ZNAĆ PRAWO. Wspaniałe określenie, występujące w naprawdę wielu przepisach. Tak, tak… to nie wymysł RODO. To zapis występujący praktycznie we wszystkich obowiązkowych systemach ochrony działających w organizacji. A jest ich trochę. Po kolei, tak aby czytelnik zrozumiał, dlaczego wypełnienie w potocznym rozumieniu jest praktycznie niemożliwe. Oraz tytułem wprowadzenia do artykułu o tym, czy IOD powinien się brać za “nie swoje”. Przecież wszystko to jest prawo… 

Systemy (bezpieczeństwa) obowiązkowe w organizacjach

  • RODO i ochrona danych
  • Ochrona przeciwpożarowa
  • BHP

Dotyczące mniejszej grupy:

  • Ochrona środowiska. Uwaga, tutaj też mamy zakłady zwiększonego i dużego ryzyka poważnej awarii przemysłowej, a więc dyrektywa SEVESO i masa obowiązków informacyjnych i … danych osobowych. Np. w WPOR – wewnętrznym planie operacyjno-ratowniczym. 

Jeszcze mniejsza grupa:

  • Systemy ochrony fizycznej – dla obiektów obowiązkowej ochrony (spora grupa);
  • Systemy obronności (obiekty szczególnie ważne dla obronności) – też konkretny wykaz.

A z charakterystyk (tak pobieżnie) wynikających z produkcji mamy jeszcze również obowiązkowe:

  • GHP, GMP (dobre praktyki higieniczne i produkcyjne) – dla farmacji i kosmetyków, czy żywności;
  • HACCP  – dla firm związanych z żywnością. 

I wiele innych.

Znać prawo… objętość

Na początek przejdźmy po objętościach tego prawa, które “ma znać” szeregowy pracownik. Dla przypomnienia z reguły na ZAPOZNANIE SIĘ Z REGULACJAMI ma jeden dzień. Maks dwa. Wybiorę tylko kilka z kontraktów:

  • Branża kosmetyczna. Przepisy związane z nadzorem, od dyrektyw (w tym związanych z nano) po rejestrację danych, w tamtym czasie jeszcze odpowiedzialności za tzw produkt niebezpieczny. Około 3 tysiące stron regulacji… A chodziło tylko o małą procedurkę związaną ze zgłoszeniem działania niepożądanego oraz o wskazanie retencji danych jakościowych i zakres tych danych. O tym kiedyś napiszę, bo coraz więcej ludzi wpada w pułapkę zbyt długiej retencji danych osobowych pod RODO z uzasadnieniem ochrony przed roszczeniami. 
  • Branża spożywcza. Podstawą systemów jest tzw Codex Alimentarius oraz rozporządzenie UE. A jakże, takie samo jak RODO, tylko starsze, 852/2004. Plus kilkadziesiąt przepisów w randze ustaw, rozporządzeń do ustaw… Będzie z 5 tys. stron. A to tylko przygotowanie pracowników do pracy (programy wstępne, CCP i masa innych). 
  • A co na co dzień… BHP jest świetnym przykładem. Otóż na podstawie samego art 23715 Kodeksu Pracy wydanych zostało kilkadziesiąt rozporządzeń. Od ogólnych, maszynowych, przez branżowe, a nawet ATEX. Stron nie liczę. Ale też tysiące.

Naprawdę… naprawdę pracownik, nawet kierownik MA ZNAĆ PRAWO? Tak w dosłownym rozumieniu? A RODO? I Kodeks Pracy.. No właśnie, czy zapoznawany jest z CAŁYM Kodeksem Pracy?

A może: znać prawo… 

Jak to pracodawca/administrator/zarządca sobie wymyślił?

Otóż pracodawca (i inne wymienione w nagłówku) w ramach systemów bezpieczeństwa opartych o przepisy prawa coś sobie wymyślił (wymyślili). Choć precyzyjniej brzmi zlecił wymyślenie. Prawo mówi tylko CO ma być zrobione. Kwestia JAK, to już jest kwestia organizatora bezpieczeństwa z danego obszaru, choć nadal jeszcze w polskim systemie prawnym funkcjonują przepisy o charakterze instrukcyjnym, co powoduje duże problemy ze zgodnością (compliance). Ale to na odrębny duży artykuł. Wróćmy do właściwego działania. Na podstawie wiedzy fachowej ekspert w dziedzinie bezpieczeństwa zawsze na początku dobiera rozwiązania w zakresie analizy zagrożeń lub ryzyka (zależnie od obszaru działania). Na podstawie analizy projektuje rozwiązania, tak aby były zgodne z trzema grupami wymagań:

  • Wymagań prawnych – zawartych w przepisach prawa;
  • Wymagań organizacyjnych – tak aby były zgodne z zasadami w organizacji. Tu np. też kwestia tego co w RODO zapisano w art 32 czyli “branie pod uwagę kosztów wdrożenia”;
  • Wymagań klienta – coraz częściej dotyczą samej organizacji jako takiej. Ale w RODO dobrym przykładem jest powierzenie przetwarzania i to jak powierzający zorganizował przetwarzanie danych i bezpieczeństwo w swojej firmie.  

I potem ten ekspert jeszcze wymyśla całą masę spraw. Jak wdrożyć (zarządzanie zmianą), jak nadzorować i audytować (audyt zgodności, audyt bezpieczeństwa w RODO), jak szkolić (zarządzanie wiedzą i szkoleniami), jak obsługiwać incydenty… Tego JAK to wszystko zrobić w przepisach nie ma, dlatego potrzebny jest ten ekspert.

Jak zapewnić zgodność z prawem?

Na naszym ostatnim webinarze o audycie cz. I mówiłem mniej więcej o tym mechanizmie, jaki warto zastosować. Chodzi o dość proste rozwiązanie:

  • Wdrażam rozwiązania i organizację zgodną z przepisem prawa (np. RODO). I ja za to odpowiadam jako organizator systemu bezpieczeństwa. W audycie nazywam to fazą I – oceną zgodności przyjętych rozwiązań z przepisami i innymi kryteriami (kryterium to zbiór wymagań).
  • Organizacja bezpieczeństwa i te rozwiązania, które ma wykonywać pracownik są zapisane w instrukcjach procedurach. I ich stosowanie sprawdzam w fazie II audytu (czyli czy Mietek robi, co powinien). Bo jestem pewien, że właściwie i zgodnie z prawem określiłem zagadnienia do realizacji. 

Wiedza o tym, JAK JEST ZGODNIE Z PRAWEM nie wynika dla pracownika z wiedzy o tym, jaka jest treść aktu prawnego, a z tego jak osoba odpowiedzialna (IOD) określiła działania w organizacji. 

Oczywiście świetnym uzupełnieniem do tego jest wskazanie na podstawie których przepisów prawa dane rozwiązania są oparte. Choć jestem niebywale ciekawy, jak takie “coś” zostanie zrealizowane wobec pracownika z wykształceniem podstawowym, który dane przecież też przetwarza. Tak pod rozwagę, bo kwestia skuteczności szkoleń będzie poruszona nie raz. A motanie człowiekowi, który ma czasem problem z podpisaniem się… Cóż. Dane osobowe naprawdę nie są przetwarzane tylko w HR, księgowości, etc. 

Nieprzekonani? Art 29 RODO

Uwielbiam synergię. To takie działanie, w którym robię jedną rzecz, a mam dwa i więcej efektów. Tutaj podobnie. 

  • Uczę ludzi MOJEJ organizacji ochrony danych osobowych w danej firmie. Za to, że są zgodne z RODO odpowiadam jako ich twórca i mam to wykazać (np. deklaracja stosowania z ISO 27001). 
  • Ucząc ludzi procedur związanych z danymi wykazuję zgodność z art 29, bo TO JA MÓWIĘ JAK ROBIĆ! (Tak dokładnie to administrator, który to zatwierdził wprowadził do stosowania). Innymi słowy określając sposób postępowania POLECAM wykonywanie operacji na danych osobowych w określony sposób. Samo uczenie przepisów o ochronie danych nie spełni tego wymagania. Będzie tylko mową-trawą co ktoś musi. A nie wskazaniem, jak z polecenia administratora przetwarzać. 

Podsumowanie

Tytułem podsumowania. Otóż w wielu przypadkach zdarza(ło) mi się, bo dziś już praktycznie nie audytuję, że ABI (jeszcze wtedy) lub IOD, szczególnie z wykształceniem prawniczym wchodzili w “rozumienie i doradzanie” w innych obszarach prawnych. Ale bazowali na tym jak oni rozumieją konkretny przepis, a nie to jak ten przepis jest wdrożony i realizowany. Innymi słowy, zamiast sprawdzić w jaki sposób osoba posiadająca kwalifikacje branżowe i fachowe, określiła system spełniający wymagania prawne, ABI czy IOD-y (i IODinie) wchodziły w INTERPRETACJE przepisów. Bardzo to niebezpieczne… naprawdę. 

Sprostowanie podsumowania

Nie tylko prawnicy. Zdarzyła mi się sytuacja, gdzie w jednym z zakładów byłem interim safety & security managerem. Odpowiadałem za bezpieczeństwo i ochronę ppoż, ochronę informacji i danych osobowych, nadzorowałem fizyczną i wspierałem BHP z ATEX. Napisałem całkiem zgrabną Instrukcję Bezpieczeństwa Pożarowego. I wysłałem do uzgodnień do wszystkich działów w organizacji. W tym z osobami odpowiedzialnymi za dane osobowe też, bo… przypominam artykuł o tyma gdzie są dane w pożarówce. 

Jedna z uwag do dziś mi się śni. Szef DUR (działu utrzymania ruchu), którego poprosiłem o weryfikację zadań pracowników DUR 

A od jutra wracamy do cyklu “gdzie są dane osobowe”. Bo mam wrażenie, że IOD-i i IOD-inie są żądni wrażeń z innych obszarów, gdzie tylko powinni dotrzeć do instrukcji i procedur (bo to nie ich działanie) i realizować to co tam jest zapisane, a biorą się za układanie. A swoje na pewno zidentyfikowali…? 

PS a gdy coś jest “nieobsłużone” w organizacji, to naprawdę sprawa IODy (IODini też)? Czy może kwestia odrębnego kontraktu?