Ciągłe zmiany w obowiązujących przepisach wymagają od przedsiębiorców nieustannego monitorowania środowiska prawnego i biznesowego. Jest to szczególnie istotne w branży IT, gdzie umowy między stronami to często kontrakty nienazwane, wybiegające poza ustawowy standard, a dodatkowo software house’y muszą spełnić wiele norm i standardów. Zaniedbania na polu zgodności mogą doprowadzić do poważnych strat finansowych oraz wizerunkowych. Czym jest compliance w software house i jak wdrożyć go skutecznie?
Zamów wzory umów IT!
-
Umowa ramowa na świadczenie usług programistycznych z zamówieniami [PL/EN]
599,00 zł – 799,00 zł (z VAT) -
Promocja!
Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
1199,00 zł – 1999,00 zł (z VAT)Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 zł.
Na czym polega compliance?
System compliance odnosi się do zgodności funkcjonowania firmy z obowiązującymi przepisami, standardami etycznymi i biznesowymi. Jego zakres jest bardzo szeroki i zwykle wybiega poza kodeksowe minimum. Dzięki wdrożeniu zgodności przedsiębiorstwo funkcjonuje sprawnie i bezpiecznie, co jest istotne nie tylko z punktu widzenia kadry zarządzającej i jej potencjalnej odpowiedzialności, ale także kontrahentów, którzy dostrzegają w firmie wiarygodnego kontrahenta. Pojęcie compliance można postrzegać na kilku płaszczyznach:
- zgodność z obowiązującymi przepisami – procedura compliance gwarantuje, że firma działa w zgodzie z aktualnymi przepisami oraz wytycznymi organów centralnych i organizacji międzynarodowych. W poszczególnych branżach stosuje się compliance sektorowe, związane z konkretną specyfiką biznesu. W software house’ach najczęściej będzie to RODO, polityka AML/CFT oraz standardy ISO;
- zarządzanie ryzykiem – compliance to także identyfikacja potencjalnych ryzyk i znajdowanie rozwiązań, które pozwolą na jego zminimalizowanie. W ramach procedury analizowany jest obieg procesów wewnętrznych, relacje z kontrahentami, wzajemne relacje między organami czy proces decyzyjny w firmie;
- cykliczny audyt – raz wdrożony compliance to za mało. Przepisy zmieniają się regularnie, podobnie jak linie orzecznicze oraz stanowiska organów. Badanie zgodności należy przeprowadzać cyklicznie, aby zapewnić aktualizację wewnętrznych procedur i standardów oraz dopasowanie ich do zmieniającego się otoczenia przedsiębiorcy.
W sektorze IT compliance niekiedy bywa mylony z zabezpieczeniami na płaszczyźnie informatycznej (ang. IT Securities), są to jednak zupełnie dwa odrębne, choć zazębiające się ze sobą, zagadnienia.
Compliance ma zapewnić bezpieczeństwo formalnoprawne, podczas gdy zabezpieczenia informatyczne chronią zasoby firmy przed dostępem osób niepowołanych.
Mogą to być np. programy antywirusowe, firewalle czy tzw. threat hunting, czyli monitorowanie zagrożeń cyfrowych w czasie rzeczywistym. IT Compliance oraz IT Securities powinny się nawzajem uzupełniać!
Dlaczego wdrożenie compliance jest ważne dla firm z branży IT?
Zapewnienie zgodności z obowiązującymi normami i standardami jest kluczowe z kilku względów. Przede wszystkim jest to duża szansa na uniknięcie dotkliwych sankcji przewidzianych przez niektóre akty prawne.
Wystarczy zajrzeć do ustawy AML oraz rozporządzenia RODO, aby przekonać się, że kary za naruszenie tych przepisów potrafią być bardzo surowe. Jako przykład można podać ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, która przewiduje możliwość nałożenia kary administracyjnej w wysokości do 1 miliona złotych, a w określonych przypadkach nawet znacznie więcej.
Przestrzeganie regulacji compliance pozwala zminimalizować straty biznesowe, wizerunkowe oraz ochronić zasoby przedsiębiorstwa. To szczególnie istotne w branżach, gdzie stosuje się środowisko chmurowe, a wiele danych nie ma swoich fizycznych odpowiedników – istnieją wyłącznie w przestrzeni wirtualnej.
Prawidłowa implementacja regulacji compliance ułatwia zachowanie zgodności nie tylko z przepisami prawa, ale także standardami, których stosowanie wprawdzie nie zawsze jest obowiązkowe, ale w danym środowisku może być pożądane. W branży IT są to przede wszystkim różnego rodzaju standardy ISO.
Wreszcie dbanie o zgodność wewnętrznych procedur pozwala na zwiększenie efektywności biznesu. Dzięki standaryzacji znacznie łatwiej o podział obowiązków, ustalenie osób odpowiedzialnych za naruszenie czy zidentyfikowanie szczególnie ryzykownych obszarów.
Praktyczne korzyści płynące z wdrożenia compliance w software house to przede wszystkim:
- niższe koszty prowadzenia działalności gospodarczej;
- gwarancja zgodności z obowiązującymi regulacjami;
- sprawne zarządzanie firmą;
- poprawa wizerunku przedsiębiorstwa.
Jakie sektory obejmuje compliance w software house?
Software house, tak jak każdy inny biznes, powinien zadbać o zachowanie zgodności na polu ogólnym oraz sektorowym. Do zagadnień ogólnych można zaliczyć kwestie zgodności związane z:
- prawem cywilnym (np. umowy handlowe);
- prawem pracy (np. czas pracy, ewidencja urlopów);
- prawem podatkowym (np. poprawność rozliczeń, terminowe płacenie zobowiązań).
Z kolei zgodność sektorowa obejmuje głównie:
- przeciwdziałanie praniu pieniędzy i finansowanie terroryzmu (AML/CFT);
- przetwarzanie danych osobowych (RODO/GDPR);
- normy ISO dotyczące zarządzania informacjami;
- lokalne przepisy o ochronie danych osobowych, np. kanadyjskie CCPA czy brazylijskie LGPD;
- sektor praw autorskich;
- zabezpieczenia przed utratą danych cyfrowych, oprogramowaniem malware;
- zgłaszanie incydentów do CSIRT oraz CERT;
- opracowanie protokołów typu Disaster Recovery.
Jak skutecznie wdrożyć zasady compliance w branży IT?
Już na samym początku warto zdać sobie sprawę z tego, że badanie zgodności jest procesem. Oczywiście obiektywna zgodność na wszystkich polach jest celem do którego należy dążyć, ale osiągnięcie tego celu jest niemożliwe z uwagi na ciągle zmieniające się otoczenie prawne i biznesowe. W zależności od zasobów finansowych oraz czasu, w jakim mają zostać przeprowadzone zmiany, zaleca się przyjęcie różnych strategii działania przez klienta.
Pierwszy model wdrażania compliance polega na identyfikacji norm branżowych, które dla danego rodzaju biznesu są kluczowe. W przypadku sektora IT zwykle będzie to AML oraz standardy fakultatywne, jak np. ISO/IEC 20000. Dzięki temu można w relatywnie krótkim czasie zabezpieczyć jeden obszar działalności firmy. Choć nie przełoży się to na wzrost poziomu globalnego bezpieczeństwa, ogranicza najważniejsze ryzyka i sprawia, że firma wzmacnia swój wizerunek jako świadomego partnera w biznesie.
Dokładnie przeciwny model działania zakłada wdrożenie compliance począwszy od najbardziej wymagającego lub rozległego sektora albo też takiego, w obrębie którego firma nigdy wcześniej nie działała. To mogą być np. podatki, ochrona danych osobowych albo zarządzanie prawami autorskimi (licencje, umowy o przeniesienie praw).
Jeszcze inna strategii zakłada, że compliance zaczyna się od podziału jednego, dużego obszaru tematycznego na mniejsze części i radzenie sobie z nimi po kolei. Dobrym przykładem jest ochrona danych osobowych na gruncie RODO, gdzie można wyodrębnić np.:
- zgody na przetwarzanie danych osobowych;
- kwestie związane z profilowaniem zwykłym i kwalifikowanym;
- wdrożenie zasady rozliczalności;
- retencję danych osobowych;
- zgodność komunikatów na stronie internetowej;
- politykę przetwarzania danych osobowych.
Taka segmentacja pozwala na systematyczne nadrabianie zaległości w compliance i załatwianie spraw jedna po drugiej.
Zdecydowanie odradza się wdrażanie compliance na wszystkich płaszczyznach jednocześnie. Takim działaniem można bardzo łatwo wprowadzić chaos w przedsiębiorstwie albo popełnić elementarne błędy przy implementowaniu kolejnych rozwiązań, które na późniejszym etapie działalności mogą wiele kosztować.
Jak wdrożyć compliance w software house? Compliance officer czy outsourcing?
Procedury compliance są zwykle wdrażane na jeden z dwóch sposobów. Pierwszy z nich to utworzenie odpowiedniego działu lub przynajmniej powołanie specjalisty do spraw zgodności (ang. Compliance Officer). Do obowiązków takiego pracownika należy bieżące monitorowanie zmian zachodzących w przepisach i analizowanie ich pod kątem procesów i procedur zachodzących w przedsiębiorstwie. Zadania związane z weryfikacją zgodności można przenieść też na Inspektora Ochrony Danych.
Alternatywną możliwością jest skorzystanie z usług kancelarii prawnej specjalizującej się w świadczeniu usług compliance. Warto zwrócić uwagę czy partner specjalizuje się w obsłudze podmiotów z branży IT, ponieważ znajomość sektorowych norm zgodności ma kluczowe znaczenie dla zapewnienia bezpieczeństwa. W praktyce zwykle okazuje się, że outsourcing jest tańszy i bardziej elastyczny niż zatrudnienie pracownika na stałe, dlatego wiele software house’ów decyduje się właśnie na taką możliwość.
Potrzebujesz wsparcia prawnika? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.