Skuteczne wdrożenie RODO, to nie tylko procedury czy obowiązki informacyjne. Aby nasza organizacja była zgodna z RODO, potrzebne jest także zbudowanie wśród pracowników i współpracowników odpowiedniego poziomu wiedzy dotyczącej ochrony danych osobowych.
Czym jest RODO świadomość? Jak ją zbudować? I jakie mamy doświadczenia na tym polu – tego wszystkiego dowiesz się czytając poniższy tekst. Zapraszam do lektury!
RODO świadomość i procedury
Skuteczne wdrożenie RODO składa się z dwóch, równie istotnych części.
1. Części prawno-proceduralnej, składającej się z:
- zgodnych z RODO procedur wewnętrznych,
- odpowiednio skonstruowanych obowiązków informacyjnych,
- oparcia procesów przetwarzania danych na podstawie właściwych przesłanek legalności,
- a także wielu innych elementów, których przygotowanie wymaga wiedzy prawniczej, umiejętności tworzenia procedur, etc.
Powyższej części poświęcona jest większość artykułów na naszym blogu.
2. Części dotyczącej odpowiedniego poziomu znajomości przepisów i zasad RODO wśród personelu Administratora danych osobowych, którą dzisiaj weźmiemy na warsztat.
Co to jest RODO świadomość?
O Pisanie o odpowiednim poziomie wiedzy dotyczącej ochrony danych osobowych jest łatwe, ponieważ jest ona czymś ulotnym i trudnym do zmierzenia, czy zdefiniowania.
Osobiście termin RODO świadomości rozumiem jako:
„poziom praktycznej znajomości wewnętrznych procedur ochrony danych osobowych wśród pracowników organizacji.”
Poziom świadomości określimy jako wysoki (dla nas wysoce pożądany), jeśli pracownicy:
- znają podstawowe definicje z zakresu RODO (np.: dane osobowe, administrator danych, przetwarzanie),
- wiedzą w jaki sposób i komu raportować incydenty ochrony danych osobowych,
- wiedzą kto pełni funkcję IOD (lub inną kluczową funkcję w zakresie ochrony danych osobowych) w organizacji oraz jak się z nim skontaktować,
- informują odpowiednie osoby o konieczności podpisania umowy powierzenia,
- wiedzą, że wdrożenie nowych rozwiązań wymaga wcześniejszego skonsultowania się z odpowiednią osobą (np. IODem),
- wiedzą komu należy zgłaszać maile od osób domagających się np. usunięcia swoich danych osobowych,
- i wiele innych elementów związanych z profilem działalności organizacji.
Kwestia definicji znalazła się na pierwszej pozycji nieprzypadkowo. Jeśli pracownik nie wie czym są dane osobowe, trudno oczekiwać od niego skutecznej realizacji procedur.
Zobrazuje całość praktyczną sytuacją, która przydarzyła się naszej ekspertce:
Znajomy trener judo miał takie powiedzenie „jeśli nie umiesz zawiązać pasa od judogi, to zachodzi obawa granicząca z pewnością, że nie wykonasz poprawnie techniki, która jest czymś znacznie bardziej skomplikowanym.”
Eksperci od RODO mogą postawić analogiczną tezę: „Jeśli Twoi pracownicy nie potrafią odróżnić danych osobowych od innych informacji, to zachodzi obawa, granicząca z pewnością, że nie będą potrafili również zrealizować praw osoby trzeciej czy wykryć i zaraportować o incydencie.”
Zwiększ RODOświadomość w organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Jak zbadać poziom RODO świadomości w mojej organizacji?
Wcześniej wspominałem już o tym, że RODO świadomość trudno jest zmierzyć. Inne elementy wdrożenia, jak np. Rejestr Czynności Przetwarzania łatwo zweryfikować i sprawdzić – albo jest albo go nie ma.
RCP może być oczywiście skonstruowany w sposób zgodny z RODO, bądź nie. Niemniej jednak, to również jest łatwe do sprawdzenia.
RODO świadomość na szczęście też można zweryfikować!
My sprawdzamy ją już od 2013 roku. Oczywiście przed RODO była świadomość UODO (ustawy o ochronie danych osobowych z 1997 r.).
Badanie odbywa się poprzez wręczenie pracownikom anonimowej ankiety. Za pomocą prostych pytań, jesteśmy w stanie sprawdzić czy w naszej organizacji RODO jest tylko na papierze, czy jest również stosowane w praktyce.
Zapraszamy do skorzystania z przygotowanych przez nas ankiet. Mogą je Państwo otrzymać, po zapisaniu się do naszego Newslettera (ikonka białej koperty na zielonym tle po lewej stronie).
Skorzystaj z naszego bezpłatnego RODO-szkolenia dla pracowników w formie video…
… albo audio
Jakie są przyczyny niesatysfakcjonującego poziomu znajomości RODO?
Poniżej wytypuję przyczyny braku RODO świadomości, z którymi spotykam się najczęściej.
Nawet najlepsze RODO procedury wymagają streszczenia i zaprezentowania pracownikom w łatwo przyswajalnej formie. Osoby, które w szybki i skuteczny sposób potrafią przyswajać abstrakcyjną wiedzę proceduralną, to zdecydowana mniejszość.
Jeśli przygotujemy RCP, w którym wyodrębnimy kilka tysięcy procesów przetwarzania danych osobowych, to w zdecydowanej większości przypadków, zwyczajnie przesadziliśmy.
Zbyt skomplikowana procedura nie ma szans stać się skuteczną. Pamiętajmy o tym, że w zdecydowanej większości organizacji, pracownicy i tak są przeładowani ilością procedur, systemów informatycznych czy wytycznych.
Przykład idzie z góry. Jeśli osoby decyzyjne same odnoszą się do RODO lekceważąco, to trudno oczekiwać wysokiego poziomu świadomości od pracowników.
Pracownicy muszą czuć, że ochrona danych osobowych w ich organizacji, nie jest jedynie pustym sloganem.
Jeśli zespół ma zbyt dużo na głowie, to nawet mimo najlepszych chęci i sprawnego systemu szkoleń, trudno będzie o zbudowanie RODO świadomości. Eliminacja tej przyczyny jest o tyle trudna, że tkwi w samym sposobie funkcjonowania organizacji. Mimo najlepszych chęci i umiejętności IODa, może okazać się, że niewiele da się zrobić.
Nawet najlepsze i świetnie zakomunikowane procedury, to nie wszystko. Po jakimś czasie musimy sprawdzić, czy procedury są egzekwowane w praktyce.
A jeśli okaże się, że nie – potrzebne jest ustalenie przyczyn i wyciągnięcie konsekwencji braku stosowania się do wewnętrznych zasad i reguł.
Konsekwencje niskiego poziomu RODO świadomości
Oddaję głos naszym ekspertom:
- zwolnienia dyscyplinarnego,
- zgłoszenia naruszenia do UODO i poinformowania o nim osób, których dane dotyczą,
- kierowania przez osoby poszkodowane pism i pozwów z żądaniem zadośćuczynienia za poniesione straty.
Skuteczne narzędzia podnoszenia poziomu wiedzy z zakresu RODO
Mam nadzieję, że mnie i naszemu Zespołowi udało się Państwa przekonać o tym, że RODO świadomość to fundament.
Przechodzimy do sedna. Jakie praktyczne rozwiązania dadzą satysfakcjonujący efekt?
W ten proces musimy zaangażować samych siebie i pracowników! Ważne jest odbywanie cyklicznych spotkań, sprawdzanie postępów w pracach, monitorowanie stanu podpisanych umów powierzenia etc. Ważna jest również adekwatność podejmowanych działań.
Sugeruję szukanie złotego środka. Zbyt dużo czasu i uwagi poświęcone RODO, może skutkować zniechęceniem do tematu i zaniedbaniem innych kluczowych obowiązków.
Oczywiście równie negatywne skutki będą płynęły z poświecenia tematowi prywatności zbyt małej ilości czasu.
Z pewnością poznanie przez pozostałych pracowników IODa lub innej osoby odpowiedzialnej, pomoże w nawiązaniu relacji. O prowadzeniu szkoleń poświęciliśmy już cały artykuł na naszym blogu tutaj.
Doskonale sprawdzają się jako uzupełnienie szkolenia tradycyjnego. Przypominam o tym, że w naszym sklepie dostępne są dwie ścieżki szkoleń e-learningowych:
Oraz uwaga, uwaga na sam koniec nasza nowa praktyka budowania RODO świadomości.
Wyszliśmy z założenia, że chcemy nadać RODO procedurom namacalny i realny kształt. Dla zdecydowanej większości pracowników organizacji np. polityka ochrony danych, to abstrakcyjny dokument.
Przechowywany często w formie wirtualnej, napisany językiem prawniczym, nierzadko niezrozumiałym dla przeciętnego pracownika.
A jeśli RODO stanie się widoczne dla każdego pracownika naszej organizacji, w nieco bardziej przystępny sposób? Zobacz jakie przykładowe warianty plakatów RODO – informacyjnych przygotowaliśmy dla naszych Klientów:
Wariant 1 Wariant 2 Wariant 3Chcesz zwiększyć świadomość pracowników za pomocą takiego plakatu?
Skorzystaj z naszego gotowego rozwiązania. Zamów plakat, a my odpowiednio go dla Ciebie przygotujemy i uzupełnimy danymi „człowieka od RODO” w Twojej organizacji.
Nie daj zapomnieć pracownikom o RODO 🙂
SprawdźPodsumowanie
Mam nadzieję, że zainteresowałem Państwa budowaniem RODO świadomości. Nie ma tutaj dróg na skróty, a nasze doświadczenie pokazuje, że tylko zestawienie różnych podejść i praktyk daje trwałe efekty. Zachęcam do dzielenia się pomysłami i doświadczeniami z zakresu budowania RODO świadomości!
Pobierz artykuł w PDFŹródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 (jako IOD).
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Jestem zapisany do newslettera, jak mogę pobrać ankiety wspomniane w artykule o budowaniu RODO świadomości?
Dzień dobry :-), przy zapisie na newsletter do każdego przychodzi mail potwierdzający zapis. W treści jest link do pobrania ankiet. Pozdrawiamy!