Wykonując dla klientów audyty zgodności w celu wdrożenia wymagań NIS2, spotkałam się z nowym zjawiskiem „biernego inspektora”. W dodatku działającego w sposób powodujący konflikt interesów. Ponieważ jest to zawód nieuregulowany, w zasadzie każdy może go wykonywać i bardzo ciężko ocenić standard wykonywanej pracy. W końcu administrator wyznacza IOD, właśnie w celu posiadania na pokładzie kogoś kto zna się na ochronie danych i „pomoże ogarnąć temat”. Jednak do końca nikt nie wie, na czym polega praca IOD, ani w jaki sposób powinien wykonywać swoje zadania. Zresztą ostatnia aktualizacja Poradnika dotyczącego naruszeń przez Prezesa UODO, wywołała ogromne zamieszanie, właśnie w zakresie sporu o to, w jaki sposób inspektor powinien wykonywać swoje zadania. Od opinii, że powinien w zasadzie wykonywać wszystko za administratora, który jedynie zatwierdza lub nie jego pracę od opinii, że inspektor jedynie wydaje zalecenia i przypomina o obowiązkach (np. że administrator musi przeszkolić personel lub przeprowadzić audyt).
I właśnie takich inspektorów, którzy biernie doradzają, coraz częściej spotykam na audytach. Nie inicjują żadnych działań, czekając na kontakt ze strony pracowników, bo obowiązkiem administratora jest zapewnienie włączania inspektora we wszystkie kwestie dotyczące ochrony danych osobowych. Czy zatem bierne czekanie na jest niezgodne z RODO? Trudno rozstrzygnąć, ale w dłuższej perspektywie czasowej na pewno szkodliwe dla administratora. I tu ciekawostka, spotkałam też się z kontraktami na usługi IOD, które są rozliczane nie ryczałtowo, ale godzinowo. Jest to uczciwe rozwiązanie, jednak w praktyce, właśnie w trakcie audytów, stwierdzam że skutkuje ograniczaniem do minimum (nawet do zera) kontaktów z IOD, ze względu na możliwe koszty. W takich organizacjach nie działa projektowanie prywatności, bo nikt nie włącza inspektora w planowanie procesu, najwyżej prosi się go o opiniowanie umów lub wytworzonych dokumentów.
Podczas audytów okazuje się także, że taki bierny inspektor „zapewnia zgodność z RODO” w organizacji. Przekazuje gotową dokumentację ochrony danych, która wprost jest wdrażana u administratora, przesyła wykonaną analizę ryzyka i raz do roku zrobi szkolenie z podstaw RODO. Taki system ochrony danych osobowych nie funkcjonuje w ogóle, bo w organizacji nie ma nakierowania na myślenie o prywatności i bezpieczeństwie informacji. Muszę w tym miejscu dodać, że to nie zawsze inspektor z własnej woli przyjmuje taką rolę. W wielu organizacjach brakuje właściwego przywództwa w obszarze ochrony danych, więc kierownictwo ignoruje inspektora i spycha do roli figuranta. Zepchnięty na boczne tory inspektor stara się mimo wszystko jakoś wykonywać swoje obowiązki, więc robi je dla siebie, a nie dla organizacji i bez porozumienia z organizacją.
Czy bierni inspektorzy to nasza przyszłość? Mam nadzieję, że nie, jednak przeraża mnie skala takiego zjawiska. Szczególnie, że w takich organizacjach ochrona danych osobowych po prostu jest fikcją, tzn. są jakieś dokumenty, ale nie zapewnia się bezpieczeństwa.
Myślę, że jest to też szansa dla osób, które rzetelnie wykonują zadania inspektora, aby znaleźć nowych klientów. Jednak odnalezienie organizacji, które są gotowe na zmianę jakości w obszarze ochrony danych wymaga trochę determinacji. Warto skorzystać z marketingu szeptanego, w szczególności zrobić szum w kręgach znajomych: wykonuję funkcję IOD, jestem w tym świetna, ale nie mogę trafić do klientów, którzy naprawdę mnie potrzebują. Warto także zapukać do kilku drzwi, np. okolicznych firm, czy podmiotów publicznych; mówiąc o swoich kompetencjach oraz poszukiwaniu zainteresowanego klienta. To wymaga czasu, ale taki szum zazwyczaj działa, umożliwiając nawiązanie pierwszych, satysfakcjonujących współprac.
