Niezależnie od tego czy Administrator Danych Osobowych (ADO) jest pracodawcą czy, w przypadku outsourcingu, zleceniodawcą, a Administrator Bezpieczeństwa Informacji (ABI) – pracownikiem czy zleceniobiorcą, w relacji występuje dość niekomfortowa zależność pomiędzy tym, czego ABI powinien wymagać i wdrożyć w danej firmie, a tym jak daleko może się posunąć by nie stracić pracy lub zleceniobiorcy.
Nie dziwi więc, że większość firm i instytucji spełnia tylko minimalne wymagania bezpieczeństwa danych osobowych. Daleko posunięta ostrożność we wprowadzaniu bardziej rygorystycznych zasad ochrony danych osobowych, wynika bezpośrednio z zależności, w tym również finansowej, Administratorów Bezpieczeństwa Informacji od ADO.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Często, z braku wiedzy lub chęci, ADO umiejscawia ochronę danych osobowych gdzieś pomiędzy obowiązkami związanymi z BIP (instytucje publiczne) czy regulaminem świadczenia usług drogą elektroniczną (firmy) a regulaminem organizacyjnym lub ZFŚS. Być może ADO nie zdaje sobie jeszcze sprawy z konieczności ochrony danych osobowych bo nie doświadczył jeszcze negatywnych skutków braku właściwych procedur – kary administracyjne, „czarny PR”, itp.
Świadomość zasad ochrony danych osobowych wśród pracowników firm i instytucji również jest bardzo ograniczona. Z praktyki wynika, że w przypadku prawnika pełniącego funkcję ABI, nieco łatwiej tę sytuację zmienić. Prawnicy z reguły budzą respekt. Kiedy jednak ABI jest informatykiem, trudno czasem o poważne potraktowanie sytuacji (informatyk cytujący przepisy prawne nie jest dla wielu wiarygodny). Jednak i oni mają swoje sposoby – groźba rutynowego przeglądu komputera służbowego sprawia, że większość pracowników jednak choć raz przeczyta politykę bezpieczeństwa i podda się wymogom ODO.
Niestety, istnieje dość powszechna jest tendencja ADO do oceniania ochrony danych osobowych w kategoriach stworzenia i wdrożenia dokumentacji. Później taki dokument trafia najczęściej do nigdy więcej nie otwieranej szuflady. Niezależnie od tego, jak bardzo ABI będzie nakłaniał ADO do aktualizowania polityki i nadzorowania ochrony danych osobowych, zazwyczaj nie przynosi to większych efektów. Pracodawca (ADO) będzie wolał dać pracownikom bony świąteczne niż zainwestować w szafę pancerną, UPS-y lub choćby nakładki na monitory, ograniczające kąt widzenia.
Kolejną kwestią, która często ogranicza lub całkowicie gasi jakiekolwiek zainteresowanie ABI jego obowiązkami jest, wspomniany już, brak dodatkowego wynagrodzenia. ADO wychodzi z założenia, że skoro płaci swojemu pracownikowi pensję, może swobodnie wyznaczyć mu dodatkowe obowiązki poprzez wydanie polecenia służbowego. Administracja publiczna nie przewiduje w tabelach zaszeregowania pracowników stanowiska ABI, więc dyrektorzy czy kierownicy czują się więc zwolnieni z przyznawania takiemu pracownikowi premii lub jakiegokolwiek innego dodatku do wynagrodzenia.
Wracając do kwestii świadomości powagi ODO wśród pracowników, warto zauważyć, że jest ona wprost proporcjonalna do jakości i częstotliwości szkoleń przeprowadzanych przez ABI. Dobrze przygotowane szkolenie jest podstawowym czynnikiem regulującym pozycję ABI w firmie. Na szkoleniu warto podawać przykłady incydentów ODO, gdyż to one najbardziej trafiają do pracownika, który popadł w rutynę i jest przekonany, że temat ochrony danych osobowych to tylko kolejna procedura, przez którą będzie miał więcej pracy za to samo wynagrodzenie.
W ramach podsumowania chcielibyśmy się pokusić o mały apel do ADO i ABI.
Drodzy Administratorzy Danych Osobowych, doceniajcie swoich Administratorów Bezpieczeństwa Informacji! To oni chronią Was przed przykrościami, związanymi z wyciekami danych osobowych i są niezastąpieni w przypadku kontroli czy audytu kadrowego lub ODO.
Administratorzy Bezpieczeństwa Informacji, dokładajcie wszelkich starań, aby spełnić wszelkie niezbędne, nawet te najbardziej wymagające, wymogi bezpieczeństwa. Głęboko wierzymy, że wcześniej czy później ADO zauważy wasze starania. Jeśli nie, może się okazać, że zrozumie wagę Waszej pracy, gdy zdarzy się jakiś incydent związany z niewłaściwą ochroną danych.