpowiedz
    • MaciekP

      Dzięki, niewątpliwie coś w tym jest, tylko czy jakieś inne prawo z jakim mamy do czynienia (oczywiście poza regulacjami branżowymi) wskazuje tak dobitnie, aby bazować na ryzyku.

      Myślę sobie, że można rozważać ten problem bardzo bardzo długo, ale skoro prawo wymaga podejścia bazującego na zarządzaniu ryzykiem, to nie zarządzanie nim jest także łamaniem tego prawa :-( – taki paradoks GDPR ;-). Ja zawsze jestem za zdroworozsądkowym podejściem, musimy poczekać na finalną treść regulacji, później na zalecenia resortowe i zobaczymy jakie będą wytyczne.
      Na „ryzku” w kontekście bezpieczeństwa myślę, że mniej lub bardziej, każdy powinien bazować bo inaczej zarządzanie bezpieczeństwem jest jak jazda bez świateł nocą, może czasami uda się gdzieś dojechać… no i oczywiście poł biedy jak jedziemy przez pole, ale jeśli chcemy jechać szybką autostradą konkurencyjnego rynku… Także, aby było jasne nie myślę tu o zarządzaniu papierowym (niestety mamy z nim bardzo często do czynienia) tylko wysoce praktycznym podejściem.

      Odpowiedz
  5. Dx

    A ja się wciąż zastanawiam, jak te nowe regulacje mają się do instytucji samorządowych czy ogólnie państwowych. GDRP wlepi karę ZUS? ZUS ja zapłaci? Z kieszeni prezesa, czy podatników?
    Czy raczej instytucje państwowe pozostaną bezkarne?

    Odpowiedz
    • Wredny

      Szanowny/na Dx.

      Pytanie arcyciekawe i chyba w realiach polskich czysto retoryczne. Czy do chwili obecnej za cokolwiek odpowiedział finansowo jakikolwiek dyrektor urzędu? Ja nie kojarzę takiego przypadku! To pewnie znając potęgę lobbingu politycznego, w ustawie pojawi się zapis o „bezkarności” urzędów publicznych. A przecież ni urząd zawinił TYLKO URZĘDNIK na najwyższym stołku w urzędzie! I kary dotyczą tego urzędnika, a nie urzędu! Problem jak policzyć odpowiedzialność takiego urzędnika? A prosto! Policzyć %-towy udział pensji takiego dyrektora w kwocie wynagrodzeń urzędu, któremu przewodzi. Ten procent, to podstawa do wyliczenia osobistej kary z kwoty nałożonej kary na urząd. Resztę kary można umorzyć, gdyż kara ma dotyczyć osób nie podmiotów prawnych. W prywatnych firmach kara finansowa przekłada się na wynagrodzenia! W państwowej sieci pracodawców, wynagrodzenia są płacone bez względu na wysokość kar poniesionych przez urząd!

      Odpowiedz

Odpowiedz