Dlaczego Zarządy nas nie słuchają, kiedy raportujemy im poziom zgodności z RODO naszej organizacji? Co zrobić, żeby to zmienić? Dlaczego powinniśmy raportować Zarządom poziom zgodności z RODO? Jakie są praktyczne przykłady przedstawiania Zarządom statusu wdrożenia RODO? Skorzystaj z naszego poradnika.
Obejrzyj poradnik w wersji video…
…lub odsłuchaj w formie audio
Dlaczego Zarządy nie słuchają RODO-specjalistów?
Przyczyn, dla których obszar RODO spotyka się z biernością (albo wręcz niechęcią) Zarządów jest bardzo dużo. Poniżej przedstawię Ci najważniejsze i najczęstsze z nich:
- Zarządy dysponują bardzo ograniczonymi zasobami czasu
- Temat RODO nie jest obiektem zainteresowania Zarządów
- Zarządy nie posiadają specjalistycznej wiedzy na temat funkcjonowania RODO w praktyce
- Realizacja niektórych rekomendacji z zakresu ochrony danych osobowych potrafi być kosztowna
- Zarządy często postrzegają RODO jako „piąte koło u wozu”. Jako coś, co hamuje biznes, a nie pomaga go rozwijać
Za każdą z tych przeszkód i obiekcji stoją konkretne argumenty Zarządu. Ważne, żeby nie obrażać się na rzeczywistość i sceptyczne podejście Zarządu do obszaru RODO. Zamiast tego, systematycznie, krok-po-kroku rób swoje i pokazuj kierownictwu pozytywne aspekty związane z osiągnięciem zgodności z przepisami o ochronie danych osobowych.
Jak konkretnie to robić? Wskazówki znajdziesz w kolejnych akapitach.
Dlaczego raportować Zarządom zgodność z RODO?
Cytując klasyka: „zacznij od dlaczego”. Jeśli nie będziesz mieć odpowiednich argumentów za tym, żeby raportować zgodność z RODO Zarządowi, to ani nie będziesz mieć motywacji do działania ani Zarząd nie będzie miał motywacji do wysłuchania tego co masz mu do powiedzenia.
Co na to RODO?
Dlaczego w takim razie raportować Zarządom zgodność z RODO? Jest to obowiązek wynikający m.in. z art. 39 RODO:
A co jeśli w danej organizacji nie ma wyznaczonego inspektora ochrony danych IOD? W takich przypadkach i tak Administrator Danych powinien wyznaczyć inną osobę, która będzie troszczyła się o przestrzeganie zasad RODO. A następnie raportowała progres prac do Zarządu.
Co na to UODO?
Realizacja obowiązku raportowania zgodności z RODO do Administratora jest niemal zawsze weryfikowana przez Urząd Ochrony Danych Osobowych w toku kontroli. W czasie każdej z kilku inspekcji UODO jakie przechodziliśmy w ostatnich latach, za każdym razem byliśmy pytani przez inspektorów o częstotliwość oraz sposób raportowania zgodności z RODO Zarządowi.
Inspektorzy UODO uznają widocznie, że zbudowanie skutecznego systemu ochrony danych osobowych bez jakiegokolwiek zaangażowania Zarządu jest niewykonalne. I ciężko im się dziwić – nasze doświadczenia jako IOD w kilkudziesięciu firmach i instytucjach są identyczne.
W jaki sposób skutecznie raportować Zarządom zgodność z RODO?
Nie przytłaczaj Zarządu ilością informacji
Raportując Zarządom zgodność z RODO szukaj „złotego środka”, czyli czegoś pomiędzy tymi dwoma skrajnymi, ale niestety często spotykanymi podejściami:
- Umówię się z Prezesem na dwugodzinne telko i opowiem jaką genialną matrycę oceny ryzyka przygotowałem 🆚
- Lepiej nie zawracać Zarządowi głowy NICZYM co jest związane z RODO i ochroną danych osobowych
Przyciągnięcie uwagi Zarządu i opowiedzenie o poziomie zgodności z RODO na 15-30 minutowym spotkaniu wcale nie jest łatwe. Musisz wybrać naprawdę kluczowe braki i zawalczyć o zasoby na ich usunięcie. Trudne? Bardzo. Ale jak już uda Ci się przekonać Zarząd do podjęcia konkretnych działań, to satysfakcja jest ogromna.
U nas świetnie sprawdzają się kwartalne, półgodzinne spotkania statusowe. Pokazujemy Zarządom zgodność z RODO z „lotu ptaka” skupiając się na kluczowych i krytycznych z punktu widzenia biznesu obszarach. Zdecydowana większość kadry kierowniczej naszych klientów (a obsługujemy wiele międzynarodowych grup kapitałowych zatrudniających setki pracowników) nie widzi najmniejszego problemu, żeby poświęcić na RODO 30 minut raz na 3 miesiące. W Twoim przypadku powinno być podobnie.
Stosuj prostą komunikację
Mów „językiem Zarządów”. Zarówno w przypadku przekazywanej treści, jak i stosowanej formy.
Jakiej treści będzie oczekiwał od Ciebie Zarząd? Konkretnych argumentów opisujących rekomendowane przez Ciebie działania. Na przykład:
- jakie korzyści zapewnią firmie? Przykładowo: zmniejszając ryzyko otrzymania kary finansowej, poprawiając wizerunek firmy, polepszając relacje wewnątrz zespołu.
- jakie będą koszty tych rozwiązań? Przykładowo: 20 tys. zł rocznie za zmianę dostawcy IT, tydzień pracy trzyosobowego zespołu Działu Sprzedaży.
A jakiej formy będzie oczekiwał od Ciebie Zarząd?
Maksymalnie prostej i zrozumiałej. Unikaj „branżowego slangu” w stylu: zgodnie z wytycznymi ERODu, w przypadku tej czynności przetwarzania konieczne będzie przeprowadzenie DPIA i balancing testu. Zarządy mają na ogół o RODO BARDZO podstawowe pojęcie i musisz to uwzględnić w swoich raportach, prezentacjach i telekonferencjach. Dlatego znacznie bardziej przemówią do Zarządu proste, zwięzłe porównania, niż demonstrowanie monstrualnych matryc oceny ryzyka.
Rozliczalność to podstawa
Zawsze pozostawiaj po raportowaniu zgodności z RODO ślad. Może to być np. korespondencja mailowa z podsumowaniem spotkania statusowego, czy wysłane raporty i prezentacje. Niezależnie od tego na jaką formę się zdecydujesz, gwarantujemy Ci, że inspektorzy UODO poproszą Cię o „twarde dowody” potwierdzające raportowanie Zarządowi zgodności z RODO.
Usprawnij RODO-raportowanie Zarządowi – skorzystaj z naszej aplikacji
Dzięki aplikacji SODO możesz „ogarnąć” całą zgodność z RODO w jednym miejscu. Od prowadzenia rejestrów, poprzez szkolenie zespołu, nadawanie upoważnień, zarządzanie ryzykiem i wiele innych. Dołącz do ponad 40 tys. użytkowników SODO – ułatw sobie życie i zautomatyzuj RODO-procesy.
Dowiedz się więcej o SODO
Sprawdź
Podsumowanie
Raportowanie zgodności z RODO Zarządom to nieustający proces. Na dodatek wymagający maksymalnej precyzji i zwięzłości w wyrażanych stanowiskach, biznesowej elastyczności, a nieraz i zasad skutecznej dyplomacji.
Cały ten proces powinien być też maksymalnie rozliczalny. Zarówno Ty, jak i Zarząd, w przypadku kontroli UODO, musicie być w stanie wykazać, że raportowanie zgodności z RODO rzeczywiście ma miejsce. I co ważne, że w związku z tym procesem są podejmowane konkretne działania mające na celu zwiększenie poziomu bezpieczeństwa przetwarzanych danych osobowych.
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.