iSecure logo
Blog

Brak osoby koordynującej wdrożenie, czyli pisz Pan na Berdyczów

Wdrożenie i utrzymanie zgodności z RODO to nie projekt, który można przeprowadzić od A do Z, podpisane dokumenty włożyć do segregatora i oczyszczać z pajęczyn tylko w przypadku kontroli. Jest to proces ciągły, który wymaga stałego monitorowania działalności administratora, szybkiego reagowania na zmiany i brania udziału w projektowaniu nowych rozwiązań. Do tego należy doliczyć jeszcze bieżące realizowanie licznych obowiązków – zawieranie umów powierzenia przetwarzania, rejestrowanie procesów, incydentów, realizowanie praw osób, których dane dotyczą, rejestrowanie przypadków udzielania dostępu do danych itp. Z tego powodu powołany u administratora Inspektor Ochrony Danych (IOD) lub ekspert ochrony danych wspierający wdrożenie powinien mieć stały i szybki dostęp do obiegu informacyjnego i decyzyjnego w organizacji. To, co w teorii jest oczywistą oczywistością, przysparza zaskakująco dużo problemów praktycznych, z których jednym z bardziej wyróżniających się na tym tle jest brak wskazania po stronie administratora osoby koordynującej proces wdrożenia zaleceń IOD lub samo zbyt słabe umocowanie IOD w strukturze.

Powody są różne.

Przede wszystkim wynika to ze wciąż utrzymującej się tendencji do traktowania ochrony danych osobowych jako zbędnego wymogu regulacyjnego, który generuje wyłącznie koszty i właściwie jest nikomu do niczego niepotrzebny. Czasem jest też pokłosiem myślenia, wedle którego IOD roztacza aurę zgodności z prawem przetwarzania i wystarczy, że jest powołany, a RODO wdraża się samo. Wreszcie w niektórych przypadkach osoby decyzyjne w organizacji uważają, że wdrażanie RODO jest obowiązkiem IOD i tylko IOD, a udział innych osób w tym procesie jest zbędny. Koniec końców prowadzi to do sytuacji, w której IOD lub osoba z wiedzą ekspercką zaangażowana do wdrożenia i utrzymywania zgodności z RODO napotyka na szereg utrudnień i problemów, które spowalniają cały proces:

  • przedłużające się oczekiwanie na zaakceptowanie i uchwalanie dokumentów (polityk, procedur);
  • problem z uzyskaniem informacji o procesach lub uzyskiwanie informacji niepełnych od poszczególnych szefów działów (np. w trakcie sporządzania rejestru czynności przetwarzania lub oceny ryzyka);
  • powolne przenikanie zaleceń i zmian do praktyki (np. aktualizowanie strony internetowej, usuwanie zbędnych danych, stosowanie nowych załączników do umów);
  • brak informacji na temat nowych procesów lub projektów (np. IOD dowiaduje się o uruchomieniu nowego serwisu internetowego po fakcie).

Problemy te występują niezależnie od tego, czy IOD działa z wnętrza organizacji czy też pełni funkcję na zasadach outsourcingu. Ignorowanie wewnętrznego IOD ma niestety równie długą i bogatą tradycję, co w przypadku IOD „zewnętrznego”. Rzecz w tym, że doprowadzenie do sytuacji, w której osoba pełniąca funkcję IOD jest pozostawiona sama sobie, bez wsparcia organizacyjnego, bez budżetu i bez dostępu do szybkiej ścieżki decyzyjnej powoduje, że postępy we wdrażaniu i utrzymywaniu zgodności z RODO idą dużo wolniej, co z kolei rodzi ryzyko wystąpienia naruszeń lub negatywnych konsekwencji w wypadku kontroli. Nie bez znaczenia pozostaje także fakt rosnącego poirytowania, gdy kolejne komunikaty czy zalecenia trafiają w próżnię, a jedyne odpowiedzi na maile w rozsądnym terminie, to automatyczne zwrotki od osób przebywających na urlopie.

Jakie cechy powinna mieć osoba wskazana jako koordynator wdrożenia RODO?

Przede wszystkim powinna to być osoba świetnie znająca organizację, najlepiej z długim stażem. Ważne jest nie tylko szybkie i celne zaadresowanie postawionych pytań np. wiedząc, do kogo zwrócić się w sprawie strony internetowej, kto odpowiada za konkretną kampanię reklamową, kto faktycznie (a nie tylko na schemacie organizacyjnym) odpowiada za dział HR itp. Bardzo często nieocenioną pomoc może przynieść wiedza nie tylko o tym co “jest”, ale o także o tym co “było” wcześniej np. jakich narzędzi czy programów używano w organizacji (temat szczególnie często przewijający się przy migracji danych z jednej bazy do drugiej lub zmiany narzędzia do komunikacji). Powinna to też być osoba, która posiada pewien gravitas w organizacji, tak aby przekazywane przez nią komunikaty lub zalecenia IOD były rzeczywiście respektowane i brane na poważnie. Warto, by oprócz wyżej wymienionych cech wskazana osoba posiadała dostęp do osób decyzyjnych, tak żeby dokumenty wymagające zaakceptowania lub uchwalenia trafiały bezpośrednio na odpowiednie biurka i były szybko wprowadzane do krwioobiegu podmiotu.

Krótko mówiąc, kluczowe dla prawidłowego i szybkiego wdrożenia oraz utrzymania zgodności z RODO jest nawiązanie dobrej współpracy pomiędzy IOD a organizacją, co najlepiej odbywa się za pośrednictwem dobrze dobranej osoby koordynującej wdrożenie. Warto jeszcze odnotować, że dostosowywanie działalności do prawa ochrony danych osobowych to nie jest tango, do którego trzeba dwojga (i tylko dwojga). Efektem końcowym wdrożenia powinno być skoordynowane i przećwiczone współdziałanie całej organizacji, na wszystkich jej szczeblach, co przypomina w istocie bardziej poloneza na setki par.

Pobierz wpis w wersji pdf

Podobne wpisy:

Informowanie o zakażeniach zgodne z RODO – COVID-19

W związku z tym, że wielu pracodawców ma ogromny problem z odpowiedzią na pytanie: „Czy można informować pracowników o przypadkach zakażenia koronawirusem?” przygotowaliśmy kolejny poradnik. Przedstawiamy w nim odpowiedzi na to pytanie oraz wyjaśniamy, jak informować o obecności koronawirusa innych pracowników bez naruszania przepisów o ochronie danych osobowych.  Widzimy potrzebę zebrania w jednym miejscu odpowiedzi […]

RODO a portale ogłoszeniowe – najczęstsze błędy podczas zamieszczania ogłoszeń o pracę

Pracodawco! Czy Ty też chcesz dotrzeć do kandydatów ze swoim ogłoszeniem o pracę za pośrednictwem portali ogłoszeniowych? Jeżeli tak, to ten artykuł jest zdecydowanie dla Ciebie. Wyjaśnię w nim, jakie przypadki w praktyce często generują ryzyko błędu, ale też – dla równowagi – przedstawię kilka ważnych porad, dzięki którym Twoje ogłoszenie będzie zgodne z RODO. […]

SKRZYNKA BYŁEGO PRACOWNIKA A RODO

Służbowe skrzynki pocztowe pracowników to punkty kontaktowe, przez które przepływa duża część informacji, w tym także danych osobowych. Z jednej strony to sposób na komunikację organizacji z jej klientami czy partnerami, a z drugiej to nadal indywidualne adresy pozwalające na prowadzenie korespondencji z konkretną osobą. W tym stanie rzeczy należy zawsze pamiętać o tym, że […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki