Aby właściwie zaplanować ochronę danych osobowych w organizacji, należy dobrze poznać i zdefiniować strukturę organizacyjną. Na podstawie tej wiedzy dopiero będzie można określić poziomy zarządzania ochroną danych osobowych, przypisać role i funkcje oraz sprecyzować zadania dla każdego członka personelu bezpieczeństwa.
WAŻNE
Personel bezpieczeństwa, w rozumieniu #RODOmaniaków to każda osoba, której wyznaczono jakiekolwiek zadanie w ochronie danych osobowych. Członkiem personelu będzie zarówno manager bezpieczeństwa informacji, szef ochrony fizycznej, specjalista IT, ale też i osoba sprzątająca, która w przypadku znalezienia wydruków z danymi osobowymi musi podjąć konkretne działania.
W niniejszym artykule skupimy się na dwóch podstawowych strukturach:
- Struktura sztabowo-liniowa
- Struktura macierzowa.
Struktura sztabowo-liniowa
Mimo dość militarnej nazwy, jest to jedna z bardziej typowych struktur organizacyjnych w firmach i organizacjach. Jej istota polega na tym, że komórki organizacyjne są wydzielone i mają przypisane konkretne zadania w organizacji, natomiast sztab tworzą osoby, rzadziej komórki, specjalizujące się w konkretnym obszarze działania, który dotyczy całej organizacji.
Przykładami sztabów jest:
- Służba BHP
- Pełnomocnik ds. Jakości
- Inspektor Ochrony Danych Osobowych.
Dla kogo?
Struktury sztabowo-liniowe sprawdzą się doskonale w większości organizacji, w których zadania związane z ochroną danych osobowych są na poziomie podstawowym. Podpowiedzią może być przepisy, wskazujące na konieczność wykonania analizy wpływu na ochronę danych. Tam, gdzie nie występuje istotne ryzyko naruszenia praw i wolności, struktura ta będzie wystarczająca.
Uwaga: przyjęcie struktury sztabowo-liniowej nie oznacza występowania tylko jednego sztabu. Dawne rozwiązania oparte o lokalnych ABI (administratorów danych osobowych) czy obecne oparte o wewnętrzną strukturę komórki bezpieczeństwa danych osobowych, z przedstawicielami w oddziałach firmy nadal mogą być strukturami sztabowo-liniowymi.
Zalety:
- Spójność systemu
System “prowadzony” jest przez jedną osobę, która nadzoruje całą firmę. - Szybkość decyzji
Z reguły komórki o charakterze sztabowym podlegają bezpośrednio zarządzającemu; - Szybkie wdrożenie nowej wiedzy
Jedna osoba pozyskuje wiedzę i wprowadza ją do organizacji;
Wady:
- Mała elastyczność
Ograniczona ilość osób, często jedna, uniemożliwiają działanie w kilku miejscach na raz. - Większe ryzyko błędu
Wiele rozwiązań wdrażanych jest jednoosobowo, bez konsultacji innych ekspertów z dziedziny ochrony danych osobowych; - Możliwość braku realizacji zadań
Duże ryzyko przerwania działań lub braku ciągłości w wyniku chroby, czy zwolnienia;
Struktura macierzowa
Struktura macierzowa powstaje przy nałożeniu na klasyczną strukturę, np liniową dodatkowych zespołów czy grup wydzielonych z organizacji w celu realizacji konkretnych zadań. W przypadku ochrony danych osobowych niemal zawsze mamy do czynienia z taką strukturą na etapie tworzenia systemu ochrony danych osobowych. Osoby na co dzień pracujące w konkretnych działach np. administracji, produkcji, kadr, otrzymują dodatkowe zadania, często formalnie wchodząc w skład zespołu zadaniowego, czy grupy projektowej.
Czasem warto jednak utrzymać tę strukturę w późniejszym działaniu. Ponownie, jako kryterium zalecanym do ustanowienia i utrzymania struktury jest ryzyko naruszenia praw i wolności osób, których dane przetwarzamy.
Dla kogo?
Struktury macierzowe sprawdzą się doskonale tam, gdzie wymagany jest cały zespół. Umożliwiają tworzenie tzw. zespołów nieeetatowych, ale powoływanych w sytuacji wymagających działania przygotowanych i sprawdzonych osób. Mogą to być:
- Audyty ochrony danych osobowych
- Audyty bezpieczeństwa danych osobowych
- Obsługa naruszenia ochrony naruszenia, czy incydentu bezpieczeństwa informacji (tzw. IRT – incident response team).
Zalety:
- Duży zespół
Możliwa jest wymienność stanowisk i zastępowanie osób nieobecnych; - Mniejsze ryzyko błędu
Członkowie zespołu pracują w swoich komórkach macierzystych, są łatwiej dostępni jako konsultanci; - Możliwość konsultacji rozwiązań
Wiele osób w zespole, znających konkretny system ochrony danych osobowych umożliwia szersze i lepsze konsultacje;
Wady:
- Dwuwładza
Każdy z członków zespołu ma dwóch przełożonych – w zespole i swojego nominalnego, w dziale czy komórce organizacyjnej. - Wydłużenie czasu decyzji
Większe zespoły oznaczają dłuższe podejmowanie decyzji wynikające ze skłonności do dłuższych dyskusji; - Wyższe koszty
Zespół z reguły powoływany jest formalnie, co oznacza, że pojawia się konieczność jego obsługi, co podnosi koszty administracyjne;
Podsumowanie
Podejmując decyzję o tym, jaka struktura będzie właściwa dla zespołu ochrony danych osobowych warto kierować się kryteriami ryzyka naruszenia praw i wolności. W uproszczeniu jeśli w organizacji zachodzą przesłanki do wykonania analizy wpływu na ochronę danych osobowych (DPIA), warto rozważyć strukturę macierzową i powołać formalny zespół, ze swoją własną strukturą.
Więcej o omówionych strukturach (strony Encyklopedii Zarządzania):