Jednym z wymagań RODO, które spowodowało i dalej powoduje sporo problemów jest rozliczalność. Przepis art 5. mówi:

  1.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

O ile pierwsza część wymagania z przepisu jest dość prosta do zrozumienia, administrator odpowiada za przestrzeganie sześciu podstawowych zasad, o tyle już druga część jest nieco trudniejsza do realizacji. 

Pułapka pozornej zgodności

W poprzednim artykule opisałem już kwestię pozornej zgodności (quasi-compliance), która polega na stworzeniu zestawu dokumentów, które mają coś wykazać. Pierwsza rzecz, którą na pewno wykazują, to to, że ktoś kto przygotował te dokumenty zna RODO. Jeśli dokumentacja zawiera wytyczne, wymagania, procedury nakazującej administratorowi, procesorowi, osobom przetwarzającym wykonywanie pewnych czynności, najlepiej zgodnych z RODO to nawet jestem w stanie uznać, że twórca tej dokumentacji wykazuje, że wie jak stosować RODO. Takie wykazanie mieliśmy już w wielokrotnie opisanym przypadku jednego ze starostw, w których dochodziło do niszczenia dokumentów. Ale niestety nie do zniszczenia więc… 

Cel…

Ciągle i wciąż będę powtarzał, że celem RODO nie jest spełnienie przepisów prawa jako takich, a zapewnienie bezpieczeństwa osobie fizycznej POPRZEZ spełnienie przepisów prawa. 

Zademonstrować

Piękne określenie, z którym spotkałem się pracując w Wielkiej Brytanii. Nawiasem mówiąc (raczej pisząc) to w UK większość przepisów jest wydawanych właśnie w takiej formule jak RODO. Brak szczegółowych instrukcji, każdy musi sobie sam wymyślić w jaki sposób w jego organizacji wymagania są spełniane. A potem to demonstrować w trakcie wizyty organu. I w tym demonstrowaniu leży cała siła dobrze wdrożonego systemu. 

U nas nie ma niezgodności ani problemów, czyli…

Prezentacja dokumentacji, a demonstrowanie stosowania RODO

Jednym z problemów w stosowaniu RODO w Polsce jest swoiste nastawienie do dokumentowania problemów. Jak nauczyła wielu z nas praktyka, organy nadzorcze jeśli otrzymują jakąkolwiek informację o zauważonej niezgodności, problemie do rozwiązania, czy jakkolwiek to nie nazwiemy, to jest to świetna okazja do… podreperowania statystyki. Mandat, kara, zarzut. I z tym kłóci się nieco idea RODO i właśnie demonstrowania właściwego postępowania. 

A tymczasem sprawność działania systemu to nie posiadanie doskonałego “półkownika” (od półka, nie pułkownik – stopień), w którym wszystko pięknie jest zadeklarowane. Tak, dokładnie o to chodzi z dokumentacją systemową, o deklarację stosowania pewnych rozwiązań, a potem dopiero ich wdrożenie. Ale chyba jeszcze nie pojawił się taki ekspert, który sporządzi od razu doskonałą dokumentację, a już na pewno nie uwierzę w eksperta, który tak doskonale wszystkich przeszkoli i będzie nadzorować, że wykonają w 100% wszystkie procedury w sposób perfekcyjny. Więc zawsze pojawi się błąd, niedociągnięcie, naruszenie ochrony danych. I tu pojawia się kwestia zademonstrowania działania, a nie tylko jego zadeklarowania. 

Przykład – upoważnienia

To nie tylko świetnie wydane upoważnienia, to też świetnie obsłużone zdarzenie bądź naruszenie ochrony danych, związane np. z niewłaściwie wydanym upoważnieniem. 

A w jaki sposób zademonstrujemy? 

Wystarczy krótki opis sytuacji, sposobu wykonania czynności, związanych z uchyleniem upoważnienia. Wydaje się, że jest to banał, ale naprawdę przypomnicie sobie w dniu kontroli zdarzenie, które miało miejsce kilka miesięcy wcześniej? 

A do udowodnienia (zademonstrowania), że działanie było skutecznie przeprowadzone posłużą maile, notatki z rozmowy, czy nawet krótka własna notatka, która pomoże przypomnieć sobie w jaki sposób takie zdarzenie zostało opisane. 

Dodam tylko, że jest to też świetny materiał do analizy zagrożeń oraz szacowania i oceny ryzyka jako dane wejściowe na roczne przeglądy. 

Jak dokumentować, aby zademonstrować?

Zanim opiszę przykłady dokumentowania działań, krótkie wprowadzenie w postaci autentycznego zdarzenia. Kilka lat temu prowadziłem jeden z kryzysów. Organizacji groziło zamknięcie przez organ nadzorczy, a właścicielom i dyrekcji zarzuty karne. W jednym z działań wytworzony został dokument w postaci mapki zakładu, z namazanymi (dosłownie) pomysłami, koncepcjami. Jako, że to była przestrzeń przemysłowa to wiadomo. Nie było zbyt czysto. Więc dokument był poplamiony. Po zakończeniu tych ustaleń, dopisaniu kilku pomysłów poprosiłem lidera bezpieczeństwa o podpis z datą, ja też się podpisałem, też z datą. Tydzień później przyjechało do nas dwóch przedstawicieli organu nadzorczego. Poprosiłem lidera bezpieczeństwa o pokazanie dokumentu opisanego wyżej. Bardzo spłoszony młody człowiek, Polak, powiedział 

  • Ale jak to, przecież urzędnikowi taki dokument… 
  • Tak, proszę to te mapki i nasze pomysły…

Jakie było zdziwienie, jak się okazało że chwilę podyskutowaliśmy nad dokumentem, powiedzieliśmy co i gdzie zaplanowaliśmy i… koniec przeglądu dokumentów. Poszliśmy obejrzeć hale i tym razem mój klient dostał już miesiąc na usunięcie problemów. A nie 24h, czy tydzień jak poprzednim razem. Mimo, że niektóre z problemów nadal nie były usunięte. 

Nie będę pisał tutaj jaki morał z tej historyjki. Chcę raczej przekonać do tego, że:

  • Po pierwsze ochrona danych osobowych, to nie tylko dokumentacja systemowa czy inne, pięknie tworzone na rzecz…
  • Po drugie, jeśli coś robisz w związku z danymi, to to zarejestruj. Jakkolwiek. Onenote, notatki Keep, Evernote, czy nawet notatnik zrobiony w Excelu. 
  • Po trzecie, pamiętaj o tym w trakcie kontroli. Osobiście mam nadzieję, że organ nadzorczy w Polsce będzie działać tak jak cel RODO wskazuje. Sensownie, z głową i mając na względzie, że art 32 mówi też o koszcie wdrożeń niektórych rozwiązań. 

Co dokumentować i jak?

Jak – to już napisałem. A najlepiej tak jak w organizacji jest to przyjęte. Teraz postaram się zestawić w przykładach:

Charakter, kontekst, cel i zakres przetwarzania (art 32 RODO)

Często o tym zapominamy, a przecież na podstawie tego “rozważania” tworzony jest cały system ochrony danych osobowych. 

Formy: notatki ze spotkań, maile (zarejestrowane, a czasem warto wrzucić do folderu kopię maila, żeby mieć materiał do następnych rozważań), notatki z rozmów, aby nie uciekło. PS naprawdę jeśli macie dobrze przygotowane spotkanie, to zarząd czy kierownictwo nie odmówi udziału w spotkaniu. Warunek: prezentacja typu one-page (na jednej stronie), 30 minut na jedno spotkanie. A całość rozważenia podzielone właśnie na takie małe “sprinty” (tematycznie bądź obszarowo). 

Cel: zademonstrowanie, że ochrona danych osobowych opiera się na wymaganiach z art 32 RODO i pozostałe czynności, działania, aktywności odnoszą się do wyniku (skutku) rozważania: jakie dane, do czego przetwarzamy, w jakim kontekście i jaki jest charakter przetwarzania. Czyli odnosząc do celu wydania RODO – jesteśmy pewni tego co robimy i jesteśmy pewni, że robimy to dobrze

Rezygnacja z informowania osób, których dane dotyczą, pozyskanych z innych źródeł (art 14 RODO)

Aby zademonstrować organowi, że dokonaliśmy rozważenia przesłanek z art 14.5 RODO po prostu musimy pamiętać, jak tego dokonaliśmy. I nie może to być prosta analiza ile kosztuje znaczek (patrz casus Bisnode), a w zależności od tego z której konkretnie przesłanki będziemy korzystać, tak zastanawiamy się, czy możemy. Dla przykładu art 14.5.a – osoba dysponuje już tymi informacjami:

Forma: jeśli ta informacja została wcześniej przekazana, warto zarejestrować formę w jakiej informacja zostaje dostarczona. Jeśli czynności dokonuje inny admin, prośba o to, aby dostarczył formę oraz opis. 

Cel: Zademonstrowanie, że działanie jest zgodne z przepisami (zgodność z prawem) oraz wykazanie, że jesteśmy pewni, że osoba wie o tym, jakie dane, do czego przetwarzamy (itd z art 14 ust 1 i 2). Czyli odnosząc do celu wydania RODO – jesteśmy pewni, że gwarantujemy osobie której dane przetwarzamy prawo do pełnej wiedzy

Podsumowanie

Wydawać by się mogło, że to masa pracy i nagle ktoś się zakopie w papierach. Mam niestety złą (chyba) nowinę. Tak pracują inne działy w firmach. Szef produkcji rejestruje zdarzenia związane z produkcją, aby udowodnić potem właściwość postępowania, szef utrzymania ruchu podobnie, aby np. przed Inspekcją Pracy wykazać zgodność. 

Faktem jest, że wielu IOD czy managerów bezpieczeństwa na abonamentach, z pobranymi kontraktami po 100 i więcej na osobę na pewno nie wykonuje tych zadań. Ale czy to jest wyznacznikiem jakości pracy? 

I tak, celowo napisałem IOD. Bo nawet jeśli on tego nie robi osobiście, w co nie do końca wierzę, bo jednak rola IOD w wielu firmach sprowadza się do połączenia funkcji kierowniczej z nadzorczą, to jednak powinien nadzorować. A więc wiedzieć i przeglądać dowody, na skuteczność działania całego systemu. 

Wspieramy organ nadzorczy

Druga rzecz, która jest dość istotna. Organ nadzorczy w Polsce ma dość duży problem na dziś ze zmianą podejścia z działań opartych o jednolite dokumenty w każdej firmie, na podejście o charakterze nadzorczo-doradczym (co uważni już wyłapali w przepisach RODO). Właściwe demonstrowanie działań, z opisami i materiałami, tym co nam przyświecało miesiąc, rok temu, pozwoli inspektorom na zrozumienie filozofii RODO jaką przyjęliśmy w naszej firmie. Bo celem jest… ale to już pisałem. 

Bonus – tips&tricks

Dwa zdania na koniec jak się przygotować do kontroli organu nadzorczego w podobnym modelu. Nic nowego, strategia stara i znana. Nazywa się dobry i zły policjant, z drobnymi modyfikacjami. 

Wykonanie:

  • Znajdź kolegę, koleżankę (może być spoza firmy) z doświadczeniem z kontrolami organów nadzorczych. Nie musi być PUODO, mogą być jakiekolwiek inne, działają podobnie. To będzie zły policjant.
  • Wybierz osobę w firmie, która może być kontrolowana (kierownik, manager, HR, czy cokolwiek, co ma dużo danych). Na początek jedną. To będzie… kontrolowany. 

Znasz już swoją rolę? Będziesz dobrym policjantem. Pomożesz koledze w odpowiadaniu, nakierowując na to, gdzie i co jest zapisane i co jest czym. Bo niestety słownik używany przez inspektorów różnić się może nawet znacząco od normalnego słownika. 

Podpowiedź dla zespołów konsultingowych (firm świadczących usługi). 

Jak już wiele razy pisałem, wycofuję się z konsultingu, a szkolenia, edukacja to ten kierunek, gdzie działam. Więc nie pytajcie czemu oddaję swoje pomysły. 

Zespół składa się z dwóch osób:

  • Konsultant 1 – inspektor;
  • Konsultant 2 – (interim) manager. 

Ten pierwszy jest u klienta raz na 2-3 miesiące. Ten drugi zgodnie z kontraktem prowadzi wdrożenie, czy doskonalenie systemu. 

Wizyta Konsultanta 1 wygląda jak prawdziwa inspekcja, czy kontrola. Ale tutaj rolę osoby odpowiedzialnej za ochronę danych przejmuje Konsultant 2, ucząc pracowników administratora wypowiadania się, używania słów branżowych, szukania odpowiedzi na zmyłkowe a czasem niejasne pytania “inspektora”. Ręczę, że po 2-3 miesiącach zademonstrowanie systemu inspektorowi będzie tak samo proste jak.. no będzie proste. 

Udanej zabawy!

1 KOMENTARZ

Comments are closed.