iSecure logo
Blog

Brak osoby koordynującej wdrożenie, czyli pisz Pan na Berdyczów

Bartosz Migas

Wdrożenie i utrzymanie zgodności z RODO to nie projekt, który można przeprowadzić od A do Z, podpisane dokumenty włożyć do segregatora i oczyszczać z pajęczyn tylko w przypadku kontroli. Jest to proces ciągły, który wymaga stałego monitorowania działalności administratora, szybkiego reagowania na zmiany i brania udziału w projektowaniu nowych rozwiązań. Do tego należy doliczyć jeszcze bieżące realizowanie licznych obowiązków – zawieranie umów powierzenia przetwarzania, rejestrowanie procesów, incydentów, realizowanie praw osób, których dane dotyczą, rejestrowanie przypadków udzielania dostępu do danych itp. Z tego powodu powołany u administratora Inspektor Ochrony Danych (IOD) lub ekspert ochrony danych wspierający wdrożenie powinien mieć stały i szybki dostęp do obiegu informacyjnego i decyzyjnego w organizacji. To, co w teorii jest oczywistą oczywistością, przysparza zaskakująco dużo problemów praktycznych, z których jednym z bardziej wyróżniających się na tym tle jest brak wskazania po stronie administratora osoby koordynującej proces wdrożenia zaleceń IOD lub samo zbyt słabe umocowanie IOD w strukturze.

Powody są różne.

Przede wszystkim wynika to ze wciąż utrzymującej się tendencji do traktowania ochrony danych osobowych jako zbędnego wymogu regulacyjnego, który generuje wyłącznie koszty i właściwie jest nikomu do niczego niepotrzebny. Czasem jest też pokłosiem myślenia, wedle którego IOD roztacza aurę zgodności z prawem przetwarzania i wystarczy, że jest powołany, a RODO wdraża się samo. Wreszcie w niektórych przypadkach osoby decyzyjne w organizacji uważają, że wdrażanie RODO jest obowiązkiem IOD i tylko IOD, a udział innych osób w tym procesie jest zbędny. Koniec końców prowadzi to do sytuacji, w której IOD lub osoba z wiedzą ekspercką zaangażowana do wdrożenia i utrzymywania zgodności z RODO napotyka na szereg utrudnień i problemów, które spowalniają cały proces:

  • przedłużające się oczekiwanie na zaakceptowanie i uchwalanie dokumentów (polityk, procedur);
  • problem z uzyskaniem informacji o procesach lub uzyskiwanie informacji niepełnych od poszczególnych szefów działów (np. w trakcie sporządzania rejestru czynności przetwarzania lub oceny ryzyka);
  • powolne przenikanie zaleceń i zmian do praktyki (np. aktualizowanie strony internetowej, usuwanie zbędnych danych, stosowanie nowych załączników do umów);
  • brak informacji na temat nowych procesów lub projektów (np. IOD dowiaduje się o uruchomieniu nowego serwisu internetowego po fakcie).

Problemy te występują niezależnie od tego, czy IOD działa z wnętrza organizacji czy też pełni funkcję na zasadach outsourcingu. Ignorowanie wewnętrznego IOD ma niestety równie długą i bogatą tradycję, co w przypadku IOD „zewnętrznego”. Rzecz w tym, że doprowadzenie do sytuacji, w której osoba pełniąca funkcję IOD jest pozostawiona sama sobie, bez wsparcia organizacyjnego, bez budżetu i bez dostępu do szybkiej ścieżki decyzyjnej powoduje, że postępy we wdrażaniu i utrzymywaniu zgodności z RODO idą dużo wolniej, co z kolei rodzi ryzyko wystąpienia naruszeń lub negatywnych konsekwencji w wypadku kontroli. Nie bez znaczenia pozostaje także fakt rosnącego poirytowania, gdy kolejne komunikaty czy zalecenia trafiają w próżnię, a jedyne odpowiedzi na maile w rozsądnym terminie, to automatyczne zwrotki od osób przebywających na urlopie.

Jakie cechy powinna mieć osoba wskazana jako koordynator wdrożenia RODO?

Przede wszystkim powinna to być osoba świetnie znająca organizację, najlepiej z długim stażem. Ważne jest nie tylko szybkie i celne zaadresowanie postawionych pytań np. wiedząc, do kogo zwrócić się w sprawie strony internetowej, kto odpowiada za konkretną kampanię reklamową, kto faktycznie (a nie tylko na schemacie organizacyjnym) odpowiada za dział HR itp. Bardzo często nieocenioną pomoc może przynieść wiedza nie tylko o tym co “jest”, ale o także o tym co “było” wcześniej np. jakich narzędzi czy programów używano w organizacji (temat szczególnie często przewijający się przy migracji danych z jednej bazy do drugiej lub zmiany narzędzia do komunikacji). Powinna to też być osoba, która posiada pewien gravitas w organizacji, tak aby przekazywane przez nią komunikaty lub zalecenia IOD były rzeczywiście respektowane i brane na poważnie. Warto, by oprócz wyżej wymienionych cech wskazana osoba posiadała dostęp do osób decyzyjnych, tak żeby dokumenty wymagające zaakceptowania lub uchwalenia trafiały bezpośrednio na odpowiednie biurka i były szybko wprowadzane do krwioobiegu podmiotu.

Krótko mówiąc, kluczowe dla prawidłowego i szybkiego wdrożenia oraz utrzymania zgodności z RODO jest nawiązanie dobrej współpracy pomiędzy IOD a organizacją, co najlepiej odbywa się za pośrednictwem dobrze dobranej osoby koordynującej wdrożenie. Warto jeszcze odnotować, że dostosowywanie działalności do prawa ochrony danych osobowych to nie jest tango, do którego trzeba dwojga (i tylko dwojga). Efektem końcowym wdrożenia powinno być skoordynowane i przećwiczone współdziałanie całej organizacji, na wszystkich jej szczeblach, co przypomina w istocie bardziej poloneza na setki par.

Pobierz wpis w wersji pdf

Podobne wpisy:

Michał Sztąberek

Obowiązek informacyjny

Dopełnienie obowiązku informacyjnego to jedno z najistotniejszych zadań jakie musi realizować administrator względem osób, których dane będzie przetwarzać. To także prawdziwe utrapienie działów marketingowych, bo – jak mówią ich przedstawiciele – „tego tekstu jest tak dużo, że nikt nam nie kliknie”. Gorzej jak za brakiem klauzuli informacyjnej idzie brak wiedzy, że taki obowiązek w ogóle […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Katarzyna Ułasiuk

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Dane osobowe dzieci w internecie
Olga Jaworowska

Zgoda dziecka na przetwarzanie danych osobowych

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki