Dziś o tym, w którym kierunku skręciło RODO i że dalej w nim zmierza. A to niestety nie zadziała jako WSPARCIE biznesu. O czym na końcu.
RODO to przede wszystkim prawo – to ten kierunek, z którym się nie zgadzam
Otóż na początku wdrożeń pojawiło się wyjątkowe zainteresowanie tematem ze strony branży prawniczej. Dalej to zainteresowanie przeniosło się na kolejne przepisy prawa, które charakteryzują się dość podobnym charakterem (AML, ESG). Otóż można podywagować, podyskutować, a potem rozważać wyroki i orzeczenia, uzasadnienia do nich.
Jeśli ktoś nie wierzy, proponuję spojrzeć czego dotyczą publikacje, informacje, aktualności na wiodących stronach o RODO czy w mediach społecznościowych. Sprawdziłem, w 90% dotyczą tego, jaki sąd, jakie orzeczenie wydał, czy jaką karę nałożył organ nadzorczy.
Tyle, że nie o to w RODO chodzi, aby sobie podyskutować na sali sądowej, czy z organem na pisma, ale żeby działało. Gdy coś nie działa, to nie działa i wtedy jest kara lub sąd. I nie ma znaczenia czy dla „ożywienia” tego czegoś (tu systemu ochrony danych) napiszemy 1, 5 czy 100 polityk. Nadal będzie to życzenie, aby zadziałało. I nadal nie zadziała. I nadal będzie kara i sąd.
A co to znaczy zadziałać?
Pani Krysia nie kliknie maila nie dla siebie. Będzie wiedzieć i umieć. Skąd będzie wiedzieć? Ponieważ zostanie nauczona na szkoleniu. Szkoleniu, którego celem jest nauczyć, a nie je odbyć. Przecież IOD lub osoba nadzorująca ochronę danych osobowych albo sam szkoli, albo nadzoruje (tu nadal jest rozbieżność, czy zadaniem IOD jest szkolić czy nadzorować). W związku z tym powinna mieć co najmniej minimum pojęcia o tym czym jest andragogika, jakie są formy i metody szkoleń oraz czym się różnią w zależności, czy celem szkolenia jest nabycie wiedzy, czy nabycie umiejętności. Jest ogromna różnica między opowiedzeniem i wyświetleniem, gdzie w Outlooku włącza się pole UDW – ukryte do wiadomości, a pokazaniem jak je włączyć.
Dyskusji o metodach i formach szkolenia, zasadach budowania systemów zarządzania wiedzą, systemów szkolenia jakoś nie widzę na forach dla IOD, czy nawet na konferencjach. Trudno też o artykuły merytoryczne, które mogłyby wesprzeć IOD w realizacji funkcji.
IOD zadań ma zdecydowanie więcej. Np. audyty. Audyt nie jest kontrolą, więc znów nawet jeśli tylko się nadzoruje, warto wiedzieć że nie chodzi w nim (audycie) o prostą kontrolę (inspekcję), której celem jest sprawdzenie, czy przepis czy wymaganie z polityki są realizowane. Istotą jest poszukanie, czy jest DOBRZE I SKUTECZNIE realizowane, a jeśli nie to DLACZEGO? Walka o to, aby zadziałało, jak nie ma szans zadziałać jest z góry skazana na porażkę, niezależnie ile protokołów niezgodności wystawimy. Czy będzie ich jak z politykami – 1, 10, czy 100.
Dyskusje o audytach. Jedna mi się przypomniała, w której konkluzją było to, że IOD tak audytów nie robi. Tak, to znaczy mniej więcej (nawet nie w pełni) zgodnych z normą ISO 19011, bo… to za dużo roboty (czytaj za niski abonament). I po co tu wnioskować dlaczego, jak ważne jest, że przepis nie jest spełniony. Można podsumować, że jeśli już dyskusje się pojawiają, to nie o audytach, a o kontroli przestrzegania.
IOD ma również nadzór lub podział zadań (znów rozbieżność w opiniach). A kiedy zadziała podział zadań? Gdy będą jasne, zrozumiałe i … sensowne. Gdy osoba, która je ma wykonać będzie wiedziała nie tylko co może lub powinna, ale będzie miała też narzędzia zarówno organizacyjne jak i techniczne. Organizacyjne to stosowne uprawnienia i możliwości działania. A techniczne, po prostu będzie mieć czym.
Dyskusji o wadach i zaletach różnych struktur i form opisów stanowisk, przypisania ról i funkcji również nie widzę w przestrzeni i środowisku ochrony danych. Wyższości (lub niższości) opisu kompetencyjnego vs klasyczny również. A przecież to z nich wynikają dalej wyposażenie (w upoważnienia, środki pracy) jak i wymagane szkolenia. Cóż, nadal dyskusji o organizacji nie ma.
Mamy jeszcze całą masę innych rzeczy, zadań, czynności, które IOD powinien nadzorować, oceniać i wskazywać, nie sposób ich wszystkich wymienić w krótkim felietonie. Może się czytelnik zastanowić, dlaczego o tym wszystkim piszę. Wszak szkolenia i struktury to HR (tak się wielu wydaje, poza HR-em), audyt to komórki compliance, zabezpieczenia to odpowiednio IT, strażak czy ochroniarz.
TAK!!! 3 x TAK!!!
Wtedy RODO jest „wrośnięte” w organizację (ładniej mówi – zintegrowane). Wtedy też biznes zaczyna traktować je jako coś oczywistego, codziennego. Ot dodatkowy kawałek zagadnień, ale wcale nie wymagań. Szkolenia do pracy są przeprowadzane, więc poszerzenie np. BHP o RODO nie jest problemem. Dla niewtajemniczonych, ochrona przeciwpożarowa to nie BHP, a jednak jest omawiana w ramach szkolenia wstępnego i okresowego. Mało tego, poza tym, że może być w instruktażu ogólnym, może też pojawić się w stanowiskowym. Z tych dwóch składa się szkolenie wstępne BHP.
HEREZJA!!! BHP i RODO!!!
Pewnie kilka osób tak pomyśli. Więc wróćmy do tego biznesu i tego jak przekonać oraz „wrośnięcia” w organizację. Studium przypadku:
Linia produkcyjna, praca premiowana za wydajność (tzw. akord) rejestracja wyników na indywidualnych kartach operatorów linii. Po zakończeniu pracy brygadzista zbiera karty, podpisuje (potwierdza) i przekazuje do kadr.
Pewnego dnia nie dotarło do kadr kilka kart osób, które wykonywały pracę. Kluczowych o tyle, że była to końcówka miesiąca i wynik z pracy z tej zmiany przesądzał o tym czy będzie premia miesięczna czy nie. Ze względu na zawartość kart doszło do incydentu, który został zaklasyfikowany jako naruszenie ochrony danych osobowych. Utrata danych, w wyniku której osoby otrzymały mniejsze wynagrodzenia. Skutek dla osoby oczywiście możemy dalej rozpatrywać, ale nie o to w dzisiejszym przypadku chodzi.
Wyłączcie na moment myślenie prawnicze. Niezależnie, czy jesteście prawnikami, czy zostało wam narzucone.
W zmianie zrobił się tzw. „kwas” (atmosfera w pracy). Brygadzista został oskarżony o to, że „zgubił” karty z zemsty na jednej z pracownic, która się nie chciała z nim umówić na kawę. A pozostałe karty to tak dla zmyłki. Wielu osobom znów włączy się zagadnienie prawne, mobbing i inne. Ale to nie o to chodzi!
Czy procedura wzmocniona przez IOD (lub managera ochrony danych osobowych / informacji), która wzmogłaby nadzór nad taką kartą, ze szczególnym przeszkoleniem brygadzistów i wskazaniem potencjalnych sankcji mogłaby wesprzeć pracodawcę w tym, aby w zmianie nie nastąpił „kwas”? Czy atmosfera w zmianie wspiera wydajność, efektywność pracy? Czy może jak jest „kwas” to zamiast robić robotę, zmiana dyskutuje, sytuacja się zaognia i efekt biznesowy jest.. delikatnie mówiąc słabszy?
Znam wiele procesów, procedur i polityk, które gdy tylko otworzymy oczy i odejdziemy od prawno-RODO podejścia, a zaczniemy myśleć procesami biznesowymi, to nie dość, że system „wrośnie” w organizację. On jeszcze będzie potrafił ją wspierać. W projektowaniu procesów nazywa się to identyfikacją celów lub efektów synergicznych.
Krótkie, hasłowe podsumowanie studium przypadku:
Biznes nie jest realizowany po to aby NIE MIEĆ KARY (za utratę danych i za mobbing)! Biznes jest realizowany po to aby przynosić zysk, być efektywny i skuteczny. Gdy atmosfera w zespole jest OK, nie mamy takich zdarzeń, które ją psują, a w efekcie wydajność pracy.
Prawnik… na złe czasy
Jest pewien czynnik, który powoduje, że RODO i systemy związane z ochroną danych (nie tylko) są postrzegane jako coś, co nie wspiera biznesu w jego codziennym działaniu. Tak, jak umowy, są tworzone nie na dobrą współpracę, a na złe czasy (słowa prawnika). RODO postrzegane jako problem prawny, podsycane nadmiarem już informacji o karach, orzeczeniach sądów w opinii wielu zaradzających jawi się jako coś, czego się trzeba bać. Do czego trzeba się przygotować (do wojny najpierw z organem, a potem znów z organem, ale na sali sądowej). W ten sposób trudno jest zbudować zaufanie do tego, że jest to fajne rozwiązanie, które wspiera szacunek dla naszych klientów, partnerów, pracowników i innych osób, związanych z organizacjami. Że tam są zaszyte naprawdę sensowne i ciekawe rozwiązania, które wesprą to, co chce (lub musi) robić wiele firm.
Społecznie odpowiedzialny biznes.
W roku 2010 obowiązywała Ustawa o ochronie danych osobowych w poprzednim wydaniu. Polityki Bezpieczeństwa Danych Osobowych, które tworzyłem zaczynały się od słów:
Zarząd…, świadomy zagrożeń związanych z przetwarzaniem danych osobowych, w celu ochrony pracowników, kontrahentów, klientów, wdraża niniejszą Politykę Bezpieczeństwa Danych Osobowych.
Od tego zaczynało się zrozumienie, że może to być świetny element marketingu, zwłaszcza w tych firmach. Kosmetyki czy farmacja. Producenci marek, które widać na co dzień na półkach.
Może warto?
PS podobnie jest z BHP i innymi systemami. Akurat BHP to świetny przykład. Jeśli jest wdrażane „bo Kodeks Pracy…” to jest to droga przez mękę. Ale jeśli spojrzymy na organizacje, które przeszły do wyższego poziomu świadomości i zaczęły robić dni bezpieczeństwa to nagle okazuje się, że to BHP nie jest takie straszne. Mało tego, pani Ania opatrzyła dziecku dłoń po oparzeniu. Umiała, bo nauczyła się na dniach bezpieczeństwa.
Może warto…?
