Przepisy RODO obowiązują od kilku miesięcy i wiele firm wprowadziło już zmiany związane z obowiązkiem należytej ochrony danych osobowych. Nawet jeżeli projekt pt. „Wdrożenie RODO”, można uznać za zakończony, to dopiero czas pokaże, czy wśród osób zarządzających firmami dokonała się zmiana mentalnościowa i czy nowe dokumenty oraz procedury sprawdzą się w bieżącej działalności ich biznesów.
Jak często podkreślam, ochrona danych osobowych to ciągły proces, który wymaga znajomości przepisów i sposobów obchodzenia się z danymi osobowymi przez każdą osobę, która ma dostęp do danych w związku z wykonywanymi zadaniami.
Jednym z narzędzi, które może służyć do sprawdzenia, na ile nowy system ochrony danych osobowych jest skuteczny, jest rejestr naruszeń ochrony danych osobowych. Jest to nowy rejestr wprowadzony przez przepisy RODO, do którego należy wpisywać każdy incydent w obszarze ochrony danych osobowych, w tym zdarzenia niepodlegające zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych.
Jeżeli rejestr ten prowadzony jest rzetelnie, może on dostarczyć kadrze zarządzającej cennych wskazówek, które obszary wymagają poprawy. System ochrony danych osobowych nie jest statyczny, ale dynamiczny i powinien być stale udoskonalany.
Pamiętajmy, że RODO jest również odpowiedzią na nowe zagrożenia, związane z szybkim rozwojem technologii informacyjnych, stale rosnącym znaczeniem branży e-commerce oraz masowym przetwarzaniem danych osobowych. Firmy, które nie chcą pozostać w tyle, dążą do pozyskiwania nowych klientów przez sieć Internet, która nigdy nie będzie przestrzenią całkowicie bezpieczną dla wymiany informacji, w tym danych osobowych.
Uważam jednak, że w całym systemie ochrony danych osobowych jest jeden element, na który kierownictwo firmy ma decydujący wpływ, a który często nie jest wystarczająco akcentowany. Czasami można mieć wrażenie, że w kontekście wielości nowych obowiązków z RODO zszedł on na dalszym plan, a bardzo niesłusznie.
Jeżeli uważasz, że z punktu widzenia administratora najważniejsze jest:
- prowadzenie dokumentacji zgodnej z RODO,
- wdrożenie odpowiednich środków ochrony fizycznej lokali firmy (kontrola dostępu, szafy zamykane na klucz, sejfy itp.),
- należyte zabezpieczenie systemu informatycznego,
to moja odpowiedź brzmi: one wszystkie są ważne, ale same w sobie nie zapewnią, że cel nowych przepisów, tj. ochrona danych osobowych, zostanie zrealizowany. Ich uzupełnieniem i jednocześnie najważniejszym, w mojej ocenie, elementem systemu ochrony danych są właściwie przeszkoleni pracownicy, do których pracodawca może mieć zaufanie, wynikające z ich uczciwości i rzetelności w wykonywaniu obowiązków.
Co zaufanie ma wspólne z RODO i ogólnie ochroną danych osobowych? Okazuje się, że bardzo dużo. Przeszkolony pracownik, któremu pracodawca może zaufać, to osoba, która:
- wie, że ochrona danych osobowych leży w dobrze pojętym interesie firmy, z którym pracownik może się utożsamić,
- przestrzega zasad i procedur ochrony danych osobowych,
- nie dąży do ukrywania incydentów w obszarze ochrony danych, mając świadomość, że nadrzędnym celem wykrywania takich zdarzeń jest ochrona praw i interesów osób, których dane dotyczą, oraz udoskonalenie systemu ochrony danych w firmie dla uniknięcia podobnych zdarzeń w przyszłości.
Czy wprowadzanie rozbudowanych systemów nadzoru i sprawowanie kontroli na każdym kroku jest właściwą drogą? Oczywiście, administrator danych powinien dysponować pewnymi środkami, które umożliwiają mu weryfikację, czy pracownicy należycie wykonują swoje obowiązki. Jednakże o wiele lepiej sprawdza strategia, która polega na zapewnieniu pracownikom możliwości rozwoju i podnoszenia kompetencji oraz wytyczeniu jasnego celu, do którego wszyscy będą chcieli dążyć.
Ludzie źle wykonują swoje zadania, gdy brak im wiedzy lub kompetencji albo nie widzą sensu w tym, co robią. Szczególnie w tym ostatnim przypadku trudno jest o wewnętrzną motywację. Najbardziej zaawansowane zabezpieczenia nie pomogą, jeżeli pracownicy w firmie nie będą wiedzieć, jak z nich korzystać w celu bezpiecznego przetwarzania danych.
Szacuje się, że za ok. 80-90 % przypadków naruszeń w obszarze ochrony danych osobowych odpowiedzialny jest czynnik ludzki (np. przypadkowe pozostawienie dokumentu z danymi osobowymi w miejscu dostępnym publicznie, wysyłka mailingu z jawną listą adresatów lub pojedynczego e-maila pod niewłaściwy adres, wyrzucenie dokumentu z niezanonimizowanymi danymi osobowymi zamiast jego zniszczenia itp.). Zdarzają się też przypadku celowej kradzieży danych.
Odpowiedzią na powyższe zagrożenia dla ochrony danych osobowych powinny być wiedza i świadomość (w zakresie przepisów prawa oraz obowiązków pracownika) i właśnie zaufanie.
Kierownictwo firmy powinno zadbać, aby wszyscy pracownicy zostali przeszkoleni z przepisów o ochronie danych osobowych oraz wewnętrznej dokumentacji i procedur. Bez odpowiedniego szkolenia może zrealizować się powiedzenie „prawo prawem a życie życiem”. Należy zapewnić system szkoleń wstępnych oraz okresowych. Dobrze sprawdzają się również tzw. szkolenia stanowiskowe, które są dostosowane do miejsca pracy danej osoby.Mogą być one doskonałym uzupełnieniem szkolenia ogólnego.
Z kolei na etapie rekrutacji jeszcze większą wagę niż dotychczas należy przykładać do wyboru pracowników, których można obdarzyć zaufaniem. Aby to się udało, trzeba najpierw być firmą godną zaufania, bo tylko taka może przyciągnąć do siebie właściwych ludzi.
Może brzmi to idealistycznie, ale prawda jest taka, że w braku elementarnego zaufania na linii pracodawca-pracownik, nawet najlepiej wdrożony projekt osiągnięcia zgodności z RODO lub najbardziej zaawansowany system kontroli wewnątrz firmy nie zapewnią, że dane osobowe będą właściwie chronione i bezpieczne.