iSecure logo
Blog

Brak osoby koordynującej wdrożenie, czyli pisz Pan na Berdyczów

Wdrożenie i utrzymanie zgodności z RODO to nie projekt, który można przeprowadzić od A do Z, podpisane dokumenty włożyć do segregatora i oczyszczać z pajęczyn tylko w przypadku kontroli. Jest to proces ciągły, który wymaga stałego monitorowania działalności administratora, szybkiego reagowania na zmiany i brania udziału w projektowaniu nowych rozwiązań. Do tego należy doliczyć jeszcze bieżące realizowanie licznych obowiązków – zawieranie umów powierzenia przetwarzania, rejestrowanie procesów, incydentów, realizowanie praw osób, których dane dotyczą, rejestrowanie przypadków udzielania dostępu do danych itp. Z tego powodu powołany u administratora Inspektor Ochrony Danych (IOD) lub ekspert ochrony danych wspierający wdrożenie powinien mieć stały i szybki dostęp do obiegu informacyjnego i decyzyjnego w organizacji. To, co w teorii jest oczywistą oczywistością, przysparza zaskakująco dużo problemów praktycznych, z których jednym z bardziej wyróżniających się na tym tle jest brak wskazania po stronie administratora osoby koordynującej proces wdrożenia zaleceń IOD lub samo zbyt słabe umocowanie IOD w strukturze.

Powody są różne.

Przede wszystkim wynika to ze wciąż utrzymującej się tendencji do traktowania ochrony danych osobowych jako zbędnego wymogu regulacyjnego, który generuje wyłącznie koszty i właściwie jest nikomu do niczego niepotrzebny. Czasem jest też pokłosiem myślenia, wedle którego IOD roztacza aurę zgodności z prawem przetwarzania i wystarczy, że jest powołany, a RODO wdraża się samo. Wreszcie w niektórych przypadkach osoby decyzyjne w organizacji uważają, że wdrażanie RODO jest obowiązkiem IOD i tylko IOD, a udział innych osób w tym procesie jest zbędny. Koniec końców prowadzi to do sytuacji, w której IOD lub osoba z wiedzą ekspercką zaangażowana do wdrożenia i utrzymywania zgodności z RODO napotyka na szereg utrudnień i problemów, które spowalniają cały proces:

  • przedłużające się oczekiwanie na zaakceptowanie i uchwalanie dokumentów (polityk, procedur);
  • problem z uzyskaniem informacji o procesach lub uzyskiwanie informacji niepełnych od poszczególnych szefów działów (np. w trakcie sporządzania rejestru czynności przetwarzania lub oceny ryzyka);
  • powolne przenikanie zaleceń i zmian do praktyki (np. aktualizowanie strony internetowej, usuwanie zbędnych danych, stosowanie nowych załączników do umów);
  • brak informacji na temat nowych procesów lub projektów (np. IOD dowiaduje się o uruchomieniu nowego serwisu internetowego po fakcie).

Problemy te występują niezależnie od tego, czy IOD działa z wnętrza organizacji czy też pełni funkcję na zasadach outsourcingu. Ignorowanie wewnętrznego IOD ma niestety równie długą i bogatą tradycję, co w przypadku IOD “zewnętrznego”. Rzecz w tym, że doprowadzenie do sytuacji, w której osoba pełniąca funkcję IOD jest pozostawiona sama sobie, bez wsparcia organizacyjnego, bez budżetu i bez dostępu do szybkiej ścieżki decyzyjnej powoduje, że postępy we wdrażaniu i utrzymywaniu zgodności z RODO idą dużo wolniej, co z kolei rodzi ryzyko wystąpienia naruszeń lub negatywnych konsekwencji w wypadku kontroli. Nie bez znaczenia pozostaje także fakt rosnącego poirytowania, gdy kolejne komunikaty czy zalecenia trafiają w próżnię, a jedyne odpowiedzi na maile w rozsądnym terminie, to automatyczne zwrotki od osób przebywających na urlopie.

Jakie cechy powinna mieć osoba wskazana jako koordynator wdrożenia RODO?

Przede wszystkim powinna to być osoba świetnie znająca organizację, najlepiej z długim stażem. Ważne jest nie tylko szybkie i celne zaadresowanie postawionych pytań np. wiedząc, do kogo zwrócić się w sprawie strony internetowej, kto odpowiada za konkretną kampanię reklamową, kto faktycznie (a nie tylko na schemacie organizacyjnym) odpowiada za dział HR itp. Bardzo często nieocenioną pomoc może przynieść wiedza nie tylko o tym co “jest”, ale o także o tym co “było” wcześniej np. jakich narzędzi czy programów używano w organizacji (temat szczególnie często przewijający się przy migracji danych z jednej bazy do drugiej lub zmiany narzędzia do komunikacji). Powinna to też być osoba, która posiada pewien gravitas w organizacji, tak aby przekazywane przez nią komunikaty lub zalecenia IOD były rzeczywiście respektowane i brane na poważnie. Warto, by oprócz wyżej wymienionych cech wskazana osoba posiadała dostęp do osób decyzyjnych, tak żeby dokumenty wymagające zaakceptowania lub uchwalenia trafiały bezpośrednio na odpowiednie biurka i były szybko wprowadzane do krwioobiegu podmiotu.

Krótko mówiąc, kluczowe dla prawidłowego i szybkiego wdrożenia oraz utrzymania zgodności z RODO jest nawiązanie dobrej współpracy pomiędzy IOD a organizacją, co najlepiej odbywa się za pośrednictwem dobrze dobranej osoby koordynującej wdrożenie. Warto jeszcze odnotować, że dostosowywanie działalności do prawa ochrony danych osobowych to nie jest tango, do którego trzeba dwojga (i tylko dwojga). Efektem końcowym wdrożenia powinno być skoordynowane i przećwiczone współdziałanie całej organizacji, na wszystkich jej szczeblach, co przypomina w istocie bardziej poloneza na setki par.

Pobierz wpis w wersji pdf

Podobne wpisy:

Adres IP daną osobową

CZYM JEST MALWARE?

Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus […]

Dane osobowe w sklepie stacjonarnym – jak je chronić?

Ochrona danych osobowych w sklepie stacjonarnym jest istotnym aspektem, szczególnie w kontekście przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Zdecydowana większość poradników skupia się na zabezpieczeniu danych osobowych w środowisku cyfrowym co powoduje, że zapominamy, że dużą część danych przetwarzamy w formie tradycyjnej. Oto kilka kroków, które pomogą Ci chronić dane osobowe w […]

Tworzenie baz danych na podstawie profilów osób na portalach branżowych typu LinkedIn w kontekście przetwarzania danych osobowych i zgodności z RODO

W dobie cyfryzacji i globalizacji, portale branżowe takie jak LinkedIn stały się integralną częścią nowoczesnego rynku pracy i kluczowymi narzędziami w rozwoju kariery zawodowej oraz w zarządzaniu zasobami ludzkimi. Platformy te, w szczególności, umożliwiają profesjonalistom nie tylko prezentowanie swojego doświadczenia zawodowego, umiejętności i osiągnięć, ale także nawiązywanie i utrzymywanie cennych kontaktów biznesowych. Firmy z kolei […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki