Wdrożenie typu „nie daj się złapać” w RODO

Przeczytaj koniecznie!

Niezbędność

Styczeń z RODOmaniakami

Alkomaty raz jeszcze

Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener.

Wdrożenie typu „nie daj się złapać” polega na wnikliwym śledzeniu wystąpień publicznych pracowników organów (konferencje, sympozja) treściach zamieszczanych artykułów, śledzenia wywiadów z organem (Prezes jest organem), a także wystąpień pisemnych, wezwań, nałożonych kar z uzasadnieniami oraz późniejszych potyczek sądowych.

Dlaczego we wdrożeniu RODO i nie tylko (inne systemy podobnie) to nie zadziała?

Pierwszy argument praktyczny

Ilość kontroli organu zakończonej nałożeniem kary i nakazaniem działania (lub materiał o mniejszej wadze – artykuły i wystąpienia) musiałaby być równa ilości przepisów i wymagań z nich wynikających. A i tak należałoby to jeszcze przemnożyć przez ilość zakresów działania, czyli choćby przez kategorie w Polskiej Klasyfikacji Działalności (PKD).

Drugi argument praktyczny

Celem wydania RODO nie jest zaspokojenie fantazji organu. Celem jest ochrona osoby fizycznej w związku z przetwarzaniem jej danych osobowych. Nawet nie jest to ochrona danych jako cel, a raczej jako narzędzie.

Trzeci argument praktyczny

Jeśli wdrożenie na zasadzie – nie daj się złapać, oparte będzie nawet na wszystkich orzeczeniach, sporach w sądach czy wystąpieniach, to nadal nie ma pewności, że obsłużone zostały w sposób poprawny i prawidłowy wszystkie wymagania. A to oznacza (to ten argument), że niezależnie od nałożonej kary i tak będzie trzeba udać się do kogoś, kto wymagań RODO nie szuka w treści orzeczeń, czy czytaniu i próbie wyobrażania sobie wymagań przy 53.276 lekturze RODO.

Argumentów może być wiele więcej, mam nadzieję, że ten wstęp uzmysłowi czytelnikowi, że to nie jest najlepsza droga do budowania skutecznego i sprawnego systemu ochrony danych osobowych.

Jak nie tak, to jak?

Muszę napisać o inspiracji do niniejszego felietonu. Otóż w trakcie naszych spotkań on-line porównaliśmy jak wygląda praca organów w Polsce i w Wielkiej Brytanii. Pracując 6 lat w UK moje systemy były poddawane wielu kontrolom (ICO, HSE, Council). I w każdych model był identyczny:

  • Analiza dokumentacji – 15 minu (przy kawie)
  • Sprawdzenie jak to działa (czyli realizacja ROZLICZALNOŚCI, która po angielsku brzmi TO DEMONSTRATE, a więc zademonstrujcie) – pozostałe 2-3 godziny.

Zdecydowanie ICO nie będzie nas kontrolować, co najwyżej inne organy nadzorcze a także nasz PUODO więc system i jego skuteczność musi być demonstrowana adekwatnie do kultury panującej w danym kraju. Zakładając, że jednak 99% kontroli to jednak nasz krajowy PUODO – czyli Prezes Urzędu Ochrony Danych Osobowych, to pod niego szykujemy. Ale nie system, a dowody.

System ma być zbudowany tak, jak wymaga tego przepis, a nie jak wyobraża to sobie konkretny urzędnik organu. Ma być dopasowany do kultury organizacyjnej, procesów, kontekstu organizacji, celów działania (to oznaczamy kontekstem przetwarzania). A my mamy przedstawić go urzędnikowi (zademonstrować) i pokazać jak działa. I że działa (skutecznie realizuje zadania).

Mała uwaga. Z doświadczenia (22 lata w ochronie danych osobowych w Polsce) organ również zmienia zdanie. Mam w przepastnych zasobach nie tylko poradniki GIODO, w których pojawiło się troszkę błędów (w poradnikach PUODO są również). Jednak każdy kto wie czym był sławetny DOLIS w GIODO, wie… i ma stanowiska, które zostały „zniknięte” ze stron i pojawiły się nowe. Całkiem inne.

Podsumowanie

Zachęcam od lat do tego, aby nie budować systemów pod urzędnika. W BHP czy ochronie przeciwpożarowej jest to wręcz niemożliwe i nierealne. Dywagowanie w dokumentach, jak nam się wydaje, aby PSP nie wyłączyło obiektu z użytkowania, a Inspekcja Pracy np. nie nałożyła kary, czy nie wyłączyła linii produkcyjnej. A przecież te systemy są oparte na równorzędnych prawach i wolnościach, co prawo do ochrony informacji o sobie.

Gdy systemy będą skuteczne do celu, nie będziemy obawiać się wizyty urzędnika.

- REKLAMA -spot_img

Ostatnio dodane