Jeśli jesteś IOD i masz dosyć, ten wpis jest dla Ciebie.
Czy zawód IOD to nieunikniona frustracja i stres? Moim zdaniem bardzo wielu IOD towarzyszą właśnie takie emocje. Dzielą się nimi podczas naszych szkoleń i spotkań branżowych. Zresztą mi też czasami towarzyszą. Ale tak zupełnie szczerze, to gdy wcześniej zajmowałam się czymś innym, też pojawiały się uczucie bezsensu i beznadziejności tego co robię. Mimo, że lubię zajmować się ochroną danych osobowych, czasami ręce mi opadają i odechciewa się dalszej pracy. Jednak kluczowe jest, aby znaleźć sposób na pokonanie i przejście zawodowych kryzysów. Wiem, łatwo powiedzieć, trudniej zrobić. Ale od początku.
Od mniej więcej roku skupiam się głównie na szkoleniach i konsultacjach indywidualnych dla IOD. Są moim zdaniem sensowne, bo można przepracować konkretne zagadnienia oraz problemy, ale także uzyskać oczekiwane efekty. I w zasadzie na każdym spotkaniu jednym z kluczowych tematów do przepracowania jest komunikacja z administratorem i jego personelem, które nie działają i sprawiają, że praca IOD wydaje się bezsensowna. Zazwyczaj wygląda to tak, że IOD swoje, a reszta firmy swoje. Jest pomijany w kwestiach ochrony danych lub dodawany tylko dla zasady, bo i tak wszyscy wiedzą lepiej, jak coś zrobić. Mimo najlepszych intencji IOD, administrator nie ma dla niego czasu i nie chce go słuchać. Często też jest tak, że w firmach są kierownicy działów, którzy są królami tych działów i nie wpuszczają do swojego królestwa „psuja od RODO”. W takich patologicznych układach, szybko uznaje się, że IOD w zasadzie nie ma nic do roboty i dorzuca mu się innych obowiązków, które docelowo tak go angażują, że już w ogóle nie realizuje zadań wskazanych w RODO. Jednak nadal piastuje stanowisko inspektora, więc stresuje się tym, że nic nie robi, że nie ma nic wpływu. Obawia się wycieku danych, kontroli UODO, kar pieniężnych, odpowiedzialności za nierealizowanie swoich zadań.
Opisany przeze mnie układ występuje na tyle często, że Prezes UODO zainteresował się tematem i rozpoczął kontrole sposobu funkcjonowania IOD u administratorów. Jest to doby kierunek działania, bo ma pokazać administratorom, że ich obowiązki związane z wyznaczeniem inspektora i zapewnienia mu odpowiednich warunków pracy są ważne i mogą być w tym zakresie nie tylko skontrolowani, ale też ukarani.
Wracając do głównego tematu – jestem IOD i ma dosyć, co zatem zrobić? Rozwiązań jest kilka, lepszych i gorszych. Czasami te trudniejsze, mogą przynieść lepsze efekty.
Zdystansuj się. Serio, prawie każdy inspektor, z którym rozmawiam ma bardzo osobisty stosunek do swojej pracy i firmy. Identyfikuje się z problemami swojego administratora i czuje osobiście za nie odpowiedzialny. Administrator nie zapewnia odpowiedniej ochrony danych? – inspektor nie śpi po nocach, bo martwi się o te dane i konsekwencje dla firmy. Niektórzy są tak zaangażowani, że z własnych środków finansują zapewnienie organizacyjnych lub technicznych środków ochrony (finansują szkolenia dla pracowników, kupują wsparcie doradcze i procedury, kupują niszczarki). Przecież to administrator powinien nie spać po nocach, a nie Ty. To on ponosi odpowiedzialność i poniesie konsekwencje naruszenia (finansowe, cywilne, karne). Poza tym jaki dajesz mu sygnał, angażując się emocjonalnie i finansowo w ochronę danych osobowych, za które on jest odpowiedzialny? Często administrator zaczyna sobie wtedy myśleć, że niczym nie musi się martwić, bo faktycznie to jest Twój problem, Twoje ryzyko i Ty poniesiesz ewentualne konsekwencje. I wtedy pętla, którą sobie zakładasz na szyję, powoli się zaciska.
Brak dystansu jest jednym z grzechów głównych inspektorów. Tak, należy angażować się w swoją pracę, jednak trzeba też znać swoje miejsce, swoje zadania i swoją odpowiedzialność. Pamiętaj, że nie ponosisz odpowiedzialności za to, że administrator nie zapewnia wystarczających środków ochrony. Twoim zadaniem nie jest zapewnienie tych środków, a wspieranie administratora w wypełnianiu jego zadań, poprzez odpowiednie rekomendacje, audyty, szkolenia. Jesteś audytorem i doradcą, a nie wykonawcą planu ochrony danych osobowych.
Nie wchodź w cudze buty. To jest problem „świeżaków’, którzy stawiają pierwsze kroki w branży ochrony danych osobowych. Chcą nie tylko doradzić administratorowi, ale też doprowadzić do wdrożenia własnych rekomendacji. Zatem często po tym, jak przekażą zalecenia i otrzymają zatwierdzenie ich wdrożenia od kierownika jednostki, zakasają rękawy i zaczynają sami je wdrażać. A potem ich pilnują. I dochodzą do przekonania, że tylko oni są w stanie pewne rzeczy zrobić dobrze. Zwłaszcza, gdy audyt wykazuje, że pracownicy nie trzymają się procedur. Wtedy inspektor bierze proces na siebie i zaczyna sam go realizować. Zajmuje się kwestiami organizacyjnymi ochrony danych osobowych na każdym ich etapie. Po pewnym czasie nie wie w co ręce włożyć, wszystko jest opóźnione, coraz więcej ważnych tematów leży. Nie mówiąc o audytach, na które nie ma czasu. Zresztą jak audytować siebie samego?
Sprawny system ochrony danych osobowych wymaga zaangażowania kierownictwa i pracowników. Nie może być tak, że jesteś jedyną osobą w firmie, która zajmuje się ochroną danych osobowych. To nie zadziała, bo najsłabszym elementem każdego systemu bezpieczeństwa informacji jest człowiek. Wyeliminowanie pracowników z procesów ochrony danych, nie sprawi że zminimalizuje się ryzyko naruszenia, bo Ci ludzie nadal będą przetwarzać dane. Tylko mniej będą się tym przejmować, bo uznają, że jest to problem inspektora i jeśli coś się zepsuje, to inspektor będzie za to odpowiadać, a nie oni.
Nie jesteś gwarantem skutecznej ochrony danych osobowych w firmie. Przekonanie, że samo wyznaczenie inspektora wystarcza do wykazania skutecznej ochrony danych, towarzyszy bardzo wielu administratorom. Wyprowadź swojego z błędu. Ty jesteś od wyszukiwania problemów i metod ich rozwiązania. Jednak nie masz magicznej mocy, która po roztoczeniu na firmę, ochrania ją tarczą od naruszeń ochrony danych. Staram się jak mogę, aby pomagać moim klientom minimalizować ryzyka wystąpienia naruszeń, ale te i tak co jakiś czas się pojawiają. To nieuniknione. Moją rolą wtedy jest pomóc skutecznie przejść przez to zdarzenie i jak najlepiej zminimalizować jego skutki oraz wystąpienie w przyszłości. Owszem, to nie jest miłe, gdy mam poczucie, że „mogłam o tym pomyśleć” lub „mogłam to częściej sprawdzać”, ale nie jestem idealna. Staram się jak mogę, jednak liczę z tym, że zawsze może coś się zdarzyć. Ważne, aby nie traktować tego jako osobistej porażki i nie brać tego do siebie. Nawet gdyby administrator próbował wmówić, że jest inaczej. Oj tak, zdarzało się, że obwiniali mnie, że czegoś nie sprawdziłam i naruszenie jest z mojej winy. Serio, spływa to po mnie jak po kaczce. I tak uważam, że u większości administratorów obszar ochrony danych osobowych jest najlepiej ogarnięty. Gdyby inne obszary funkcjonowały równie dobrze, nie doszłoby pewnie do większości naruszeń. Nie jesteśmy bogami. Nie możemy być wszędzie, nie złapiemy za rękę w ostatnim momencie, nie ochronimy ludzi przed ich własną głupotą.
Nie przejmuj się negatywnym nastawieniem do Twojej pracy. Gdy zaczynałam, było mi bardzo przykro, gdy klienci oraz ich pracownicy umniejszali znaczenie mojej roli oraz pracy. I często spotykałam się z próbami wykazania mi, że nie jestem wystarczająco dobrym specjalistą od ochrony danych osobowych. I na koniec dnia pracownicy robili po swojemu, ignorując moje rekomendacje. Nie raz zdarzyło się, że poprawiali moje klauzule informacyjne lub zbierali zgody na przetwarzanie, mimo że tłumaczyłam im, że nie jest to właściwe. Zresztą teraz każdy pracownik jest „specjalistą od RODO”. I tak, nie ma znaczenia moja aktualna pozycja na rynku, nadal to się zdarza. Jak sobie z tym radzić?
Po pierwsze, niestety, faktycznie musisz mieć wiedzę i kompetencje. Jeśli wchodzisz w jakiś proces, przygotuj się merytorycznie do dyskusji. Trzeba być w stanie nie tylko przytoczyć przepisy RODO, ale też przykłady (np. kar, naruszeń), opinie organu nadzorczego, EROD. Nie pozwól, żeby ktoś cię zakrzyczał. A jeśli czegoś nie wiesz lub nie jesteś pewny, powiedz że musisz sprawdzić i wrócisz z rekomendacją. Siedzę w ochronie danych od lat, ale nigdy nie uważam siebie za alfę i omegę, dlatego sprawdzam jaki jest stan faktyczny. Szanuję też argumenty drugiej strony. Warto przyjść na spotkanie z komputerem (gdy jest online jest jeszcze łatwiej) i na bieżąco weryfikować argumenty drugiej strony. Często jest to bardzo skuteczne i pozwala nabrać obustronnego zrozumienia i szacunku. Gdy przytoczę podczas spotkania wpisy z mediów internetowych, dotyczące naruszenia w związku z działaniem, jakie proponuje pracownik, lepiej rozumie o co mi chodzi oraz o jaką stawkę toczy się gra. Nie jest to tylko kwestia kar, ale też wizerunku firmy oraz utraty klientów.
Nie musisz zawsze mieć racji i stawiać na swoim. Ok, jesteśmy najlepsi „w RODO”, jednak trzeba mieć trochę pokory. Warto wysłuchać argumentów drugiej strony. Nie raz zdarzyło mi się po takiej rozmowie zgodzić na zaproponowane przez pracownika rozwiązanie. Nim lepszy zespół, tym chętniej uczy się zasad ochrony danych, a potem ze zrozumieniem te zasady stosuje. I czasami Ci ludzie mają naprawdę genialne pomysły, na które ja w ogóle bym nie wpadła (np. jak w prosty i skuteczny sposób podczas eventu zbierać zgody na przetwarzanie danych).
Zdarza się niestety też tak, że nie mają racji. I upierają przy swoim. Nie mają znaczenia argumenty, bo oni muszą mieć rację i koniec. Wtedy pozostaje mi poinformować o tym administratora, przekazać jakie mogą być konsekwencje oraz jakie proponuję rozwiązanie i jemu pozostawić decyzję. To nie jest moja prywatna wojenka.
Zawsze dokumentuj ustalenia ze spotkań. Oj tak, ile razy było tak, że ja powiedziałam „A”, ludzie zrobili „B”, po czym wmawiali mi, że właśnie tak im rekomendowałam. Nie wiem, może się przejęzyczyłam (wątpię). Wiem, że zdarza się to większości moich znajomych z branży. Dlatego zawsze po spotkaniu wysyłam wiadomość z podsumowaniem ustaleń. Zawsze. Nawet jeśli była to tylko krótka rozmowa telefoniczna, podczas której powiedziałam „tak” lub „nie”. W wiadomości podsumowuję czego dotyczyła rozmowa i jakie są ustalenia. Bardzo trudno później jest wmówić mi, że było inaczej.
Trzeba lubić to co się robi. Jeśli nie lubisz swojej pracy, to może trzeba odpocząć (mam na myśli prawdziwy urlop). Może trzeba zmienić administratora (czasami to naprawdę pomaga). Daj sobie chwilę na przetrawienie tego co napisałam. Szczególnie ważny jest dystans. Jeśli nie masz dystansu, ta praca Cię wykończy, bo wiecznie będziesz brać do siebie wszystkie problemy i będziesz czuć się odpowiedzialny za te problemy. I przede wszystkim wykończy Cię to, że ciągle coś jest nie na czas, ciągle coś jest niezrobione. Tak było, jest i będzie. Pracy związanej z ochroną danych osobowych jest bardzo dużo, a ludzi od tej pracy prawie zawsze za mało. Dzisiaj prawie każda firma i podmiot publiczny opiera swoje działania na przetwarzaniu danych osobowych. Jeśli w tych jednostkach jest tylko jedna osoba, która zajmuje się bezpieczeństwem tych danych, to nie ma szans, żeby była w stanie ogarniać to terminowo. Można co najwyżej sygnalizować kierownictwu, że brak nam zasobów (czasu, ludzi, narzędzi, itp.).
Gdy złapie się dystans, ta praca naprawdę jest przyjemna. A uśmiechnięty IOD, który potrafi rozwiązać każdy „RODO problem”, to człowiek, z którym administrator i pracownicy chcą współpracować.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.