Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Budowanie RODO świadomości w organizacji

Skuteczne wdrożenie RODO, to nie tylko procedury czy obowiązki informacyjne. Aby nasza organizacja była zgodna z RODO, potrzebne jest także zbudowanie wśród pracowników i współpracowników odpowiedniego poziomu wiedzy dotyczącej ochrony danych osobowych.

Czym jest RODO świadomość? Jak ją zbudować? I jakie mamy doświadczenia na tym polu – tego wszystkiego dowiesz się czytając poniższy tekst. Zapraszam do lektury!

RODO świadomość i procedury

Skuteczne wdrożenie RODO składa się z dwóch, równie istotnych części.

1. Części prawno-proceduralnej, składającej się z:

    • zgodnych z RODO procedur wewnętrznych,
    • odpowiednio skonstruowanych obowiązków informacyjnych,
    • oparcia procesów przetwarzania danych na podstawie właściwych przesłanek legalności,
    • a także wielu innych elementów, których przygotowanie wymaga wiedzy prawniczej, umiejętności tworzenia procedur, etc.

Powyższej części poświęcona jest większość artykułów na naszym blogu.

2. Części dotyczącej odpowiedniego poziomu znajomości przepisów i zasad RODO wśród personelu Administratora danych osobowych, którą dzisiaj weźmiemy na warsztat.

Co to jest RODO świadomość?

O  Pisanie o odpowiednim poziomie wiedzy dotyczącej ochrony danych osobowych jest łatwe, ponieważ jest ona czymś ulotnym i trudnym do zmierzenia, czy zdefiniowania.

Osobiście termin RODO świadomości rozumiem jako:

„poziom praktycznej znajomości wewnętrznych procedur ochrony danych osobowych wśród pracowników organizacji.”

Poziom świadomości określimy jako wysoki (dla nas wysoce pożądany), jeśli pracownicy:

  • znają podstawowe definicje z zakresu RODO (np.: dane osobowe, administrator danych, przetwarzanie),
  • wiedzą w jaki sposób i komu raportować incydenty ochrony danych osobowych,
  • wiedzą kto pełni funkcję IOD (lub inną kluczową funkcję w zakresie ochrony danych osobowych) w organizacji oraz jak się z nim skontaktować,
  • informują odpowiednie osoby o konieczności podpisania umowy powierzenia,
  • wiedzą, że wdrożenie nowych rozwiązań wymaga wcześniejszego skonsultowania się z odpowiednią osobą (np. IODem),
  • wiedzą komu należy zgłaszać maile od osób domagających się np. usunięcia swoich danych osobowych,
  • i wiele innych elementów związanych z profilem działalności organizacji.

Kwestia definicji znalazła się na pierwszej pozycji nieprzypadkowo. Jeśli pracownik nie wie czym  są dane osobowe, trudno oczekiwać od niego skutecznej realizacji procedur.

Zobrazuje całość praktyczną sytuacją, która przydarzyła się naszej ekspertce:

Małgorzata Zdunek, ekspert ds. ochrony danych osobowych (Lex Artist)
Brak wiedzy na temat podstawowych pojęć z zakresu ochrony danych osobowych może być poważnym problemem przy wdrażaniu RODO. Podczas wdrażania zasad retencji w dużej instytucji finansowej wydawało się, że wszystko przebiega zgodnie z planem. Dokumenty w formie papierowej były segregowane i usuwane, a w systemach informatycznych zastosowano anonimizację. Tak się przynajmniej wszystkim wydawało. Okazało się jednak, że wdrażający zmiany nie mieli świadomości, że dane osób fizycznych prowadzących działalność gospodarczą to również dane osobowe! Cały proces musiał więc zostać rozpoczęty od początku.

Znajomy trener judo miał takie powiedzenie „jeśli nie umiesz zawiązać pasa od judogi, to zachodzi obawa granicząca z pewnością, że nie wykonasz poprawnie techniki, która jest czymś znacznie bardziej skomplikowanym.”

Eksperci od RODO mogą postawić analogiczną tezę: „Jeśli Twoi pracownicy nie potrafią odróżnić danych osobowych od innych informacji, to zachodzi obawa, granicząca z pewnością, że nie będą potrafili również zrealizować praw osoby trzeciej czy wykryć i zaraportować o incydencie.”

Jak zbadać poziom RODO świadomości w mojej organizacji?

Wcześniej wspominałem już o tym, że RODO świadomość trudno jest zmierzyć. Inne elementy wdrożenia, jak np.  Rejestr Czynności Przetwarzania łatwo zweryfikować i sprawdzić – albo jest albo go nie ma.

RCP może być oczywiście skonstruowany w sposób zgodny z RODO, bądź nie. Niemniej jednak, to również jest łatwe do sprawdzenia.

RODO świadomość na szczęście też można zweryfikować!

My sprawdzamy ją już od 2013 roku. Oczywiście przed RODO była świadomość UODO (ustawy o ochronie danych osobowych z 1997 r.).

Badanie odbywa się poprzez wręczenie pracownikom anonimowej ankiety. Za pomocą prostych pytań, jesteśmy w stanie sprawdzić czy w naszej organizacji RODO jest tylko na papierze, czy jest również stosowane w praktyce.

Zapraszamy do skorzystania z przygotowanych przez nas ankiet. Mogą je Państwo otrzymać, po zapisaniu się do naszego Newslettera (ikonka białej koperty na zielonym tle po lewej stronie).

Jakie są przyczyny niesatysfakcjonującego poziomu znajomości RODO?

Poniżej wytypuję przyczyny braku RODO świadomości, z którymi spotykam się najczęściej.

Brak odpowiedniej komunikacji wdrożenia RODO

Nawet najlepsze RODO procedury wymagają streszczenia i zaprezentowania pracownikom w łatwo przyswajalnej formie. Osoby, które w szybki i skuteczny sposób potrafią przyswajać abstrakcyjną wiedzę proceduralną, to zdecydowana mniejszość.

Skomplikowane procedury

Jeśli przygotujemy RCP, w którym wyodrębnimy kilka tysięcy procesów przetwarzania danych osobowych, to w zdecydowanej większości przypadków, zwyczajnie przesadziliśmy.

Zbyt skomplikowana procedura nie ma szans stać się skuteczną. Pamiętajmy o tym, że w zdecydowanej większości organizacji, pracownicy i tak są przeładowani ilością procedur, systemów informatycznych czy wytycznych.

Brak nadania RODO odpowiedniej rangi

Przykład idzie z góry. Jeśli osoby decyzyjne same odnoszą się do RODO lekceważąco, to trudno oczekiwać wysokiego poziomu świadomości od pracowników.

Pracownicy muszą czuć, że ochrona danych osobowych w ich organizacji, nie jest jedynie pustym sloganem.

Przeładowanie pracowników innymi obowiązkami

Jeśli zespół ma zbyt dużo na głowie, to nawet mimo najlepszych chęci i sprawnego systemu szkoleń, trudno będzie o zbudowanie RODO świadomości. Eliminacja tej przyczyny jest o tyle trudna, że tkwi w samym sposobie funkcjonowania organizacji. Mimo najlepszych chęci i umiejętności IODa, może okazać się, że niewiele da się zrobić.

Brak skutecznego egzekwowania procedur

Nawet najlepsze i świetnie zakomunikowane procedury, to nie wszystko. Po jakimś czasie musimy sprawdzić, czy procedury są egzekwowane w praktyce.

A jeśli okaże się, że nie  – potrzebne jest ustalenie przyczyn i wyciągnięcie konsekwencji braku stosowania się do wewnętrznych zasad i reguł.

Konsekwencje niskiego poziomu RODO świadomości

Oddaję głos naszym ekspertom:

Katarzyna Kmiecicka, ekspert ds. ochrony danych osobowych (Lex Artist)
Nieznajomość zasad przetwarzania danych osobowych może prowadzić do poważnych konsekwencji, zarówno dla pracownika, jak i dla pracodawcy. Przesłanie bazy danych klientów (imiona, nazwiska, maile) na swojego prywatnego maila, było dla jednego z pracowników nic nieznaczącą czynnością, a doprowadziło do:
  • zwolnienia dyscyplinarnego,
  • zgłoszenia naruszenia do UODO i poinformowania o nim osób, których dane dotyczą,
  • kierowania przez osoby poszkodowane pism i pozwów z żądaniem zadośćuczynienia za poniesione straty.
Ewelina Rećko, ekspert ds. ochrony danych osobowych (Lex Artist)
Jednym z przykładów niskiego poziomu RODO świadomości, z którą się spotkaliśmy było pozyskiwanie zgody na przetwarzanie danych osobowych, od pracowników na utworzenie służbowego adresu e-mail. Adres składał się z imienia i nazwiska pracownika. Poza dodatkową papierologią takie działanie wywołuje dodatkowe ryzyka prawne. Wyobraźmy sobie sytuację, w której pracownik skorzysta z przysługującego mu prawa i odmówi nam udzielenia zgody. Co wtedy?
Krystian Dobosz, starszy specjalista ds. ochrony danych osobowych (Lex Artist)
Pracownikom może wydawać się, że stosunkowo błaha sytuacja nie wymaga szczególnych działań czy powiadomienia IOD. Przykładem może być sprawa wysyłki informacji o zamówieniu (które zawiera imię, nazwisko, adres dostawy, numer telefonu) na niewłaściwy adres e-mail. Klient wskazał nie swój adres e-mail w treści zamówienia, treść zamówienia trafiła do innej osoby. Pracownicy próbowali rozwiązać tę sytuację we własnym zakresie. IOD został poinformowany dopiero po ok. tygodniu. W tym przypadku na szczęście sprawa została rozwiązana. Co byłoby jednak, gdyby pracownicy uznali, że sami poradzą sobie ze sprawą, która wymaga powiadomienia UODO i osób, których dane dotyczą? IOD powinien być niezwłocznie włączany do każdej sytuacji, w której mogło dojść do naruszenia przetwarzania danych osobowych. Nie może być tak, że IOD dowiaduje się o potencjalnym naruszeniu np. po upływie dłuższego okresu po takim zdarzeniu.

Skuteczne narzędzia podnoszenia poziomu wiedzy z zakresu RODO

Mam nadzieję, że mnie i naszemu Zespołowi udało się Państwa przekonać o tym, że RODO świadomość to fundament.

Przechodzimy do sedna. Jakie praktyczne rozwiązania dadzą satysfakcjonujący efekt?

1. Po pierwsze budowanie świadomości to proces, a nie wydarzenia punktowe.

W ten proces musimy zaangażować samych siebie i pracowników! Ważne jest odbywanie cyklicznych spotkań, sprawdzanie postępów w pracach, monitorowanie stanu podpisanych umów powierzenia etc. Ważna jest również adekwatność podejmowanych działań.

Sugeruję szukanie złotego środka. Zbyt dużo czasu i uwagi poświęcone RODO, może skutkować zniechęceniem do tematu i zaniedbaniem innych kluczowych obowiązków.

Oczywiście równie negatywne skutki będą płynęły z poświecenia tematowi prywatności zbyt małej ilości czasu.

2. Szkolenia tradycyjne.

Z pewnością poznanie przez pozostałych pracowników IODa lub innej osoby odpowiedzialnej, pomoże w nawiązaniu relacji. O prowadzeniu szkoleń poświęciliśmy już cały artykuł na naszym blogu tutaj.

3. Szkolenia e-learningowe.

Doskonale sprawdzają się jako uzupełnienie szkolenia tradycyjnego. Przypominam o tym, że w naszym sklepie dostępne są dwie ścieżki szkoleń e-learningowych:

RODO szkolenie ogólne,

RODO w kadrach.

Oraz uwaga, uwaga na sam koniec nasza nowa praktyka budowania RODO świadomości.

4. RODO plakaty

Wyszliśmy z założenia, że chcemy nadać RODO procedurom namacalny i realny kształt. Dla zdecydowanej większości pracowników organizacji np. polityka ochrony danych, to abstrakcyjny dokument.

Przechowywany często w formie wirtualnej, napisany językiem prawniczym, nierzadko niezrozumiałym dla przeciętnego pracownika.

A jeśli RODO stanie się widoczne dla każdego pracownika naszej organizacji, w nieco bardziej przystępny sposób? Zobacz jakie przykładowe warianty plakatów RODO – informacyjnych przygotowaliśmy dla naszych Klientów:

Wariant 1 Wariant 2 Wariant 3

e-learning RODOChcesz zwiększyć świadomość pracowników za pomocą takiego plakatu? Skorzystaj z naszego gotowego rozwiązania. Zamów plakat, a my odpowiednio go dla Ciebie przygotujemy i uzupełnimy danymi “człowieka od RODO” w Twojej organizacji. Nie daj zapomnieć pracownikom o RODO 🙂

Sprawdź

Podsumowanie

Mam nadzieję, że zainteresowałem Państwa budowaniem RODO świadomości. Nie ma tutaj dróg na skróty, a nasze doświadczenie pokazuje, że tylko zestawienie różnych podejść i praktyk daje trwałe efekty. Zachęcam do dzielenia się pomysłami i doświadczeniami z zakresu budowania RODO świadomości!

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Prywatność zawsze na pierwszym miejscu
Wakacje z RODO
Rejestr procesora według RODO

2 Odpowiedzi

Zostaw odpowiedź