iSecure logo
Blog

Brak osoby koordynującej wdrożenie, czyli pisz Pan na Berdyczów

Wdrożenie i utrzymanie zgodności z RODO to nie projekt, który można przeprowadzić od A do Z, podpisane dokumenty włożyć do segregatora i oczyszczać z pajęczyn tylko w przypadku kontroli. Jest to proces ciągły, który wymaga stałego monitorowania działalności administratora, szybkiego reagowania na zmiany i brania udziału w projektowaniu nowych rozwiązań. Do tego należy doliczyć jeszcze bieżące realizowanie licznych obowiązków – zawieranie umów powierzenia przetwarzania, rejestrowanie procesów, incydentów, realizowanie praw osób, których dane dotyczą, rejestrowanie przypadków udzielania dostępu do danych itp. Z tego powodu powołany u administratora Inspektor Ochrony Danych (IOD) lub ekspert ochrony danych wspierający wdrożenie powinien mieć stały i szybki dostęp do obiegu informacyjnego i decyzyjnego w organizacji. To, co w teorii jest oczywistą oczywistością, przysparza zaskakująco dużo problemów praktycznych, z których jednym z bardziej wyróżniających się na tym tle jest brak wskazania po stronie administratora osoby koordynującej proces wdrożenia zaleceń IOD lub samo zbyt słabe umocowanie IOD w strukturze.

Powody są różne.

Przede wszystkim wynika to ze wciąż utrzymującej się tendencji do traktowania ochrony danych osobowych jako zbędnego wymogu regulacyjnego, który generuje wyłącznie koszty i właściwie jest nikomu do niczego niepotrzebny. Czasem jest też pokłosiem myślenia, wedle którego IOD roztacza aurę zgodności z prawem przetwarzania i wystarczy, że jest powołany, a RODO wdraża się samo. Wreszcie w niektórych przypadkach osoby decyzyjne w organizacji uważają, że wdrażanie RODO jest obowiązkiem IOD i tylko IOD, a udział innych osób w tym procesie jest zbędny. Koniec końców prowadzi to do sytuacji, w której IOD lub osoba z wiedzą ekspercką zaangażowana do wdrożenia i utrzymywania zgodności z RODO napotyka na szereg utrudnień i problemów, które spowalniają cały proces:

  • przedłużające się oczekiwanie na zaakceptowanie i uchwalanie dokumentów (polityk, procedur);
  • problem z uzyskaniem informacji o procesach lub uzyskiwanie informacji niepełnych od poszczególnych szefów działów (np. w trakcie sporządzania rejestru czynności przetwarzania lub oceny ryzyka);
  • powolne przenikanie zaleceń i zmian do praktyki (np. aktualizowanie strony internetowej, usuwanie zbędnych danych, stosowanie nowych załączników do umów);
  • brak informacji na temat nowych procesów lub projektów (np. IOD dowiaduje się o uruchomieniu nowego serwisu internetowego po fakcie).

Problemy te występują niezależnie od tego, czy IOD działa z wnętrza organizacji czy też pełni funkcję na zasadach outsourcingu. Ignorowanie wewnętrznego IOD ma niestety równie długą i bogatą tradycję, co w przypadku IOD „zewnętrznego”. Rzecz w tym, że doprowadzenie do sytuacji, w której osoba pełniąca funkcję IOD jest pozostawiona sama sobie, bez wsparcia organizacyjnego, bez budżetu i bez dostępu do szybkiej ścieżki decyzyjnej powoduje, że postępy we wdrażaniu i utrzymywaniu zgodności z RODO idą dużo wolniej, co z kolei rodzi ryzyko wystąpienia naruszeń lub negatywnych konsekwencji w wypadku kontroli. Nie bez znaczenia pozostaje także fakt rosnącego poirytowania, gdy kolejne komunikaty czy zalecenia trafiają w próżnię, a jedyne odpowiedzi na maile w rozsądnym terminie, to automatyczne zwrotki od osób przebywających na urlopie.

Jakie cechy powinna mieć osoba wskazana jako koordynator wdrożenia RODO?

Przede wszystkim powinna to być osoba świetnie znająca organizację, najlepiej z długim stażem. Ważne jest nie tylko szybkie i celne zaadresowanie postawionych pytań np. wiedząc, do kogo zwrócić się w sprawie strony internetowej, kto odpowiada za konkretną kampanię reklamową, kto faktycznie (a nie tylko na schemacie organizacyjnym) odpowiada za dział HR itp. Bardzo często nieocenioną pomoc może przynieść wiedza nie tylko o tym co “jest”, ale o także o tym co “było” wcześniej np. jakich narzędzi czy programów używano w organizacji (temat szczególnie często przewijający się przy migracji danych z jednej bazy do drugiej lub zmiany narzędzia do komunikacji). Powinna to też być osoba, która posiada pewien gravitas w organizacji, tak aby przekazywane przez nią komunikaty lub zalecenia IOD były rzeczywiście respektowane i brane na poważnie. Warto, by oprócz wyżej wymienionych cech wskazana osoba posiadała dostęp do osób decyzyjnych, tak żeby dokumenty wymagające zaakceptowania lub uchwalenia trafiały bezpośrednio na odpowiednie biurka i były szybko wprowadzane do krwioobiegu podmiotu.

Krótko mówiąc, kluczowe dla prawidłowego i szybkiego wdrożenia oraz utrzymania zgodności z RODO jest nawiązanie dobrej współpracy pomiędzy IOD a organizacją, co najlepiej odbywa się za pośrednictwem dobrze dobranej osoby koordynującej wdrożenie. Warto jeszcze odnotować, że dostosowywanie działalności do prawa ochrony danych osobowych to nie jest tango, do którego trzeba dwojga (i tylko dwojga). Efektem końcowym wdrożenia powinno być skoordynowane i przećwiczone współdziałanie całej organizacji, na wszystkich jej szczeblach, co przypomina w istocie bardziej poloneza na setki par.

Pobierz wpis w wersji pdf

Podobne wpisy:

Awaria serwera

Papierowe wdrożenie RODO w obszarze IT

Ze smutkiem obserwuję, że bardzo często wdrożenie RODO oznacza w praktyce wdrożenie procedur dotyczących ochrony danych osobowych i… na tym koniec. Nie od dziś wiadomo, że tak skomplikowany proces, jak dostosowanie organizacji do zgodności z przepisami RODO, to praca na wielu płaszczyznach. Aspekt organizacyjny jest oczywiście istotny, ale bez zaangażowania w obszar IT okaże się, […]

Dane osobowe w kopiach zapasowych

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo

Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki