Aby właściwie zaplanować ochronę danych osobowych w organizacji, należy dobrze poznać i zdefiniować strukturę organizacyjną. Na podstawie tej wiedzy dopiero będzie można określić poziomy zarządzania ochroną danych osobowych, przypisać role i funkcje oraz sprecyzować zadania dla każdego członka personelu bezpieczeństwa.

WAŻNE

Personel bezpieczeństwa, w rozumieniu #RODOmaniaków to każda osoba, której wyznaczono jakiekolwiek zadanie w ochronie danych osobowych. Członkiem personelu będzie zarówno manager bezpieczeństwa informacji, szef ochrony fizycznej, specjalista IT, ale też i osoba sprzątająca, która w przypadku znalezienia wydruków z danymi osobowymi musi podjąć konkretne działania.

W niniejszym artykule skupimy się na dwóch podstawowych strukturach:

  • Struktura sztabowo-liniowa
  • Struktura macierzowa.

Struktura sztabowo-liniowa

Mimo dość militarnej nazwy, jest to jedna z bardziej typowych struktur organizacyjnych w firmach i organizacjach. Jej istota polega na tym, że komórki organizacyjne są wydzielone i mają przypisane konkretne zadania w organizacji, natomiast sztab tworzą osoby, rzadziej komórki, specjalizujące się w konkretnym obszarze działania, który dotyczy całej organizacji.

Przykładami sztabów jest:

  • Służba BHP
  • Pełnomocnik ds. Jakości
  • Inspektor Ochrony Danych Osobowych.

Dla kogo?

Struktury sztabowo-liniowe sprawdzą się doskonale w większości organizacji, w których zadania związane z ochroną danych osobowych są na poziomie podstawowym. Podpowiedzią może być przepisy, wskazujące na konieczność wykonania analizy wpływu na ochronę danych. Tam, gdzie nie występuje istotne ryzyko naruszenia praw i wolności, struktura ta będzie wystarczająca.

Uwaga: przyjęcie struktury sztabowo-liniowej nie oznacza występowania tylko jednego sztabu. Dawne rozwiązania oparte o lokalnych ABI (administratorów danych osobowych) czy obecne oparte o wewnętrzną strukturę komórki bezpieczeństwa danych osobowych, z przedstawicielami w oddziałach firmy nadal mogą być strukturami sztabowo-liniowymi.

Zalety:

  • Spójność systemu
    System “prowadzony” jest przez jedną osobę, która nadzoruje całą firmę.
  • Szybkość decyzji
    Z reguły komórki o charakterze sztabowym podlegają bezpośrednio zarządzającemu;
  • Szybkie wdrożenie nowej wiedzy
    Jedna osoba pozyskuje wiedzę i wprowadza ją do organizacji;

Wady:

  • Mała elastyczność
    Ograniczona ilość osób, często jedna, uniemożliwiają działanie w kilku miejscach na raz.
  • Większe ryzyko błędu
    Wiele rozwiązań wdrażanych jest jednoosobowo, bez konsultacji innych ekspertów z dziedziny ochrony danych osobowych;
  • Możliwość braku realizacji zadań
    Duże ryzyko przerwania działań lub braku ciągłości w wyniku chroby, czy zwolnienia;

Struktura macierzowa

Struktura macierzowa powstaje przy nałożeniu na klasyczną strukturę, np liniową dodatkowych zespołów czy grup wydzielonych z organizacji w celu realizacji konkretnych zadań. W przypadku ochrony danych osobowych niemal zawsze mamy do czynienia z taką strukturą na etapie tworzenia systemu ochrony danych osobowych. Osoby na co dzień pracujące w konkretnych działach np. administracji, produkcji, kadr, otrzymują dodatkowe zadania, często formalnie wchodząc w skład zespołu zadaniowego, czy grupy projektowej.

Czasem warto jednak utrzymać tę strukturę w późniejszym działaniu. Ponownie, jako kryterium zalecanym do ustanowienia i utrzymania struktury jest ryzyko naruszenia praw i wolności osób, których dane przetwarzamy.  

Dla kogo?

Struktury macierzowe sprawdzą się doskonale tam, gdzie wymagany jest cały zespół. Umożliwiają tworzenie tzw. zespołów nieeetatowych, ale powoływanych w sytuacji wymagających działania przygotowanych i sprawdzonych osób. Mogą to być:

  • Audyty ochrony danych osobowych
  • Audyty bezpieczeństwa danych osobowych
  • Obsługa naruszenia ochrony naruszenia, czy incydentu bezpieczeństwa informacji (tzw. IRT – incident response team).

Zalety:

  • Duży zespół
    Możliwa jest wymienność stanowisk i zastępowanie osób nieobecnych;
  • Mniejsze ryzyko błędu
    Członkowie zespołu pracują w swoich komórkach macierzystych, są łatwiej dostępni jako konsultanci;
  • Możliwość konsultacji rozwiązań
    Wiele osób w zespole, znających konkretny system ochrony danych osobowych umożliwia szersze i lepsze konsultacje;

Wady:

  • Dwuwładza
    Każdy z członków zespołu ma dwóch przełożonych – w zespole i swojego nominalnego, w dziale czy komórce organizacyjnej.
  • Wydłużenie czasu decyzji
    Większe zespoły oznaczają dłuższe podejmowanie decyzji wynikające ze skłonności do dłuższych dyskusji;
  • Wyższe koszty
    Zespół z reguły powoływany jest formalnie, co oznacza, że pojawia się konieczność jego obsługi, co podnosi koszty administracyjne;

Podsumowanie

Podejmując decyzję o tym, jaka struktura będzie właściwa dla zespołu ochrony danych osobowych warto kierować się kryteriami ryzyka naruszenia praw i wolności. W uproszczeniu jeśli w organizacji zachodzą przesłanki do wykonania analizy wpływu na ochronę danych osobowych (DPIA), warto rozważyć strukturę macierzową i powołać formalny zespół, ze swoją własną strukturą.

Więcej o omówionych strukturach (strony Encyklopedii Zarządzania):