Wdrożenie typu „nie daj się złapać” polega na wnikliwym śledzeniu wystąpień publicznych pracowników organów (konferencje, sympozja) treściach zamieszczanych artykułów, śledzenia wywiadów z organem (Prezes jest organem), a także wystąpień pisemnych, wezwań, nałożonych kar z uzasadnieniami oraz późniejszych potyczek sądowych.
Dlaczego we wdrożeniu RODO i nie tylko (inne systemy podobnie) to nie zadziała?
Pierwszy argument praktyczny
Ilość kontroli organu zakończonej nałożeniem kary i nakazaniem działania (lub materiał o mniejszej wadze – artykuły i wystąpienia) musiałaby być równa ilości przepisów i wymagań z nich wynikających. A i tak należałoby to jeszcze przemnożyć przez ilość zakresów działania, czyli choćby przez kategorie w Polskiej Klasyfikacji Działalności (PKD).
Drugi argument praktyczny
Celem wydania RODO nie jest zaspokojenie fantazji organu. Celem jest ochrona osoby fizycznej w związku z przetwarzaniem jej danych osobowych. Nawet nie jest to ochrona danych jako cel, a raczej jako narzędzie.
Trzeci argument praktyczny
Jeśli wdrożenie na zasadzie – nie daj się złapać, oparte będzie nawet na wszystkich orzeczeniach, sporach w sądach czy wystąpieniach, to nadal nie ma pewności, że obsłużone zostały w sposób poprawny i prawidłowy wszystkie wymagania. A to oznacza (to ten argument), że niezależnie od nałożonej kary i tak będzie trzeba udać się do kogoś, kto wymagań RODO nie szuka w treści orzeczeń, czy czytaniu i próbie wyobrażania sobie wymagań przy 53.276 lekturze RODO.
Argumentów może być wiele więcej, mam nadzieję, że ten wstęp uzmysłowi czytelnikowi, że to nie jest najlepsza droga do budowania skutecznego i sprawnego systemu ochrony danych osobowych.
Jak nie tak, to jak?
Muszę napisać o inspiracji do niniejszego felietonu. Otóż w trakcie naszych spotkań on-line porównaliśmy jak wygląda praca organów w Polsce i w Wielkiej Brytanii. Pracując 6 lat w UK moje systemy były poddawane wielu kontrolom (ICO, HSE, Council). I w każdych model był identyczny:
- Analiza dokumentacji – 15 minu (przy kawie)
- Sprawdzenie jak to działa (czyli realizacja ROZLICZALNOŚCI, która po angielsku brzmi TO DEMONSTRATE, a więc zademonstrujcie) – pozostałe 2-3 godziny.
Zdecydowanie ICO nie będzie nas kontrolować, co najwyżej inne organy nadzorcze a także nasz PUODO więc system i jego skuteczność musi być demonstrowana adekwatnie do kultury panującej w danym kraju. Zakładając, że jednak 99% kontroli to jednak nasz krajowy PUODO – czyli Prezes Urzędu Ochrony Danych Osobowych, to pod niego szykujemy. Ale nie system, a dowody.
System ma być zbudowany tak, jak wymaga tego przepis, a nie jak wyobraża to sobie konkretny urzędnik organu. Ma być dopasowany do kultury organizacyjnej, procesów, kontekstu organizacji, celów działania (to oznaczamy kontekstem przetwarzania). A my mamy przedstawić go urzędnikowi (zademonstrować) i pokazać jak działa. I że działa (skutecznie realizuje zadania).
Mała uwaga. Z doświadczenia (22 lata w ochronie danych osobowych w Polsce) organ również zmienia zdanie. Mam w przepastnych zasobach nie tylko poradniki GIODO, w których pojawiło się troszkę błędów (w poradnikach PUODO są również). Jednak każdy kto wie czym był sławetny DOLIS w GIODO, wie… i ma stanowiska, które zostały „zniknięte” ze stron i pojawiły się nowe. Całkiem inne.
Podsumowanie
Zachęcam od lat do tego, aby nie budować systemów pod urzędnika. W BHP czy ochronie przeciwpożarowej jest to wręcz niemożliwe i nierealne. Dywagowanie w dokumentach, jak nam się wydaje, aby PSP nie wyłączyło obiektu z użytkowania, a Inspekcja Pracy np. nie nałożyła kary, czy nie wyłączyła linii produkcyjnej. A przecież te systemy są oparte na równorzędnych prawach i wolnościach, co prawo do ochrony informacji o sobie.
Gdy systemy będą skuteczne do celu, nie będziemy obawiać się wizyty urzędnika.
