W poprzednim artykule pisałem o zakresie obowiązków i zadaniach IOD. Naturalną konsekwencją i ostatnim krokiem formalizującym współpracę, będzie znalezienie odpowiedzi na pytanie – ile powinien zarabiać IOD?.
Konkretne kwoty w tym artykule nie padną. Ma on za to na celu wskazanie elementów, które powinny mieć wpływ na wysokość wynagrodzenia IOD.
Zastanówmy się nad elementami wynagrodzenia Inspektora Ochrony Danych. Poszukajmy sprawiedliwego i transparentnego modelu rozliczania pracy IOD.
Pamiętaj, że na naszym blogu znajdziesz również inne artykuły poświęcone funkcji IOD:
- Jak poprawnie zawiadomić Prezesa UODO o wyznaczeniu IOD?
- Lista lektur prawniczych Inspektora Ochrony Danych
- Jakie są zadania Inspektora Ochrony Danych?
- Niezależność i brak konfliktu interesów w pracy IOD.
A to jeszcze nie wszystko! W naszych kolejnych tekstach zajmiemy się innymi ważnymi elementami związanymi z funkcją IOD, takimi jak:
- odpowiedzialność IOD, czyli za co IOD może odpowiadać
- jaką wiedzą i kwalifikacjami powinien dysponować IOD, aby dobrze wykonywać swoje obowiązki
Zostań Super IOD! 3-dniowy kurs webinarowy
Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.
Najpierw zakres obowiązków, potem rozmowy o pieniądzach
Poprzedni artykuł serii był poświęcony precyzyjnemu ustaleniu zakresu obowiązków Inspektora Ochrony Danych. Ten, który teraz czytasz, będzie o wynagrodzeniu, które IOD powinien otrzymywać za swoją pracę.
Kolejność w jakiej oba teksty ukazały się na naszym blogu nie jest przypadkowa. Bez ustalenia precyzyjnego zakresu obowiązków, rozmowa o wynagrodzeniu IOD nie ma sensu. Załóżmy więc, że jako Inspektor Ochrony Danych, wspólnie z ADO ustaliliście precyzyjny zakres wykonywanej pracy. Ramy współpracy wykluczają konflikty interesów, a obie strony chcą nawiązać współpracę.
Nadchodzi więc ostatni i kluczowy etap – ustalenie wysokości wynagrodzenia IOD. Zakładam, że jeśli czytasz ten tekst, to możesz współpracować z ADO w dwóch formach. Jako IOD zewnętrzny, bądź jako pracownik Administratora Danych. W każdym z tych przypadków szczegóły rozmów będą wyglądały inaczej. Tym co będzie stałe to obiektywne czynniki mające wpływ na wysokość wynagrodzenia IOD. Elementy, które powinny mieć wpływ na wynagrodzenie IOD, wymieniam i opisuję w poniższych akapitach.
Ile czasu poświęcę na bycie IOD?
Zacznijmy od czynnika najbardziej oczywistego. Im więcej pracy, tym wyższe powinno być wynagrodzenie. Z tym twierdzeniem zgodzą się chyba wszyscy. Jeśli IOD weźmie na siebie bardzo duży zakres obowiązków to wynagrodzenie powinno to odzwierciedlać. Co to znaczy duża ilość obowiązków? Najprościej już na początku współpracy wyliczyć przedział roboczogodzin (dalej: RBH), potrzebnych na realizację pracy.
To fundament, od którego można uzależnić finalną kwotę wynagrodzenia. Ile RBH w miesiącu powinien pracować IOD? Tutaj nie ma jednej dobrej odpowiedzi. W dużych organizacjach, przetwarzających dane osobowe na ogromną skalę, jeden etat to za mało. IODowie np. w bankach, posiadają całe zespoły wspierające ich pracę. IOD w tego typu organizacjach jest pełnoetatowym stanowiskiem.
Na drugim biegunie mamy firmy b2b, które świadczą usługi na rzecz innych firm. Na przykład firma produkująca materiały budowalne czy integrująca elementy elektroniczne, może w ogóle nie posiadać klientów w postaci osób fizycznych. W takich przypadkach ochrona danych osobowych będzie sprowadzała się przede wszystkich do zadbania o prywatność własnych pracowników. Jeśli taka organizacja zdecyduje się powołać IOD, to prawdopodobnie nakłady pracy będą znacznie niższe.
Jeśli IOD jest zewnętrzny, kwestie rozliczeń będą względnie proste. Rozliczane będą godziny poświęcone na działania na rzecz ADO. Jeśli IOD jest wewnętrzny, sytuacja będzie trochę bardziej skomplikowana. Z jednej strony dodanie pracownikowi nowej funkcji i obowiązków, powinno skutkować również odpowiednim dodatkiem do pensji. Tak też wygląda to w praktyce najczęściej.
Z drugiej strony, w niektórych sytuacjach pracownik może dysponować dużym, luźnym zasobem czasu. W takim przypadku pracodawca i pracownik powinni wspólnie ustalić jak duże zasoby niezagospodarowanego czasu zostaną poświęcone na bycie IOD. W tym przypadku dodatkowe wynagrodzenie za pełnienie funkcji IOD, będzie bardziej dyskusyjne.
Czy praca IOD będzie bardzo stresująca?
Praca IOD, jak każda inna może być bardziej lub mniej angażująca emocjonalnie. W byciu Inspektorem Ochrony Danych nie brakuje trudnych elementów, które wymagają dużej odporności psychicznej oraz asertywności. Jakie to elementy? Spójrz na poniższą tabelę, posegregowałem w niej różne aktywności IOD, względem poziomu stresu jaki mogą generować.
Rodzaj działania | Poziom stresu (od 1 do 3, gdzie 1 oznacza niski poziom stresu, a 3 najwyższy) |
Kontrola UODO | 3 |
Reagowanie na incydenty | 3 |
Kontrola centrali lub innej organizacji (np. ADO kontroluje procesora) | 3 |
Prowadzenie szkoleń | 3 |
Audyty wewnętrzne | 2 |
Wewnętrzne konsultacje dotyczące nowych projektów | 2 |
Ocena skutków i szacowanie ryzyka | 2 |
Egzekwowanie budowanych przez IOD procedur | 2 |
Negocjowanie umów powierzenia | 2 |
Realizowanie praw osób | 2 |
Prowadzenie i aktualizacja RCP | 1 |
Prowadzenie i aktualizacja RKCP | 1 |
Nadawanie i ewidencja upoważnień do przetwarzania danych osobowych | 1 |
Tworzenie klauzul zgód, obowiązków informacyjnych | 1 |
Prowadzenie i aktualizacja polityki ochrony danych | 1 |
Oczywiście powyższa tabela ma charakter poglądowy. W niektórych sytuacjach tworzenie pod presją czasu klauzul zgód czy obowiązków informacyjnych dla skomplikowanych procesów, może nieść za sobą również wysokie koszty emocjonalne.
Największe emocje i stres, pojawią się oczywiście w sytuacjach różnego rodzaju kontroli i audytów. Nawet jeśli jesteśmy do nich dobrze przygotowani, to nie da się uniknąć stresu i emocji. Prowadzenie szkoleń czy reagowanie na incydenty, to wszystko sytuacje, kiedy wchodzimy w intensywny kontakt z innymi ludźmi.
Na drugim biegunie, znajdują się działania niewymagające tak dużej odporności emocjonalnej. Różnego rodzaju prace nad dokumentami, prowadzenie rejestrów etc.
Jeśli w toku swojej pracy, IOD będzie spędzał dużo czasu na działaniach o wysokim poziomie stresu, to powinno to znaleźć odzwierciedlenie w wysokości wynagrodzenia.
Jeśli IOD pracuje w organizacji, gdzie audyty, kontrole czy skargi należą do rzadkości, to również powinno mieć wpływ na finalną kwotę wynagrodzenia.
Rozwiązania, rozwiązania… i jeszcze raz rozwiązania
Jeśli ADO planuje wdrożyć np. nowy elektroniczny system obiegu dokumentów, to w ramach procedury Privacy by Default, w cały proces powinien zostać zaangażowany IOD. W swojej pracy obserwuję bardzo różne podejścia IOD do opiniowania nowych procesów.
Część IOD wskaże niedoskonałości i ryzyka, stwierdzając, że działanie nie powinno być kontynuowane w obecnej formie. Inni IOD pójdą znacznie dalej. Poza wskazaniem ryzyk i niedoskonałości z perspektywy RODO, wskażą także rozwiązania, które pozwolą zminimalizować ryzyka i wdrożyć bezpiecznie cały proces. Znalezienie rozwiązania to znacznie trudniejsze zadanie, wymagające wzięcia znacznie większej odpowiedzialności, niż tylko zanegowanie przedstawionego pomysłu.
Trochę podobnie wygląda sytuacja umiejętności negocjacyjnych z osobami z zewnątrz. Wskazanie błędów i braków w umowie powierzenia, którą dostaliśmy od procesora to dopiero połowa sukcesu. Pełen sukces to sytuacja, kiedy IOD potrafi przekonać drugą stronę do swoich racji i przeforsować podpisanie umowy powierzenia w rozsądnym czasie.
IOD, który nie tylko potrafi wyrazić konstruktywną krytykę, ale i wskazać sposoby dostosowania się do wymogów RODO, to zdecydowanie wyższa jakość współpracy, niż IOD kontestator.
Wiedza prawnicza
Wiedza prawnicza, umiejętność interpretacji przepisów oraz wyciąganie praktycznych wniosków z działań organów nadzorczych, mogą być kolejnym dużym atutem IOD. Inspektor, który posiada profesjonalną wiedzę prawną, dobrze odnajdzie się w takich obszarach jak: umowy powierzenia, tworzenie dokumentacji RODO, dobieranie przesłanek legalności, klauzule zgód, obowiązki informacyjne.
Nawet jeśli IOD samodzielnie nie zajmuje się tworzeniem dokumentacji RODO, to wiedza prawnicza pozwoli mu skontrolować jakość pracy osoby, która ją przygotowała. Sytuacja wygląda bardzo podobnie w przypadku umów powierzenia.
Wykształcenie kierunkowe prawnicze czy aplikacja adwokacka, na pewno mogą okazać się bardzo pomocne. Aplikacja radcowska również, z tym zastrzeżeniem, że Krajowa Rada Radców Prawnych wyraziła opinię, że ze względu na określone ryzyka, w szczególności związane z potencjalnym naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz IOD, rekomenduje się niełączenie wykonywania tych ról w ramach jednego podmiotu (ADO / Klienta).
Prowadzenie szkoleń
Kolejnym obszarem, który powinien stawiać IOD w lepszej pozycji negocjacyjnej, jest umiejętność prowadzenia szkoleń. Praktycznie wszyscy odczuwamy lęk przed wystąpieniami publicznymi. Tylko niewielka część populacji potrafi zapanować nad tym lękiem i przeprowadzić dobre szkolenie. Jeśli IOD z którym współpracujemy, posiada kompetencje umożliwiające prowadzenie szkoleń, to świetnie.
Szkolenia na pewno będą potrzebne. Im więcej pracowników zatrudnia organizacja, tym więcej środków oszczędzi, korzystając z kompetencji szkoleniowych IOD.
Kompetencje zarządcze
Wdrożenie niektórych RODO procedur, wymaga dużej i kompleksowej zmiany w organizacji. Zobrazujmy to przykładem. Organizacja spotykała się z licznymi naruszeniami RODO, których przyczyną były błędy pracowników.
IOD zarekomendował wdrożenie programu naprawczego. Program ma polegać na:
- przygotowaniu specjalnego programu szkoleniowego dla wszystkich pracowników,
- zorganizowaniu cyklu szkoleń stacjonarnych dla wszystkich pracowników,
- ewaluacji szkoleń, a następnie monitorowaniu ich efektu,
Taki pomysł wydaje się być racjonalny i warty wdrożenia. Jednak z uwagi na brak umiejętności managerskich, pomysł może utknąć w natłoku innych istotnych zadań.
Jeśli IOD potrafi przekonać ADO oraz współpracowników do swoich racji, to doprowadzi swój pomysł do etapu realizacji.
Umiejętności IT
Wiedza z zakresu obszaru security IT może być bardzo cenna i praktyczna w pracy IOD. Jeśli IOD taką wiedzę posiada, to znacznie łatwiej będzie mu wdrożyć odpowiednie środki zabezpieczeń technicznych. IOD informatyk znacznie skuteczniej zadba o obszar security IT niż IOD prawnik. Jeśli Inspektor Ochrony Danych posiada praktyczne umiejętności wdrażania odpowiednich środków zabezpieczeń IT, to może być to bardzo duża oszczędność finansowa dla organizacji.
Szybkość działania i podejmowania decyzji
Sprawne i szybkie podejmowanie decyzji to też ważny element pracy IOD. Niektóre sytuację wręcz wymuszają na organizacji pośpiech. Tak jest choćby w przypadku 72h na zgłoszenie naruszenia do organu nadzorczego. Podobnie jak w każdej innej pracy, szybkość działania powinna być premiowana przez pracodawcę. Oczywiście wszystko pod warunkiem, że działania wykonywane przez IOD stoją na wysokim poziomie merytorycznym.
Doświadczenie praktyczne
To ważne, żeby strony ustaliły jak duże doświadczenie praktyczne posiada IOD. Na poczet doświadczenia praktycznego warto zaliczyć IOD nie tylko wykonywanie pracy stricte jako IOD. Jeśli aktualny Inspektor Ochrony Danych wcześniej pełnił funkcję Administratora Bezpieczeństwa Informacji (ABI) albo generalnie zajmował się ochroną danych osobowych, jednocześnie nie będąc IOD, to takie doświadczenie również może być bardzo cenne.
Wiedza teoretyczna
Wiedza teoretyczna również ma znaczenie. Obecnie na rynku oferowanych jest bardzo dużo kursów, szkoleń, webinarów. Coraz więcej uczelni oferuje studia podyplomowe z zakresu ochrony danych osobowych. Jeśli IOD aktywnie się edukuje i doszkala, to jego kolejny atut.
Znajomość branży ADO
IOD powinien wykazywać przynajmniej podstawową znajomość sektora działalności Administratora Danych. Wiedza na temat mechanizmów przetwarzania danych osobowych w danej branży (np. produkcyjnej, sprzedaży, medycznej) pozwala na faktyczny nadzór nad przestrzeganiem RODO.
Inne
W niektórych organizacjach, może się pojawić zapotrzebowanie na jeszcze inne kompetencje i umiejętności. Na przykład w dużej międzynarodowej korporacji, bardzo pomocna może być sprawna komunikacja IOD w języku, którym posługuje się centrala. Jeśli centrala mieści się w Polsce to IOD pomoże znajomość języków w których komunikują się oddziały. Pomóc może również znajomość konkretnego środowiska informatycznego czy jeszcze inny aspekt, ważny w funkcjonowaniu danej organizacji.
Podsumowanie
Tak jak wskazałem na samym początku artykułu, konkretne kwoty nie padną. Każda organizacja jest inna i w nieco inny sposób rozlicza pracę swoich pracowników.
Jeśli jesteś Administratorem Danych, mam nadzieję, że pomogłem Ci w lepszym zrozumieniu słabych i mocnych stron Twojego IOD. Jeśli jesteś IOD, to mam nadzieję, że pomogłem Ci w lepszym określeniu Twoich słabych i mocnych stron.
Zapraszam zatem obie strony do dobrych negocjacji. Jeśli współpraca, którą planujecie ma sprawiać satysfakcję obu stronom i trwać wiele lat, to nie powinno być miejsca na zagrywki negocjacyjne rodem z NLP.
Wszelkie nadużycia ze strony ADO czy IOD w praktyce wyjdą bardzo szybko. Jeśli IOD reklamuje się jako bardzo szybki i skuteczny manager, wszystko zweryfikuje pierwszy wdrażany projekt.
Jeśli ADO twierdzi, że w jego organizacji jest mało pracy i nie generuje ona w ogóle stresu, to po pierwszym miesiącu współpracy IOD i tak dowie się jak jest naprawdę.
Grając w otwarte karty, obie strony dają sobie szansę i możliwość zbudowania długiej, dobrej dla całej organizacji współpracy.
Pobierz artykuł w PDF
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 roku (jako IOD)
1 Odpowiedź
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Co dziwne to stanowisko pracy jest bardzo różnorodne. Raz ma wymagania prawnicze, informatyczne a raz kursy i skala zarobkowa też jest bardzo duża od marnych do bardzo wysokich. Ogólnie ofert pracy na dzień jest może z 12 na cały kraj.