Compliance. Praktyczny komentarz z wzorami. Praxis

Przedmowa

Wykaz skrótów

§ 1. Budowa systemów compliance

• I. Budowanie systemu zarządzania zgodnością w oparciu o normy ISO
• 1. Uwagi wstępne
• 2. Podstawowe zasady ISO 37301
• 3. Kontekst organizacji
• 4. Struktura organizacyjna oraz przypisanie ról i odpowiedzialności
• 5. Planowanie
• 6. Dokumentacja
• 7. Planowanie operacyjne i wdrażanie mechanizmów kontrolnych
• 8. Dochodzenia wewnętrzne
• 9. Monitorowanie skuteczności systemu
• 10. Doskonalenie
• II. Compliance oparte na ryzyku
• 1. Uwagi ogólne
• 2. Czym jest compliance oparte na ryzyku?
• 3. Czy stosowanie podejścia opartego na ryzyku jest opłacalne?
• 4. Jakie są standardy zarządzania ryzykiem?
• 5. Zarządzanie ryzykiem compliance w ramach normy ISO 37301
• 6. Jakie umiejętności są potrzebne do zarzadzania ryzykiem zgodności?
• 7. Podsumowanie
• III. Funkcja compliance – praktyczne aspekty organizacyjne
• 1. Compliance officer w organizacji
• 2. Zakres obowiązków compliance officera
• 3. Rewizja przedsiębiorstwa
• 4. Tworzenie systemu compliance na miarę organizacji
• 5. Szkolenia i edukacja
• 6. Obsługa systemów do zgłaszania naruszeń
• 7. Zasady podległości służbowej a niezależność funkcji compliance
• 8. Polityka compliance jako naczelny dokument systemu zarządzania zgodnością
• 9. Polityki compliance – wzór
• IV. Modele zarządzania systemem compliance w (międzynarodowej) grupie kapitałowej
• 1. Koncepcja zarządzania systemem compliance
• 2. Niezależność funkcji compliance
• 3. Mechanizm zarządzania
• 4. Modele funkcji compliance w oparciu o lokalizację CCO w strukturze grupy
• 5. Kodyfikacja modelu CMS w systemie procedur wewnętrznych
• V. Efektywność wdrożenia systemów compliance
• 1. Status wdrożenia systemów compliance w Polsce
• 2. Podstawowe elementy prawidłowo wdrożonego systemu compliance
• 3. Sposoby mierzenia efektywności systemów compliance
• 4. Podsumowanie
• VI. Szkolenia z zakresu compliance
• 1. Uwagi ogólne
• 2. Formy szkoleń
• 3. Ewaluacja szkoleń
• 4. Dokumentacja szkoleń
• 5. Szkolenia w kontekście skutecznej komunikacji

§ 2. Odpowiedzialność podmiotów zbiorowych a compliance

• I. Odpowiedzialność podmiotów zbiorowych – istota i przykłady wybranych regulacji zagranicznych
• II. Polska ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary
• 1. Zakres regulacji
• 2. Przesłanki odpowiedzialności – uwagi ogólne
• 3. Przesłanki odpowiedzialności – popełnienie przez osobę fizyczną czynu zabronionego pod groźbą kary jako przestępstwo lub przestępstwo skarbowe
• 4. Przesłanki odpowiedzialności – wydanie rozstrzygnięcia w przedmiocie odpowiedzialności karnej osoby fizycznej
• 5. Przesłanki odpowiedzialności – brak należytej staranności po stronie podmiotu zbiorowego
• 6. Konsekwencje dla podmiotu zbiorowego
• 7. Wybrane zagadnienia procesowe
• III. Dotychczasowa praktyka stosowania OdpZbiorU oraz perspektywy zmian legislacyjnych
• 1. Dotychczasowa praktyka
• 2. Perspektywy zmian – kontekst regulacyjny
• 3. Perspektywy zmian – dotychczasowe podejścia do reformy zasad odpowiedzialności podmiotów zbiorowych

§ 3. Wdrożenie w podmiocie prywatnym wymogów ustawy o ochronie sygnalistów

• I. Ochrona sygnalistów – wprowadzenie
• 1. Wprowadzenie
• 2. Tło europejskiej inicjatywy ustawodawczej
• 3. Tło polskiej inicjatywy ustawodawczej
• 4. Otoczenie prawne ochrony sygnalistów w Polsce
• II. Ramy prawne na podstawie ustawy o ochronie sygnalistów
• 1. Pojęcie sygnalisty w polskich przepisach
• 2. Rodzaje informacji o naruszeniach prawa
• 3. Zgłoszenie wewnętrzne, zgłoszenie zewnętrzne, ujawnienie publiczne
• III. Ochrona sygnalistów przed działaniami odwetowymi
• 1. Wprowadzenie
• 2. Działania odwetowe – definicja
• 3. Związek działań odwetowych ze zgłoszeniem lub ujawnieniem publicznym
• 4. Warunki ochrony
• 5. Zakres roszczeń sygnalisty
• 6. Odpowiedzialność karna
• 7. Odpowiedzialność sygnalisty
• 8. Ochrona sygnalistów przed działaniami odwetowymi – dobre praktyki
• IV. Konstrukcja procedury zgłoszeń wewnętrznych
• 1. Wprowadzenie
• 2. Podmiot prawny
• 3. Obowiązek ustanowienia procedury
• 4. Elementy obligatoryjne procedury
• 5. Elementy fakultatywne procedury zgłoszeń wewnętrznych na podstawie ustawy o ochronie sygnalistów
• 6. Pozostałe elementy fakultatywne procedury zgłoszeń wewnętrznych
• V. Wdrożenie procedury zgłoszeń wewnętrznych
• 1. Aspekty formalne
• 2. Aspekty formalne – ogłoszenie procedury zgłoszeń wewnętrznych w podmiocie prawnym
• 3. Aspekty praktyczne – procedury obowiązujące w podmiocie prawnym przed przyjęciem ustawy o ochronie sygnalistów
• 4. Aspekty praktyczne – tone from the top oraz odpowiednia komunikacja towarzysząca wdrożeniu
• VI. Odpowiedzialność karna i wykroczeniowa w ustawie o ochronie sygnalistów
• VII. Współdzielenie zasobów, outsourcing oraz zarządzanie systemem whistleblowing w (międzynarodowej) grupie kapitałowej
• 1. Wprowadzenie
• 2. Centralizacja a decentralizacja procesów whistleblowingowych w relacji „spółka–grupa"
• 3. Stanowisko Komisji Europejskiej w sprawie grupowych procedur zgłaszania
• 4. Współdzielenie zasobów oraz dopuszczalność outsourcingu przyjmowania zgłoszeń i innych czynności w procesie obsługi zgłoszeń
• 5. Kwestia wspólnej procedury w ramach grupy kapitałowej
• VIII. Centralizacja a decentralizacja systemu whistleblowing – w relacji do innych kanałów zgłaszania informacji o nieprawidłowościach
• 1. Ryzyka współistnienia różnych kanałów komunikacji wewnętrznej i zewnętrznej z kanałami whistleblowingowymi
• 2. Mnogość kanałów zgłaszania obowiązkowych w świetle różnych źródeł prawa
• IX. Wzory
• 1. Wprowadzenie
• 2. Procedura zgłoszeń wewnętrznych

§ 4. Czynności podejmowane przez podmioty prywatne po otrzymaniu zgłoszenia zgodnie z ustawą o ochronie sygnalistów

• I. Etap wstępny
• 1. Przyjęcie zgłoszenia
• 2. Osoba uprawniona do potwierdzenia przyjęcia zgłoszenia
• 3. Treść potwierdzenia przyjęcia zgłoszenia
• 4. Termin na potwierdzenie przyjęcia zgłoszenia
• 5. Brak obowiązku potwierdzenia przyjęcia zgłoszenia
• II. Postępowanie wyjaśniające
• 1. Cele postępowania wyjaśniającego
• 2. Plan postępowania
• 3. Osoby prowadzące postępowanie wyjaśniające
• 4. Świadkowie
• 5. Rozmowy wyjaśniające
• 6. Dokumentowanie czynności dowodowych
• 7. Zakończenie wewnętrznego postępowania wyjaśniającego i raportowanie
• 8. Dalsze działania następcze
• 9. Poufność danych objętych zgłoszeniem oraz działań następczych
• III. Informacja zwrotna przekazywana sygnaliście
• 1. Wprowadzenie
• 2. Osoba uprawniona do przekazania informacji zwrotnej
• 3. Termin na przekazanie informacji zwrotnej
• 4. Zakres informacji zwrotnej
• 5. Praktyczne aspekty konstruowania informacji zwrotnej
• 6. Forma przekazania informacji zwrotnej
• 7. Informacja zwrotna jako narzędzie budowania kultury organizacyjnej

§ 5. Ochrona danych osobowych w procesie zgłaszania naruszeń

• I. Regulacja przetwarzania danych osobowych w ustawie o ochronie sygnalistów
• 1. Charakter regulacji
• 2. Administrator danych osobowych
• 3. Dane niemające znaczenia dla rozpatrywania zgłoszenia
• 4. Upoważnienia do przyjmowania i rozpoznawania zgłoszeń wewnętrznych
• 5. Ograniczenie obowiązku informacyjnego
• 6. Ograniczenie uprawnień osób, których dane dotyczą
• 7. Okresy retencji danych osobowych
• II. Ochrona tożsamości sygnalisty
• 1. Zasada ochrony poufności tożsamości sygnalisty
• 2. Pojęcie tożsamości sygnalisty
• 3. Odstępstwa od zakazu ujawniania tożsamości sygnalisty
• 4. Zgoda na ujawnienie tożsamości sygnalisty
• 5. Odpowiedzialność karna
• 6. Obligatoryjne działania wymagane od podmiotu prawnego mające na celu zachowanie w poufności tożsamości sygnalisty
• 7. Ochrona tożsamości sygnalisty – dobre praktyki
• III. Zagadnienia ochrony danych osobowych nieuregulowane w ustawie o ochronie sygnalistów
• 1. Uwagi wstępne
• 2. Zakres danych osobowych sygnalisty
• 3. Anonimowe zgłoszenia
• 4. Weryfikacja zgłoszeń
• 5. Grupowe procedury zgłoszeń
• 6. Obowiązki informacyjne
• 7. Klauzule informacyjne RODO
• 8. Bezpieczeństwo danych w procedurach whistleblowingowych
• 9. Ocena skutków dla ochrony danych (DPIA)
• 10. Privacy by design/privacy by default
• 11. Upoważnienia do przyjmowania i rozpoznawania zgłoszeń wewnętrznych – wzór

§ 6. Bezpieczeństwo informatyczne elektronicznych kanałów zgłoszeń

• I. Wstęp
• II. Regulacje prawne chroniące sygnalistów w elektronicznych kanałach zgłoszeń – wzór
• III. Definicja elektronicznych kanałów zgłoszeń
• IV. Wymogi bezpieczeństwa informatycznego
• V. Potencjalne zagrożenia
• VI. Metody zabezpieczania kanałów zgłoszeń
• VII. Ochrona tożsamości sygnalistów
• VIII. Implementacja bezpiecznych systemów zgłoszeń
• IX. Proces wdrożenia systemu zgłoszeń w organizacji
• X. Aspekty finansowe – przykłady naruszeń i ich konsekwencje
• 1. Wprowadzenie
• 2. Analiza przypadków naruszeń bezpieczeństwa w kanałach zgłoszeń
• XI. Lekcje wyciągnięte z incydentów
• XII. Najlepsze praktyki i rekomendacje
• XIII. Przyszłość bezpieczeństwa informatycznego w kontekście kanałów zgłoszeń
• 1. Wprowadzenie
• 2. Nowe technologie w służbie sygnalistom
• 3. Przewidywane zmiany w regulacjach prawnych
• XIV. Zakończenie

§ 7. Przeciwdziałanie korupcji

• I. Pojęcie i istota zjawiska korupcji
• 1. Antykorupcja a początki compliance
• 2. Istota zjawiska korupcji – uwagi wstępne
• 3. Pojęcie korupcji w polskich przepisach
• 4. Odpowiedzialność podmiotów zbiorowych za korupcję
• 5. Przykłady zagranicznych regulacji antykorupcyjnych oraz ich wpływ na polskie podmioty
• II. Korupcja jako przestępstwo – wybrane przykłady z orzecznictwa
• 1. Art. 296a Kodeksu karnego (korupcja menadżerska)
• 2. Art. 228 KK (korupcja urzędnicza bierna) oraz art. 229 KK (korupcja urzędnicza czynna)
• III. System antykorupcyjny w oparciu o normę ISO 37001 – aspekty praktyczne
• 1. Wewnętrzny system antykorupcyjny oparty na ISO 37001 – aspekty praktyczne
• IV. Praktyczne podejście do analizy ryzyk korupcyjnych
• 1. Uwagi wstępne – znaczenie pojęcia korupcji dla analizy ryzyk korupcyjnych
• 2. Cel zarządzania ryzykiem/wdrożenia systemu korupcyjnego
• 3. Ogólna analiza ryzyka compliance (CRA) i jej znaczenie dla zapobiegania ryzykom korupcyjnym
• 4. Szczegółowe obszary analizy ryzyka korupcyjnego w przedsiębiorstwie
• 5. Podsumowanie
• V. Dokumenty systemu antykorupcyjnego
• 1. Uwagi wstępne
• 2. Polityka antykorupcyjna
• 3. Polityka zarządzania konfliktem interesów
• 4. Polityka dotycząca wymiany upominków w relacjach biznesowych
• 5. Przykład polityki antykorupcyjnej
• 6. Przykład polityki zarządzania konfliktem interesów
• 7. Przykład polityki upominkowej

§ 8. Weryfikacja kontrahentów z perspektywy wymogów w zakresie sankcji indywidualnych

• I. Sankcje Unii Europejskiej: ogólna charakterystyka, desygnacje, własność i kontrola, weryfikacja kontrahenta (proces due diligence)
• 1. Wstęp
• 2. Sankcje Unii Europejskiej – ogólna charakterystyka
• 3. Źródła prawa
• 4. Procedura przyjmowania sankcji przez UE
• II. Sankcje międzynarodowe w wybranych reżimach sankcyjnych
• 1. Wstęp i geneza polskich przepisów sankcyjnych
• 2. Polska lista sankcyjna
• 3. Administracyjne kary pieniężne
• 4. Odpowiedzialność karna

§ 9. Weryfikacja kontrahentów w zakresie wykraczającym poza wymogi sankcyjne

• I. Wstęp i elementy obowiązkowej weryfikacji kontrahentów
• 1. Wprowadzenie
• 2. Elementy obowiązkowe dla każdego przedsiębiorcy
• 3. Elementy obowiązkowe dla określonych grup przedsiębiorców
• II. Elementy nieobowiązkowe weryfikacji kontrahentów
• 1. Wprowadzenie
• 2. Weryfikacja podstawowa
• 3. Weryfikacja finansowa
• 4. Weryfikacja operacyjna
• 5. Weryfikacja reputacyjna
• III. Podsumowanie i ułożenie procesu weryfikacji

§ 10. AML/CFT w instytucjach niefinansowych

• I. Wprowadzenie
• II. AML/CFT – charakterystyka systemu i podstawy prawne
• III. Pojęcie instytucji obowiązanej
• IV. Rola komunikatów GIIF i publikacji FATF
• V. Wymogi AML/CFT
• 1. Wyznaczanie osób odpowiedzialnych
• 2. Analiza ryzyka dotycząca instytucji obowiązanej
• 3. Analiza ryzyka dotycząca klienta
• 4. Środki bezpieczeństwa finansowego
• 5. Ochrona danych osobowych
• 6. Szczególne środki ograniczające
• 7. Realizacja wymogu szkoleniowego
• 8. Raportowanie GIIF/innym organom
• VI. Kary administracyjne

§ 11. Ochrona tajemnicy przedsiębiorstwa

• I. Wstęp
• II. Tajemnica przedsiębiorstwa – definicja i przykłady
• III. Działania i mechanizmy wspierające ochronę tajemnicy przedsiębiorstwa
• 1. Wprowadzenie
• 2. Umowa o zachowaniu poufności
• 3. Zakazy konkurencji
• 4. Audyt i polityka ochrony tajemnicy przedsiębiorstwa
• IV. Naruszenie tajemnicy przedsiębiorstwa – odpowiedzialność i przysługujące roszczenia
• V. Roszczenie o zaniechanie
• VI. Roszczenie o usunięcie skutków niedozwolonych działań
• VII. Roszczenie o złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i w odpowiedniej formie. Wniosek uprawnionego o zobowiązanie pozwanego do podania do publicznej wiadomości informacji o wyroku albo treści wyroku
• VIII. Roszczenie o naprawienie szkody
• IX. Roszczenie o wydanie bezpodstawnie uzyskanych korzyści
• X. Roszczenie o zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny związany ze wspieraniem kultury polskiej lub ochroną dziedzictwa narodowego
• XI. Art. 23 ust. 1 ZNKU – naruszenie tajemnicy przedsiębiorstwa wbrew obowiązkowi ciążącemu na sprawcy
• 1. Wprowadzenie
• 2. Strona przedmiotowa czynu
• 3. Strona podmiotowa czynu
• XII. Art. 23 ust. 2 ZNKU – naruszenie tajemnicy przedsiębiorstwa uzyskanej w sposób bezprawny
• XIII. Art. 23 ust. 3 ZNKU – naruszenie tajemnicy przedsiębiorstwa uzyskanej w związku z postępowaniem sądowym lub poprzez zapoznanie się z aktami postępowania
• XIV. Ściganie czynów z art. 23 ZNKU
• XV. Art. 266 KK
• XVI. Postępowanie cywilne i karne – jak się przygotować
• XVII. Wzory
• 1. Procedura ochrony tajemnicy przedsiębiorstwa
• 2. Umowa o zachowaniu poufności

§ 12. Architektura bezpieczeństwa w ochronie tajemnicy przedsiębiorstwa. Od podstaw do zaawansowanych rozwiązań

• I. Wprowadzenie
• II. Wprowadzenie do architektury bezpieczeństwa w kontekście tajemnicy przedsiębiorstwa
• 1. Czym jest tajemnica przedsiębiorstwa od strony technicznej?
• 2. Jakie zagrożenia sprowadza niedostateczne zadbanie o bezpieczeństwo IT?
• III. Podstawy bezpieczeństwa informatycznego – fundamenty ochrony danych
• 1. Polityka silnego hasła
• 2. Uwierzytelnianie wieloskładnikowe (MFA)
• 3. Segmentacja sieci
• 4. Jak oddzielić dane poufne od ogólnodostępnych w firmie?
• 5. Segmentacja – praktyczne wskazówki dla małych i dużych przedsiębiorstw
• IV. Średnio zaawansowane podejście. Realizacja polityki Zero-Trust
• 1. Uwagi wstępne
• 2. Szyfrowanie danych
• 3. Regularne kopie zapasowe
• V. Zaawansowane rozwiązania – zabezpieczenia klasy Enterprise
• 1. Systemy DLP (Data Loss Prevention) – kontrola przepływu danych
• 2. SIEM i SOC
• 3. Bezpieczeństwo fizyczne IT
• 4. Testy penetracyjne i audyty
• VI. Case Study: Bezpieczeństwo w praktyce – testy penetracyjne i audyty w przykładowej spółce („Krzak Sp. z o.o.")
• 1. Uwagi wstępne
• 2. Wyzwanie
• 3. Testy penetracyjne
• 4. Audyt bezpieczeństwa
• 5. Wnioski i wdrożenia
• 6. Refleksje
• VII. Dostosowanie zabezpieczeń do skali i potrzeb przedsiębiorstwa
• 1. Małe i średnie przedsiębiorstwa (MŚP)
• 2. Duże organizacje
• VIII. Case Study: Kompleksowe podejście do strategii bezpieczeństwa w Krzak Sp. z o.o.
• 1. Uwagi wstępne
• 2. Wyzwanie
• 3. Budowa strategii
• 4. Realizacja wdrożenia
• IX. Podsumowanie: Kompleksowe podejście do ochrony tajemnicy przedsiębiorstwa

§ 13. Zarządzanie ryzykiem osobistej odpowiedzialności karnej i karnej skarbowej

• I. Rola systemów compliance w zarządzaniu ryzykiem odpowiedzialności karnej i karnej skarbowej
• II. Odpowiedzialność karna
• 1. Zasady odpowiedzialności karnej
• 2. Wybrane przykłady przestępstw spotykanych w obrocie gospodarczym – oszustwo
• 3. Wybrane przykłady przestępstw spotykanych w obrocie gospodarczym – karalna niegospodarność
• 4. Wybrane przykłady przestępstw spotykanych w obrocie gospodarczym – korupcja w biznesie
• 5. Wybrane przykłady przestępstw spotykanych w obrocie gospodarczym – przestępstwa przeciwko prawom wierzycieli
• III. Odpowiedzialność karna skarbowa
• 1. Istota odpowiedzialności karnej skarbowej
• 2. Specyficzne możliwości degresji wyłączenia lub minimalizacji odpowiedzialności karnej skarbowej
• 3. Kluczowe zasady przypisania odpowiedzialności karnoskarbowej
• 4. Weryfikacja kontrahenta jako sposób minimalizacji ryzyka odpowiedzialności karnej skarbowej – case study
• 5. Przestępstwa skarbowe a przestępstwa z ustawy o rachunkowości
• IV. Inne obszary ryzyk odpowiedzialności osobistej
• V. Przykłady narzędzi compliance wspierających zarządzanie ryzykiem odpowiedzialności karnej i karnej skarbowej
• 1. Uwagi ogólne
• 2. Matryca obowiązków i odpowiedzialności
• 3. Zasady dokumentowania decyzji zarządczych
• 4. Rola szkoleń jako narzędzie compliance wspierające zarządzanie ryzykiem odpowiedzialności karnej i karnoskarbowej kadry zarządzającej

§ 14. Przeciwdziałanie mobbingowi w miejscu pracy

• I. Wstęp
• II. Mobbing – definicja i przykłady
• 1. Wprowadzenie
• 2. Ofiara mobbingu i mobber
• 3. Nękanie lub zastraszanie
• 4. Długotrwałość i uporczywość
• 5. Skutek działań mobbera
• 6. Mobbing – przykłady działania
• 7. Nie każde zachowanie można uznać za mobbing
• 8. Projektowane zmiany
• III. Mobbing w zakładzie pracy – skutki dla pracodawcy
• IV. Przeciwdziałanie mobbingowi
• V. Polityka antymobbingowa
• 1. Wprowadzenie
• 2. Polityka antymobbingowa – wzór

§ 15. Przygotowanie spółki na wypadek kontroli organów zewnętrznych

• I. Definicja i fazy kontroli
• II. Rodzaje kontroli
• III. Działania organów ścigania
• IV. Przygotowanie spółki do kontroli organów zewnętrznych
• V. Przykładowe elementy procedury postępowania w przypadku kontroli
• 1. Postępowanie po otrzymaniu zapowiedzi kontroli
• 2. Sprawdzenie i przygotowanie dokumentacji
• 3. Wyznaczenie osoby odpowiedzialnej za kontakt z kontrolerami
• 4. Weryfikacja uprawnień kontrolerów
• 5. Przygotowanie i przekazywanie dokumentacji w ramach kontroli
• 6. Udzielanie informacji kontrolerom, w tym w ramach procedur przewidzianych prawem
• 7. Obsługa prawna kontroli
• 8. Zakończenie kontroli
• 9. Obowiązki szkoleniowe