Zgodność z RODO – jak efektywnie raportować ją Zarządom?

Dlaczego Zarządy nas nie słuchają, kiedy raportujemy im poziom zgodności z RODO naszej organizacji? Co zrobić, żeby to zmienić? Dlaczego powinniśmy raportować Zarządom poziom zgodności z RODO? Jakie są praktyczne przykłady przedstawiania Zarządom statusu wdrożenia RODO? Skorzystaj z naszego poradnika.

Obejrzyj poradnik w wersji video…

…lub odsłuchaj w formie audio

Dlaczego Zarządy nie słuchają RODO-specjalistów?

Przyczyn, dla których obszar RODO spotyka się z biernością (albo wręcz niechęcią) Zarządów jest bardzo dużo. Poniżej przedstawię Ci najważniejsze i najczęstsze z nich:

  • Zarządy dysponują bardzo ograniczonymi zasobami czasu
  • Temat RODO nie jest obiektem zainteresowania Zarządów
  • Zarządy nie posiadają specjalistycznej wiedzy na temat funkcjonowania RODO w praktyce
  • Realizacja niektórych rekomendacji z zakresu ochrony danych osobowych potrafi być kosztowna
  • Zarządy często postrzegają RODO jako „piąte koło u wozu”. Jako coś, co hamuje biznes, a nie pomaga go rozwijać

Za każdą z tych przeszkód i obiekcji stoją konkretne argumenty Zarządu. Ważne, żeby nie obrażać się na rzeczywistość i sceptyczne podejście Zarządu do obszaru RODO. Zamiast tego, systematycznie, krok-po-kroku rób swoje i pokazuj kierownictwu pozytywne aspekty związane z osiągnięciem zgodności z przepisami o ochronie danych osobowych.

Jak konkretnie to robić? Wskazówki znajdziesz w kolejnych akapitach.

Dlaczego raportować Zarządom zgodność z RODO?

Cytując klasyka: „zacznij od dlaczego”. Jeśli nie będziesz mieć odpowiednich argumentów za tym, żeby raportować zgodność z RODO Zarządowi, to ani nie będziesz mieć motywacji do działania ani Zarząd nie będzie miał motywacji do wysłuchania tego co masz mu do powiedzenia.

Co na to RODO?

Dlaczego w takim razie raportować Zarządom zgodność z RODO? Jest to obowiązek wynikający m.in. z art. 39 RODO:

  Art 39 RODO - zadania inspektora ochrony danych   "a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;”. 

 

A co jeśli w danej organizacji nie ma wyznaczonego inspektora ochrony danych IOD? W takich przypadkach i tak Administrator Danych powinien wyznaczyć inną osobę, która będzie troszczyła się o przestrzeganie zasad RODO. A następnie raportowała progres prac do Zarządu.

Co na to UODO?

Realizacja obowiązku raportowania zgodności z RODO do Administratora jest niemal zawsze weryfikowana przez Urząd Ochrony Danych Osobowych w toku kontroli. W czasie każdej z kilku inspekcji UODO jakie przechodziliśmy w ostatnich latach, za każdym razem byliśmy pytani przez inspektorów o częstotliwość oraz sposób raportowania zgodności z RODO Zarządowi.

Inspektorzy UODO uznają widocznie, że zbudowanie skutecznego systemu ochrony danych osobowych bez jakiegokolwiek zaangażowania Zarządu jest niewykonalne. I ciężko im się dziwić – nasze doświadczenia jako IOD w kilkudziesięciu firmach i instytucjach są identyczne.  

W jaki sposób skutecznie raportować Zarządom zgodność z RODO?

Nie przytłaczaj Zarządu ilością informacji

Raportując Zarządom zgodność z RODO szukaj „złotego środka”, czyli czegoś pomiędzy tymi dwoma skrajnymi, ale niestety często spotykanymi podejściami:

  1. Umówię się z Prezesem na dwugodzinne telko i opowiem jaką genialną matrycę oceny ryzyka przygotowałem 🆚
  2. Lepiej nie zawracać Zarządowi głowy NICZYM co jest związane z RODO i ochroną danych osobowych

Przyciągnięcie uwagi Zarządu i opowiedzenie o poziomie zgodności z RODO na 15-30 minutowym spotkaniu wcale nie jest łatwe. Musisz wybrać naprawdę kluczowe braki i zawalczyć o zasoby na ich usunięcie. Trudne? Bardzo. Ale jak już uda Ci się przekonać Zarząd do podjęcia konkretnych działań, to satysfakcja jest ogromna.  

U nas  świetnie sprawdzają się kwartalne, półgodzinne spotkania statusowe. Pokazujemy Zarządom zgodność z RODO z „lotu ptaka” skupiając się na kluczowych i krytycznych z punktu widzenia biznesu obszarach. Zdecydowana większość kadry kierowniczej naszych klientów (a obsługujemy wiele międzynarodowych grup kapitałowych zatrudniających setki pracowników) nie widzi najmniejszego problemu, żeby poświęcić na RODO 30 minut raz na 3 miesiące. W Twoim przypadku powinno być podobnie.

Stosuj prostą komunikację

Mów „językiem Zarządów”. Zarówno w przypadku przekazywanej treści, jak i stosowanej formy.

Jakiej treści będzie oczekiwał od Ciebie Zarząd? Konkretnych argumentów opisujących rekomendowane przez Ciebie działania. Na przykład:

  • jakie korzyści zapewnią firmie? Przykładowo: zmniejszając ryzyko otrzymania kary finansowej, poprawiając wizerunek firmy, polepszając relacje wewnątrz zespołu.
  • jakie będą koszty tych rozwiązań? Przykładowo: 20 tys. zł rocznie za zmianę dostawcy IT, tydzień pracy trzyosobowego zespołu Działu Sprzedaży.  

A jakiej formy będzie oczekiwał od Ciebie Zarząd?

Maksymalnie prostej i zrozumiałej.  Unikaj „branżowego slangu” w stylu: zgodnie z wytycznymi ERODu, w przypadku tej czynności przetwarzania konieczne będzie przeprowadzenie DPIA i balancing testu. Zarządy mają na ogół o RODO BARDZO podstawowe pojęcie i musisz to uwzględnić w swoich raportach, prezentacjach i telekonferencjach. Dlatego znacznie bardziej przemówią do Zarządu proste, zwięzłe porównania, niż demonstrowanie monstrualnych matryc oceny ryzyka.  

Rozliczalność to podstawa

Zawsze pozostawiaj po raportowaniu zgodności z RODO ślad. Może to być np. korespondencja mailowa z podsumowaniem spotkania statusowego, czy wysłane raporty i prezentacje. Niezależnie od tego na jaką formę się zdecydujesz, gwarantujemy Ci, że inspektorzy UODO poproszą Cię o „twarde dowody” potwierdzające raportowanie Zarządowi zgodności z RODO. 

e-learning RODO

Usprawnij RODO-raportowanie Zarządowi – skorzystaj z naszej aplikacji

Dzięki aplikacji SODO możesz „ogarnąć” całą zgodność z RODO w jednym miejscu. Od prowadzenia rejestrów, poprzez szkolenie zespołu, nadawanie upoważnień, zarządzanie ryzykiem i wiele innych. Dołącz do ponad 40 tys. użytkowników SODO – ułatw sobie życie i zautomatyzuj RODO-procesy.

Dowiedz się więcej o SODO

Sprawdź

Podsumowanie

Raportowanie zgodności z RODO Zarządom to nieustający proces. Na dodatek wymagający maksymalnej precyzji i zwięzłości w wyrażanych stanowiskach, biznesowej elastyczności, a nieraz i zasad skutecznej dyplomacji.

Cały ten proces powinien być też maksymalnie rozliczalny. Zarówno Ty, jak i Zarząd, w przypadku kontroli UODO, musicie być w stanie wykazać, że raportowanie zgodności z RODO rzeczywiście ma miejsce. I co ważne, że w związku z tym procesem są podejmowane konkretne działania mające na celu zwiększenie poziomu bezpieczeństwa przetwarzanych danych osobowych.

A jak Tobie wychodzi raportowanie zgodności z RODO kadrze kierowniczej? Na jakie napotykasz przeszkody? Podziel się z nami swoimi doświadczeniami w komentarzach.

Powiązane artykuły

rodo faq
Jakie kluczowe obszary sprawdza UODO w czasie kontroli?
Co ADO powinien zapewnić IODowi? (cz. II)
Co ADO powinien zapewnić IODowi? (cz. I)

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO