iSecure logo
Blog

Brak osoby koordynującej wdrożenie, czyli pisz Pan na Berdyczów

Wdrożenie i utrzymanie zgodności z RODO to nie projekt, który można przeprowadzić od A do Z, podpisane dokumenty włożyć do segregatora i oczyszczać z pajęczyn tylko w przypadku kontroli. Jest to proces ciągły, który wymaga stałego monitorowania działalności administratora, szybkiego reagowania na zmiany i brania udziału w projektowaniu nowych rozwiązań. Do tego należy doliczyć jeszcze bieżące realizowanie licznych obowiązków – zawieranie umów powierzenia przetwarzania, rejestrowanie procesów, incydentów, realizowanie praw osób, których dane dotyczą, rejestrowanie przypadków udzielania dostępu do danych itp. Z tego powodu powołany u administratora Inspektor Ochrony Danych (IOD) lub ekspert ochrony danych wspierający wdrożenie powinien mieć stały i szybki dostęp do obiegu informacyjnego i decyzyjnego w organizacji. To, co w teorii jest oczywistą oczywistością, przysparza zaskakująco dużo problemów praktycznych, z których jednym z bardziej wyróżniających się na tym tle jest brak wskazania po stronie administratora osoby koordynującej proces wdrożenia zaleceń IOD lub samo zbyt słabe umocowanie IOD w strukturze.

Powody są różne.

Przede wszystkim wynika to ze wciąż utrzymującej się tendencji do traktowania ochrony danych osobowych jako zbędnego wymogu regulacyjnego, który generuje wyłącznie koszty i właściwie jest nikomu do niczego niepotrzebny. Czasem jest też pokłosiem myślenia, wedle którego IOD roztacza aurę zgodności z prawem przetwarzania i wystarczy, że jest powołany, a RODO wdraża się samo. Wreszcie w niektórych przypadkach osoby decyzyjne w organizacji uważają, że wdrażanie RODO jest obowiązkiem IOD i tylko IOD, a udział innych osób w tym procesie jest zbędny. Koniec końców prowadzi to do sytuacji, w której IOD lub osoba z wiedzą ekspercką zaangażowana do wdrożenia i utrzymywania zgodności z RODO napotyka na szereg utrudnień i problemów, które spowalniają cały proces:

  • przedłużające się oczekiwanie na zaakceptowanie i uchwalanie dokumentów (polityk, procedur);
  • problem z uzyskaniem informacji o procesach lub uzyskiwanie informacji niepełnych od poszczególnych szefów działów (np. w trakcie sporządzania rejestru czynności przetwarzania lub oceny ryzyka);
  • powolne przenikanie zaleceń i zmian do praktyki (np. aktualizowanie strony internetowej, usuwanie zbędnych danych, stosowanie nowych załączników do umów);
  • brak informacji na temat nowych procesów lub projektów (np. IOD dowiaduje się o uruchomieniu nowego serwisu internetowego po fakcie).

Problemy te występują niezależnie od tego, czy IOD działa z wnętrza organizacji czy też pełni funkcję na zasadach outsourcingu. Ignorowanie wewnętrznego IOD ma niestety równie długą i bogatą tradycję, co w przypadku IOD „zewnętrznego”. Rzecz w tym, że doprowadzenie do sytuacji, w której osoba pełniąca funkcję IOD jest pozostawiona sama sobie, bez wsparcia organizacyjnego, bez budżetu i bez dostępu do szybkiej ścieżki decyzyjnej powoduje, że postępy we wdrażaniu i utrzymywaniu zgodności z RODO idą dużo wolniej, co z kolei rodzi ryzyko wystąpienia naruszeń lub negatywnych konsekwencji w wypadku kontroli. Nie bez znaczenia pozostaje także fakt rosnącego poirytowania, gdy kolejne komunikaty czy zalecenia trafiają w próżnię, a jedyne odpowiedzi na maile w rozsądnym terminie, to automatyczne zwrotki od osób przebywających na urlopie.

Jakie cechy powinna mieć osoba wskazana jako koordynator wdrożenia RODO?

Przede wszystkim powinna to być osoba świetnie znająca organizację, najlepiej z długim stażem. Ważne jest nie tylko szybkie i celne zaadresowanie postawionych pytań np. wiedząc, do kogo zwrócić się w sprawie strony internetowej, kto odpowiada za konkretną kampanię reklamową, kto faktycznie (a nie tylko na schemacie organizacyjnym) odpowiada za dział HR itp. Bardzo często nieocenioną pomoc może przynieść wiedza nie tylko o tym co “jest”, ale o także o tym co “było” wcześniej np. jakich narzędzi czy programów używano w organizacji (temat szczególnie często przewijający się przy migracji danych z jednej bazy do drugiej lub zmiany narzędzia do komunikacji). Powinna to też być osoba, która posiada pewien gravitas w organizacji, tak aby przekazywane przez nią komunikaty lub zalecenia IOD były rzeczywiście respektowane i brane na poważnie. Warto, by oprócz wyżej wymienionych cech wskazana osoba posiadała dostęp do osób decyzyjnych, tak żeby dokumenty wymagające zaakceptowania lub uchwalenia trafiały bezpośrednio na odpowiednie biurka i były szybko wprowadzane do krwioobiegu podmiotu.

Krótko mówiąc, kluczowe dla prawidłowego i szybkiego wdrożenia oraz utrzymania zgodności z RODO jest nawiązanie dobrej współpracy pomiędzy IOD a organizacją, co najlepiej odbywa się za pośrednictwem dobrze dobranej osoby koordynującej wdrożenie. Warto jeszcze odnotować, że dostosowywanie działalności do prawa ochrony danych osobowych to nie jest tango, do którego trzeba dwojga (i tylko dwojga). Efektem końcowym wdrożenia powinno być skoordynowane i przećwiczone współdziałanie całej organizacji, na wszystkich jej szczeblach, co przypomina w istocie bardziej poloneza na setki par.

Pobierz wpis w wersji pdf

Podobne wpisy:

Jak przetwarzać dane – poradnik (cz. I)

Prewencyjny pomiar temperatury

Pytanie o możliwość prewencyjnego pomiaru temperatury w dobie pandemii COVID-19 jest jednym z najczęściej zadawanych nam przez naszych klientów, z wielu różnych branż. Wychodząc naprzeciw tym oczekiwaniom zebraliśmy wjednym miejscu dotychczasowe przepisy i wytyczne odpowiednich organów, a następnie opatrzyliśmy je naszym komentarzem. Podsumowanie zostało przesłane do Związku Firm Ochrony Danych Osobowych (ZFODO) celem skonsultowania i przyjęcia jako wspólne stanowisko. Stanowisko iSecure w zakresie […]

O przechowywaniu danych w chmurze…

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane […]

Zmiany w ustawie od 7 marca 2011r.

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki