Dlaczego compliance w sektorze MŚP jest często źle rozumiane
Compliance bywa często mylone z wielkością. Myśli się o koncernach, działach compliance i bardzo wielu plikach PDF, których nikt dobrowolnie nie otwiera.
Compliance bywa często mylone z wielkością. Myśli się o koncernach, działach compliance, regulaminach międzynarodowych, dochodzeniach wewnętrznych, biurach rzecznika, szkoleniach antymonopolowych, kontroli eksportu i bardzo wielu plikach PDF, których nikt dobrowolnie nie otwiera.
Dla wielu przedsiębiorstw średniej wielkości brzmi to obco.
Problem: z tej obcości powstaje czasem błędny wniosek, że compliance to nie temat.
Ale compliance nie zaczyna się dopiero przy strukturach koncernowych. Compliance zaczyna się wszędzie tam, gdzie wymogi prawne, reguły wewnętrzne, odpowiedzialność i rzeczywiste zachowanie mogą się rozejść.
W sektorze MŚP compliance jest często mniej formalne. Za to bardziej osobiste. Decyzje zapadają szybciej. Zakresy odpowiedzialności są węższe. Kierowanie jest bardziej bezpośrednie. Właśnie dlatego nie potrzeba więcej papieru, lecz lepszego porządku.
1. Compliance to zadanie kierownicze
Compliance to nie tylko zadanie działu prawnego, HR, ochrony danych czy IT. Zarząd musi zadbać o to, by istotne ryzyka były rozpoznawane, a odpowiednie środki podejmowane.
Te funkcje mogą przygotowywać, sprawdzać i realizować. Ale to zarząd musi zadbać o to, by istotne ryzyka były rozpoznawane, zakresy odpowiedzialności ustalone, a odpowiednie środki podejmowane.
§ 43 niemieckiej ustawy o sp. z o.o. (GmbHG) reguluje obowiązek staranności i odpowiedzialność członków zarządu GmbH. § 93 niemieckiej ustawy o spółkach akcyjnych (AktG) reguluje obowiązek staranności i odpowiedzialność członków zarządu spółki akcyjnej. Zależnie od formy spółki, ryzyka i decyzji normy te mogą stać się punktami odniesienia dla organizacji, podstawy informacyjnej i dokumentacji.
- Jakie ryzyka compliance są istotne?
- Kto jest odpowiedzialny?
- Jakie zakresy odpowiedzialności istnieją?
- Jakie reguły już istnieją?
- Jakich reguł brakuje?
- Jak zgłaszane są sygnały?
- Jak sprawdzane są naruszenia?
- Jak prowadzona jest dokumentacja?
- Kiedy następuje eskalacja do zarządu?
- Jak weryfikowana jest skuteczność?
Zarząd nie musi sam pisać każdej reguły. Ale powinien wiedzieć, czy przedsiębiorstwo w ogóle ma reguły, które w sytuacji krytycznej się obronią.
Źródła: GmbHG § 43, AktG § 93
2. Obraz ryzyka przed regulaminem
Dobra struktura compliance nie zaczyna się od regulaminu. Zaczyna się od obrazu ryzyka.
Jakie ryzyka ma przedsiębiorstwo faktycznie? Ochrona danych? Dane pracowników? Łańcuch dostaw? Korupcja? Konflikty interesów? Pranie pieniędzy? Eksport? Tajemnice przedsiębiorstwa? AI? Prawo pracy? Prawo konkurencji? Odpowiedzialność za produkt? Prawo zamówień publicznych? Prawo ochrony środowiska? Regulacja branżowa?
Nie każde przedsiębiorstwo potrzebuje tej samej głębokości. Nie każde ryzyko jest tak samo istotne. Ale każde przedsiębiorstwo powinno wiedzieć, które ryzyka są istotne.
- Jaka branża?
- Jacy klienci?
- Jacy zamawiający publiczni?
- Jakie transakcje zagraniczne?
- Jacy dostawcy?
- Jakie dane?
- Jakie grupy pracowników?
- Jakie informacje wrażliwe?
- Jakie produkty lub usługi?
- Jakie przepływy płatności?
- Jakie wymogi regulacyjne?
- Jakie pośrednie wymogi klientów?
Kto buduje compliance bez obrazu ryzyka, chętnie bardzo starannie buduje w złym miejscu. Wygląda to porządnie. Ale mało pomaga.
3. Ochrona sygnalistów i wewnętrzny kanał zgłoszeń
Ustawa o ochronie sygnalistów może być dla przedsiębiorstw centralnym elementem compliance.
§ 12 niemieckiej ustawy o ochronie sygnalistów (HinSchG) zobowiązuje pracodawców zatrudniających z reguły co najmniej 50 osób do utworzenia wewnętrznych kanałów zgłoszeń. Szczegóły, regulacje szczególne i zakres zastosowania należy zbadać w konkretnym przypadku.
Kanał zgłoszeń to jednak nie tylko system techniczny. Decydujące jest, czy zgłoszenia są przetwarzane poufnie, w sposób ustrukturyzowany i bez działań odwetowych.
- Czy przedsiębiorstwo jest zobowiązane do utworzenia wewnętrznego kanału zgłoszeń?
- Ilu pracowników należy uwzględnić?
- Kto prowadzi kanał zgłoszeń?
- Czy zewnętrzne wsparcie ma sens?
- Jak zachowywana jest poufność?
- Jak dokumentowane są zgłoszenia?
- Kto sprawdza zgłoszenia?
- Kto decyduje o działaniach następczych?
- Jak chronieni są sygnaliści?
- Jak raportuje się do zarządu?
Kanał zgłoszeń to nie skrzynka na wyrzuty sumienia. To procedura. A procedury wymagają odpowiedzialności, terminów, poufności i powagi.
Źródło: HinSchG § 12
4. Ochrona danych i dane pracowników
Ochrona danych jest w sektorze MŚP często jednym z najbardziej widocznych obszarów compliance.
Dane klientów, dane dostawców, dane pracowników, aplikacje rekrutacyjne, ewidencja czasu pracy, oprogramowanie HR, CRM, newsletter, narzędzia chmurowe, powierzenie przetwarzania, wideo, e-mail, komunikatory, AI i dataroomy mogą być objęte regulacją.
Art. 5 RODO reguluje zasady przetwarzania. Art. 6 dotyczy podstaw prawnych. Art. 28 może być istotny przy powierzeniu przetwarzania. Art. 32 dotyczy bezpieczeństwa przetwarzania. Art. 33 i Art. 34 mogą być istotne przy naruszeniach ochrony danych. Art. 35 może dotyczyć oceny skutków dla ochrony danych. Art. 88 RODO i § 26 niemieckiej ustawy o ochronie danych (BDSG) mogą być istotne przy danych pracowników.
- Jakie dane osobowe są przetwarzane?
- W jakim celu?
- Na jakiej podstawie prawnej?
- Kto ma dostęp?
- Którzy usługodawcy przetwarzają dane?
- Czy występuje powierzenie przetwarzania?
- Czy istnieją koncepcje usuwania?
- Czy istnieją koncepcje uprawnień?
- Czy istnieją procesy na wypadek naruszeń ochrony danych?
- Czy objęte są dane pracowników?
Ochrona danych rzadko zawodzi na abstrakcyjnym stanie prawnym. Zawodzi na co dzień: na dostępach, narzędziach, przyzwyczajeniach i zdaniu „zawsze tak robiliśmy”.
Źródła: RODO Art. 5, 6, 28, 32, 33, 34, 35, 88, BDSG § 26
5. Tajemnice przedsiębiorstwa i informacje poufne
Tajemnice przedsiębiorstwa to często niedoceniana część compliance.
Ceny, kalkulacje, listy klientów, dokumentacja techniczna, kod źródłowy, pomysły produktowe, strategie, dokumenty M&A, analizy wewnętrzne, projekty umów, informacje o dostawcach i wiedza o procesach mogą mieć wartość gospodarczą.
§ 2 niemieckiej ustawy o ochronie tajemnic przedsiębiorstwa (GeschGehG) definiuje tajemnice przedsiębiorstwa m.in. jako informacje, które są poufne, mają wartość gospodarczą i są przedmiotem odpowiednich środków zachowania poufności.
- Jakie informacje są poufne?
- Jakie informacje są tajemnicami przedsiębiorstwa?
- Jakie środki ochrony istnieją?
- Kto ma dostęp?
- Czy istnieją umowy o zachowaniu poufności?
- Czy pracownicy są przeszkoleni?
- Czy zewnętrzni usługodawcy są związani?
- Jak traktowane są informacje w narzędziach AI?
- Jak chronione są dataroomy?
- Co dzieje się przy odejściu pracowników?
Tajemnice przedsiębiorstwa nie chronią się przez ciche nadzieje. Wymagają widocznych środków. Inaczej w sporze pozostaje często tylko twierdzenie, że coś było ważne.
Źródło: GeschGehG § 2
6. AI, AI Act i nowa regulacja
AI to nowy obszar compliance, ponieważ łączy się z wieloma istniejącymi tematami.
AI dotyka ochrony danych, danych pracowników, rady zakładowej, tajemnic przedsiębiorstwa, prawa autorskiego, warunków dostawców, weryfikacji wyników, dyskryminacji, komunikacji z klientami i dokumentacji.
AI Act obowiązuje od 1 sierpnia 2024 r. i co do zasady jest stosowany od 2 sierpnia 2026 r., z odstopniowanymi wyjątkami. Art. 4 AI Act dotyczący kompetencji w zakresie AI obowiązuje według informacji Komisji Europejskiej od 2 lutego 2025 r.
- Jakie systemy AI są wykorzystywane?
- Jaką rolę ma przedsiębiorstwo?
- Jakie dane są przetwarzane?
- Czy objęte są dane pracowników?
- Czy istnieje rada zakładowa?
- Czy istnieje regulamin AI?
- Czy istnieją procesy zatwierdzania?
- Czy pracownicy są przeszkoleni?
- Kto sprawdza wyniki AI?
- Jak prowadzona jest dokumentacja?
Compliance AI nie oznacza topienia innowacji w formularzach. Oznacza, że przedsiębiorstwo wie, gdzie kończy się eksperyment, a zaczyna odpowiedzialność.
Źródła: AI Act, Art. 4 AI Act, BetrVG § 87
7. Łańcuch dostaw, wymogi klientów i LkSG
Compliance łańcucha dostaw dotyka sektor MŚP często bardziej bezpośrednio poprzez wymogi klientów niż poprzez bezpośrednie obowiązki ustawowe.
Niemiecka ustawa o należytej staranności w łańcuchu dostaw (LkSG) obowiązuje od 2023 r. dla przedsiębiorstw zatrudniających od 3000 pracowników w kraju, a od 2024 r. dla przedsiębiorstw zatrudniających od 1000 pracowników w kraju. Przedsiębiorstwa spoza bezpośredniego zakresu zastosowania mogą być dotknięte pośrednio, np. jako dostawca przedsiębiorstwa zobowiązanego.
- Czy przedsiębiorstwo samo podlega LkSG?
- Czy przedsiębiorstwo jest dostawcą zobowiązanych klientów?
- Jakie wymogi klientów istnieją?
- Jakich informacji o dostawcach się wymaga?
- Jakie kodeksy postępowania należy zaakceptować?
- Jakich praw do audytu się wymaga?
- Jakie klauzule umowne są przedkładane?
- Jakie dowody przedsiębiorstwo może dostarczyć?
- Jakie ryzyka istnieją we własnym łańcuchu dostaw?
- Jaka dokumentacja jest wykonalna?
Pośrednie objęcie to elegancka nazwa na: klient i tak tego wymaga. To też compliance. Nie zawsze z ustawy. Czasem z relacji dostawczej.
Źródło: LkSG oraz FAQ rządu federalnego do ustawy o łańcuchu dostaw
8. Przeciwdziałanie praniu pieniędzy, gdy przedsiębiorstwa są zobowiązane
Przeciwdziałanie praniu pieniędzy nie dotyczy w równym stopniu każdego przedsiębiorstwa średniej wielkości.
To, czy przedsiębiorstwo jest podmiotem zobowiązanym w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy, należy zbadać konkretnie. Dla podmiotów zobowiązanych § 4 niemieckiej ustawy o przeciwdziałaniu praniu pieniędzy (GwG) może wymagać skutecznego zarządzania ryzykiem. § 5 GwG dotyczy analizy ryzyka.
- Czy przedsiębiorstwo jest podmiotem zobowiązanym według GwG?
- Jakie produkty lub usługi są objęte?
- Jaka struktura klientów istnieje?
- Czy występuje obrót gotówkowy?
- Czy istnieje powiązanie z nieruchomościami, finansami, sztuką, towarami lub pośrednictwem?
- Jakie obowiązki należytej staranności istnieją?
- Czy istnieje analiza ryzyka?
- Czy istnieją wewnętrzne środki zabezpieczające?
- Jak traktowane są przypadki podejrzenia?
- Kto jest wewnętrznie odpowiedzialny?
Przeciwdziałanie praniu pieniędzy to nie temat, który rozstrzyga się na wyczucie. Albo jest się zobowiązanym, albo nie. A jeśli się jest zobowiązanym, „mniej więcej” nie wystarczy.
Źródła: GwG §§ 4 i 5
9. Umowy, dostawcy i weryfikacja partnerów biznesowych
Compliance działa również poprzez umowy.
Klienci wymagają kodeksów postępowania. Dostawcy mają zapewniać ochronę danych, poufność, przeciwdziałanie korupcji, przestrzeganie sankcji, zrównoważony rozwój, bezpieczeństwo informacji lub prawa człowieka. Usługodawcy przetwarzają dane. Partnerzy otrzymują tajemnice przedsiębiorstwa. Partnerzy dystrybucyjni działają na rynku.
- Jakie klauzule compliance zawiera umowa?
- Jakie obowiązki przejmuje przedsiębiorstwo?
- Czy obowiązki są praktycznie wykonalne?
- Jakich dowodów się wymaga?
- Czy istnieją prawa do audytu?
- Czy istnieją kary umowne?
- Czy istnieją prawa wypowiedzenia przy naruszeniach compliance?
- Kto sprawdza partnerów biznesowych?
- Jakie dane i informacje są udostępniane?
- Jak reaguje się na naruszenia?
Klauzule compliance są szybko podpisane. Pytanie tylko, czy przedsiębiorstwo potrafi spełnić to, co tam obiecuje.
10. Regulaminy, szkolenia i praktyka stosowana
Regulaminy mają sens tylko wtedy, gdy są rozumiane na co dzień.
Regulamin compliance, którego nikt nie czyta, nie jest ochroną. Szkolenie, które jest tylko przeklikiwane, nie jest kulturą. Kodeks postępowania, który mówi wszystko i nic nie rozstrzyga, mało pomaga w sytuacji krytycznej.
- Jakie regulaminy są naprawdę potrzebne?
- Kto musi je rozumieć?
- Czy są napisane zrozumiale?
- Czy zawierają konkretne przykłady?
- Jak szkoleni są pracownicy?
- Jak włączana jest kadra kierownicza?
- Jak weryfikowane jest przestrzeganie?
- Jak traktowane są naruszenia?
- Jak aktualizowane są regulaminy?
- Kto jest odpowiedzialny?
Dobry regulamin nie musi być gruby. Musi pomagać w chwili decyzji. Inaczej jest tylko bardzo porządnie zarchiwizowanym zaniedbaniem.
11. Dokumentacja, eskalacja i kontrola
Compliance wymaga dokumentacji. Nie jako cel sam w sobie, lecz jako dowód uporządkowanej organizacji.
Ważne jest przede wszystkim, by zakresy odpowiedzialności, zgłoszenia, kontrole, decyzje i środki pozostawały możliwe do prześledzenia.
- Jakie czynności należy dokumentować?
- Kto dokumentuje?
- Gdzie prowadzona jest dokumentacja?
- Kto ma dostęp?
- Jakie terminy obowiązują?
- Jakie zgłoszenia są eskalowane?
- Kiedy informowany jest zarząd?
- Jakie środki są monitorowane?
- Jak weryfikowana jest skuteczność?
- Jak wyciąga się wnioski z błędów?
Compliance bez dokumentacji to czasem tylko dobra intencja ze słabą pamięcią.
12. Obowiązki organów kierowniczych i organizacja
Zarząd nie musi sam opracowywać każdego szczegółu. Ale musi zadbać o to, by przedsiębiorstwo było odpowiednio zorganizowane.
Zależnie od sytuacji ryzyka może do tego należeć zdefiniowanie zakresów odpowiedzialności, stworzenie regulacji, umożliwienie zgłoszeń, uporządkowanie ochrony danych, dokumentowanie ryzyk, weryfikacja usługodawców, szkolenie kadry kierowniczej i utworzenie dróg eskalacji.
§ 1 niemieckiej ustawy o stabilizacji i restrukturyzacji (StaRUG) dotyczy przy podmiotach o ograniczonej odpowiedzialności wczesnego rozpoznania kryzysu i zarządzania kryzysem. W napiętych sytuacjach compliance, dokumentacja, zarządzanie ryzykiem i obowiązki organów kierowniczych mogą szczególnie blisko się zbiegać.
- Czy zarząd zna istotne ryzyka compliance?
- Czy istnieją jasne zakresy odpowiedzialności?
- Czy istnieje obraz ryzyka?
- Czy istnieją reguły wewnętrzne?
- Czy istnieją drogi zgłoszeń?
- Czy istnieje dokumentacja?
- Czy istnieją szkolenia?
- Czy istnieje kontrola?
- Czy istnieje eskalacja?
- Czy istnieje regularna weryfikacja?
Organizacja to nie papier. Organizacja pokazuje się wtedy, gdy coś idzie nie tak, a wszyscy wiedzą, co robić.
Źródła: GmbHG § 43, AktG § 93, StaRUG § 1
Typowe błędy przy compliance w sektorze MŚP
Z punktu widzenia adwokackiego powtarzają się określone wzorce.
Compliance jest zbywane jako problem koncernów.
Reguły są pisane bez uprzedniego wyjaśnienia ryzyk.
Zakresy odpowiedzialności pozostają niejasne.
Ochrona sygnalistów jest realizowana tylko technicznie.
Ochrona danych jest traktowana jako jednorazowy projekt.
Tajemnice przedsiębiorstwa nie są aktywnie chronione.
AI jest wykorzystywane, zanim powstaną zatwierdzenia i reguły.
Wymogi łańcucha dostaw od klientów są podpisywane bez sprawdzenia wykonalności.
Obowiązki w zakresie przeciwdziałania praniu pieniędzy nie są badane, choć model biznesowy może być nimi objęty.
Regulaminy są zbyt długie i zbyt mało praktyczne.
Kadra kierownicza nie jest włączana.
Dokumentacja zaczyna się dopiero wtedy, gdy problem staje się widoczny.
Ostatni błąd jest znajomy. Nazywa się go pragmatyzmem, dopóki ktoś nie zapyta, co i kiedy zostało sprawdzone, zdecydowane i udokumentowane.
Analiza autorstwa
Lutz Färber
Adwokat i Senior Legal Advisor
Z mojego punktu widzenia compliance w sektorze MŚP jest często źle opowiadane.
Albo jako straszak. Albo jako rytuał koncernowy. Oba podejścia sprawiają, że przedsiębiorcy wewnętrznie się wyłączają.
A przecież compliance jest w istocie czymś bardzo prostym: przedsiębiorstwo musi wiedzieć, jakie reguły obowiązują dla jego istotnych ryzyk i kto dba o to, by były przestrzegane.
To nie jest kwestia biurokracji. To kwestia kierowania.
Oczywiście przedsiębiorstwo średniej wielkości nie potrzebuje do każdego tematu działu, podręcznika i trzech pętli kontroli. Ale potrzebuje jasności. Kto przyjmuje zgłoszenia? Kto sprawdza ochronę danych? Kto chroni tajemnice przedsiębiorstwa? Kto zatwierdza narzędzia AI? Kto sprawdza wymogi dostawców? Kto decyduje przy naruszeniach? Kto informuje zarząd?
Mało cenię compliance, które tylko dobrze wygląda.
Compliance musi działać, gdy wpływa zgłoszenie, klient wymaga dowodów, narzędzie przetwarza dane, pracownik udostępnia poufne informacje lub umowa zawiera obowiązek, którego nikt nie może spełnić.
Wtedy okazuje się, czy reguły są stosowane. Czy tylko istnieją.
Lista kontrolna dla przedsiębiorców, członków zarządu i organów kierowniczych
Najczęściej zadawane pytania
Compliance w sektorze MŚP oznacza uporządkowanie istotnych ryzyk prawnych, regulacji wewnętrznych, zakresów odpowiedzialności, dróg zgłoszeń, ochrony danych, tajemnic przedsiębiorstwa, AI, łańcucha dostaw, umów i dokumentacji w taki sposób, aby przedsiębiorstwo pozostawało zdolne do działania. Nie chodzi o kopiowanie struktur koncernowych.
Źródła i punkty odniesienia merytorycznego
- 1. Gesetze im Internet - HinSchG § 12 Obowiązek utworzenia wewnętrznych kanałów zgłoszeń
- 2. EUR-Lex - Ogólne rozporządzenie o ochronie danych UE 2016/679 (RODO)
- 3. Gesetze im Internet - BDSG § 26 Przetwarzanie danych dla celów stosunku pracy
- 4. Gesetze im Internet - GeschGehG § 2 Definicje
- 5. CSR in Deutschland - Pytania i odpowiedzi do ustawy o należytej staranności w łańcuchu dostaw
- 6. Gesetze im Internet - GwG § 4 Zarządzanie ryzykiem
- 7. European Commission - Ramy regulacyjne AI Act
- 8. Gesetze im Internet - BetrVG § 87 Prawa współdecydowania
- 9. Gesetze im Internet - GmbHG § 43 Odpowiedzialność członków zarządu
- 10. Gesetze im Internet - AktG § 93 Obowiązek staranności i odpowiedzialność
- 11. Gesetze im Internet - StaRUG § 1 Wczesne rozpoznanie kryzysu i zarządzanie kryzysem
O autorze
Lutz Färber
Adwokat i Senior Legal Advisor
Lutz Färber towarzyszy przedsiębiorcom, przedsiębiorstwom, wspólnikom, członkom zarządu i organom kierowniczym w kwestiach prawnych i strategicznych. Jego specjalizacja leży na styku prawa gospodarczego, compliance, governance, nowej regulacji i odpowiedzialności przedsiębiorczej.