Spis treści
Inspektor ochrony danych osobowych to specjalista, którego potrzebuje każda firma i instytucja. Spotkałam kobietę niezwykłą, pasjonatkę tego zawodu, która w niesamowity sposób opowiada o tym, czym zajmuje się IOD. Chcesz wiedzieć, dlaczego temat danych osobowych ostatnio jest tak bardzo popularny i jak dbać o dane osobowe w biznesie? Dzięki rozmowie z Natalią Bender z Warsztatownia.eu powstało kompendium wiedzy o danych osobowych w firmie.
Co sprawiło, że postanowiłaś rzucić etat, i jak zrodził się pomysł, by otworzyć własny biznes?
To był proces. Z jednym z moich klientów wciąż wiążą mnie kodeksowe relacje. Ale tak naprawdę najważniejsze były dwa powody. Po pierwsze uświadomiłam sobie, że w pracy bardzo cenię sobie moją wolność, a właściwie elastyczne warunki jej wykonywania. Niecały rok temu odkryłam, że opinię mogę napisać np. w parku, a do spotkania dołączyć się podczas spaceru czy pobyć pomiędzy spotkaniami w miłej scenerii. Dzięki temu, że nad zleconym zadaniem mogę pochylić się w ruchu i na świeżym powietrzu albo wykonać je w przyjaznym środowisku, jestem dużo bardziej efektywna, i co najważniejsze – szczęśliwsza. To powoduje, że mam więcej energii i pomysłów. Przy czym moi klienci nie martwią się, że nie wykonam zadania albo że "przebimbam" godziny, bo płacą mi za konkretne rezultaty, np. zaopiniowaną umowę, przeprowadzone szkolenia czy wykonany audyt.
Po drugie, i z tym boryka się większość osób wykonujących mój zawód, to brak zespołu lub chociaż jednej osoby w organizacji, z którą można by przegadać wątpliwości. Wyobraź sobie sytuację, kiedy musisz udzielić konkretnej odpowiedzi tak/nie, a na szali z jednej strony masz prawa i wolności człowieka, z drugiej ich zdrowie. Przykład? Pamiętasz, kiedy w pierwszych miesiącach pandemii kazano nam sprawdzać temperaturę ciała przed wejściem gdziekolwiek? Wciąż podejmuje się rozmowy, czy to było potrzebne, czy może jednak nadmierne, skoro wiele osób chorobę przechodziło bezobjawowo, a same urządzenia czy sposób pomiaru i związana z tym potrzeba zachowania poufności, nie były dobrze zaprojektowane, wytłumaczone czy wykonywane przez ludzi, którym zlecono takie działania. Inny przykład? Badanie trzeźwości pracowników. Jak zapewnić bezpieczeństwo osób schodzących pod ziemię, kiedy ma się uzasadnione podejrzenie, że niektóre z nich mogą być pod wpływem substancji odurzających, a w przepisach prawa brak rozwiązań dla pracodawcy? Czy pracodawca mógł sam taką kontrolę przeprowadzić? Przecież ma obowiązek chronić zdrowie i życie swoich pracowników.
Dlatego Warszatownię zakładałam z myślą, że będzie to miejsce spotkań w grupie życzliwych sobie osób z podobnym bagażem odpowiedzialności, gdzie będzie można zadawać pytania, wymieniać się myślami, doświadczeniami, wzorami. IOD dla IOD‑a to projekt, który mam nadzieję, że już jesienią ruszy pełną parą. Przy czym to nie będzie taki zwyczajny networking. Więcej szczegółów na ten temat znajdziesz na mojej stronie.
Czym zajmujesz się zawodowo?
Jestem Inspektorką Ochrony Danych, w skrócie IOD albo z ang. DPO (Data Protection Officer). Jeden z moich szefów mówił o mnie JODA. Zajmuję się szeroko rozumianym bezpieczeństwem informacji, ze szczególnym akcentem na dane osobowe.
O co chodzi z tymi danymi osobowymi? I dlaczego w ostatnich latach to tak bardzo popularny temat?
To ciekawe, bo dane osobowe chronimy już od lat. Pierwsza ustawa, która obowiązywała w Polsce to akt z 1997 roku. A wydaje się, że najwięcej popularności temat ochrony danych osobowych zyskał wraz z pojawieniem się RODO.
Ale to tak naprawdę jest tylko wierzchołek góry lodowej, bo pod spodem jest człowiek (literalnie) i jego wytwory. Nie ma obszaru, w którym nie przekazujemy jakichś danych czy informacji, np. wypełniając formularz u lekarza, zapisując dziecko na kurs, płacąc kartą, włączając komputer, przeglądając Facebooka, umawiając wizytę u fryzjera, korzystając z nawigacji. Każde nasze działanie pozostawia po sobie ślad. Te ślady mogą być tylko oderwanymi od siebie danymi, ale systematycznie gromadzone w jednym miejscu mogą prowadzić do naszej identyfikacji albo jednoznacznie nas identyfikować, a wtedy mówimy o danych osobowych. Wszystkie te dane zasilają innych, z którymi wchodzimy w interakcje, służą gromadzeniu dóbr i generowaniu konkretnych pieniędzy. Po krótce chodzi zatem o to, by ta transakcja wymiany, czyli moje dane – wzbogacanie Twojego biznesu, była legalna, uczciwa, a jej zasady transparentne dla obu stron.
Płatności kartą a dane osobowe
Przykład – jeżeli masz zwyczaj płacenia kartą płatniczą, na podstawie twoich transakcji bank robi różne statystyki i dzięki temu poznaje twoje potrzeby konsumenckie. Wie, że wydajesz więcej lub mniej, niż zarabiasz. A to pomaga mu przygotować dla ciebie konkretną ofertę, np. na dodatkową kartę kredytową lub rachunek oszczędnościowy.
Programy lojalnościowe a dane osobowe
Jeżeli korzystasz z kart lojalnościowych, koszyk zakupów "odkłada się" na twoim koncie stałego klienta. Dzięki temu sklep poznaje na bieżąco preferencje zakupowe twoje i innych zarejestrowanych klientów. Wykorzystując ogromne ilości tych z pozoru drobnych informacji, sklep może prowadzić akcje promocyjne, które z dużym prawdopodobieństwem przykują twoją uwagę i zachęcą cię do kolejnych odwiedzin. I o ile takich operacji czy działań możemy się spodziewać w tych konkretnych relacjach, to istnieje wiele takich praktyk, które są nadmiarowe lub nawet nielegalne.
Media społecznościowe i dane osobowe
Wyobraź sobie, że jesteś użytkownikiem mediów społecznościowych. W mediach oznaczasz się jako szczęśliwa mama dwudniowego niemowlęcia, po czym dostajesz od tego ulubionego sklepu informację, że specjalnie dla ciebie przygotował zestaw ubranek dla noworodka, chociaż ty nigdy dotąd nie kupowałaś i nie byłaś zainteresowana ciuszkami dla maluszków. Coś jest nie tak! Właśnie po to chronimy dane, właśnie po to są specjaliści od danych osobowych.
Wracając do pytania, na naszych danych (nie tylko osobowych) zarabia się, tworzone są nasze profile zakupowe, profile zainteresowań, próbuje się tworzyć predykcje – a te zamieniane są na konkretne oferty. Chodzi o to, żebyśmy nie byli wrzucani do konkretnych baniek informacyjnych, żeby nikt nie decydował za nas, czego chcemy lub możemy chcieć i żebyśmy mogli oglądać informacje, robić zakupy zgodnie z naszą wolą, a nie podrzuconym profilem klienta, stworzonym przez algorytm. I oczywiście, by informacje te były bezpieczne, a my, żebyśmy nie bali się, że trafią w niepowołane ręce.
Mam wrażenie, że wiele osób nie rozumie kwestii danych osobowych i przy próbie kontaktu z firmą zastrasza kwestią RODO. Dostrzegasz to zjawisko?
Tak, oczywiście, że dostrzegam. Pamiętam to szczególnie na początku, kiedy wybiła data 25 maja 2018 roku. Media przytaczały coraz to nowsze absurdy związane ze stosowaniem przepisów RODO w praktyce. Dotyczyły drobnych, choć wciąż istotnych i w gruncie rzeczy śmiesznych historii dnia codziennego: zdejmowania tabliczek z imieniem i nazwiskiem sprzed drzwi wejściowych do pokoi służbowych; "wysyp" Czerwonych Kapturków i Misiów Puchatków przed gabinetami lekarskimi; zakaz publicznego wymawiania imienia i nazwiska ucznia, który otrzymał świadectwo z wyróżnieniem; czy wreszcie pilne żądania kredytobiorców, by wykonać ich prawa do bycia zapomnianym w rejestrach bankowych. Ale niestety zdarzały się również historie zdecydowanie niebezpieczne i tragiczne – chociażby ta, w której rodzicom dzieci poszkodowanych w wypadku autokarowym odmawiano udzielenia informacji dotyczących szpitala, do którego zostały przewiezione. I tu właśnie rola specjalistów, którzy pomogą i nauczą organizacje czy firmy, jak działać i postępować, oraz przedsiębiorców, bo to oni nas, IOD‑ów, wybierają i wspomagają lub nie.
Jak legalnie zaproponować potencjalnemu klientowi współpracę? Na stronie firmowej lub na profilu w social mediach znajdują się dane takie jak mail i telefon. Czy można zadzwonić lub wysłać maila bez obawy o to, że ktoś nas zgłosi do inspektora danych osobowych?
I to jest właśnie jedna z takich rzeczy. To nie RODO zabrania prowadzenia działań marketingowych, a dwa konkretne przepisy – art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne. Krótko mówiąc, z odbiorcą mailingu musi łączyć cię relacja, np. wykonywaliście już razem jakiś projekt, sprzedałaś mu swój produkt lub usługę.
Wiem, że strony firmowe właśnie temu służą, by zachęcić i ułatwić kontakt. Nasz ustawodawca jest jednak w tym zakresie bardzo restrykcyjny, by chronić nas przed niechcianym spamem. Wymaga od nas, by kontakt taki był wcześniej przez odbiorcę zaakceptowany. To znaczy, że odbiorca wyraził na niego zgodę – obwarowaną wieloma wymaganiami! Niestety podanie numeru telefonu oraz adresu mailowego na stronie firmowej wymagań tych nie spełnia, a wykorzystywanie tych danych lub tworzenie z nich baz danych może przynieść sporo problemów.
Jak można zatem nawiązać kontakt? Tylko poprzez aktywność, np. budując newsletter, oferując dostęp do e-booka, wykorzystując do tego formularze zgody wszędzie tam, gdzie się pojawiasz.
Jak legalnie prowadzić firmę w czasach ochrony danych osobowych?
Chyba najłatwiej jest, gdy na ochronę danych osobowych spojrzymy przez swoje okulary, ale! – z perspektywy klienta. Moja podpowiedź – kiedy zaczynasz działać, zastanów się, czego ty sama nie chciałabyś doświadczyć, podając informacje o sobie.
Dla przykładu, a niestety wszystkie pochodzą z życia, ja nie chciałabym, żeby moje dane zostały:
- opublikowane bez mojej zgody – wizerunek chociażby, warto pamiętać, że pozowanie do zdjęcia nie oznacza tego samego, co zgoda na rozpowszechnianie wizerunku;
- zagubione – i tak myślę sobie, czy naprawdę uzasadnienia spraw sądowych, pozwy, akty notarialne powinny być pisane w pociągu;
- udostępnione, np. w trakcie głośnej rozmowy – są przecież takie osoby, które możemy zidentyfikować, wymieniając wyłącznie ich imię i nazwisko albo nazwę organizacji i jej funkcję, albo imię i przynależność do partii politycznej; czasami nie trzeba wiele, by zdradzić poufne informacje o innych;
- nieodwracalnie usunięte – np. gdy okazuje się, że twój dentysta został skutecznie zhakowany i w ten sposób utracił dostęp do twoich danych, w tym historii leczenia.
Jakie obowiązki związane z danymi osobowymi spoczywają ma właścicielu firmy?
Niezależnie od tego, czy jesteś sklepem zoologicznym, szewcem, influencerką, prowadzisz kancelarię, czy pracownię rękodzieła zawsze chodzi o to, by systematycznie (wiem, to trudne), wraz z powiększaniem się twojej firmy sprawdzać:
- gdzie zbierasz dane,
- w jakim celu,
- jaki jest ich zakres,
- jak je zabezpieczasz,
- kto może mieć do nich dostęp,
- jak długo te dane przechowujesz.
Im więcej tych pytań sobie zadasz, tym więcej będziesz mogła przewidzieć. A o to właśnie chodzi – o działanie prewencyjne, transparentność, rozliczalność. Dlatego, pozwól, że ubiorę to znowu w przykłady.
- Zabezpiecz dane podczas ich zbierania – poufność podczas rozmowy; szyfrowanie formularzy, gdy zbierasz je online.
- Zbieraj tylko tyle, ile potrzebuje twój biznes – np. by umówić się do kosmetyczki, wystarczy, że zapytasz o numer telefonu i imię, ale by umówić wizytę do lekarza, zapewne zapytasz również o PESEL.
- Ustal zasady ze swoimi współpracownikami. Wyjaśnij, dlaczego i do jakich danych mają dostęp – np. zastanów się, czy wynajęta przez ciebie agencja marketingowa powinna mieć dostęp do adresów pocztowych twoich klientów? Jeżeli tak, to w jakim celu? Czy fotograf, z którym współpracujesz, nawet od lat, powinien mieć wgląd w twoje zestawienia podatkowe albo listy płac pozostałych współpracowników?
- Wykup firmowy pakiet poczty elektronicznej i innych aplikacji, które będziesz potrzebowała w swojej firmie i utwórz domenę firmową. Na pewno będzie to wyglądało profesjonalnej niż @gmail.com, a co najważniejsze, nawet po zakończeniu współpracy z pracownikiem będziesz miała dostęp do danych historycznych potrzebnych do dalszej pracy.
- Napisz regulamin usługi i/lub politykę prywatności. Będziesz miała możliwość przedstawić się swoim klientom oraz określić zasady świadczenia usług, a przy okazji spełnisz wymagania określone prawem.
- Udostępnij dane do kontaktu w sprawach związanych z ochroną danych osobowych i odpowiadaj na takie maile.
- Ucz się, podglądaj najlepszych, jak radzą sobie z trudnymi tematami z tego zakresu, a jeżeli wciąż nie wiesz, nie pozwól, by wątpliwości same się wyjaśniły, tylko poproś o pomoc specjalist(k)ę.
Istnieją jakieś dobre praktyki związane z zarządzaniem i ochroną danych osobowych, o których powinni pamiętać przedsiębiorcy?
Trafiłaś w sedno! Wykorzystywanie danych osobowych, które w każdym biznesie, nawet najmniejszym, pojawią się na pewno, wymaga ciągłej pracy – wspomnianego przez Ciebie zarządzania nimi. Dobrze odrobiona praca domowa w początkowej fazie rozwoju działalności, czyli zadanie sobie trudu postawienia pytań i szczerego odpowiedzenia na nie, to już połowa sukcesu. Dzięki temu wiesz, w jaki sposób i jakie dane pojawiają się w twoim biznesie. Wiesz zatem już bardzo dużo. Każda kolejna usługa, kolejny formularz, strona internetowa, konto w mediach społecznościowych, integracja z aplikacją, zmiana przepisów prawa, reorganizacja – to kolejne puzzle, które wymagają uważności i zaopiekowania.
Jeżeli nie czujesz się na siłach, zleć dalsze działania innym. Może jest w twoim otoczeniu ktoś, kto sobie z tematyką RODO poradził. Jeżeli nie, spróbuj znaleźć osobę, która ci w tym pomoże. Na początku, kiedy każdy grosz się liczy, możesz zaoferować wymianę barterową. Chodzi o to, byś wraz z rozwojem swojej firmy miała kontrolę również nad tym obszarem.
A polityka prywatności i pliki cookies… czy muszą znaleźć się na każdej stronie internetowej?
I tu wracamy do wcześniej wspomnianych śladów cyfrowych. Pliki cookies, niewinnie nazywane też "ciasteczkami", to małe pliki tekstowe, zostawiane na twoim urządzeniu przez strony internetowe, które odwiedzasz. To trochę jak notatka dla przeglądarki internetowej. Dzięki temu, gdy wrócisz na oglądaną już wcześniej stronę www, przeglądarka cię rozpozna i dostosuje się do twoich potrzeb, np. wyświetli ją, tak byś mogła przeglądać ją z telefonu, tabletu czy komputera.
Problem pojawia się wtedy, gdy funkcje ciasteczek zaczęto modyfikować i zaczęły, zgodnie z tym, do czego zostały stworzone, zbierać o nas coraz więcej i coraz wrażliwsze informacje. Zaczęły między innymi śledzić nasze ruchy na stronie, a w konsekwencji kontrolować nasze preferencje. Właściciele stron przy wykorzystaniu konkretnych narzędzi mogą tworzyć statystyki, wiedzą zatem, w której części umieścić konkretny komunikat czy produkt, by przykuć naszą uwagę. Co więcej, mogą to robić z uwzględnieniem naszej płci, wieku, położenia geograficznego. Przy czym, pamiętajmy, że w przeglądarkach internetowych istnieją sposoby kontroli plików cookie. Możesz je zablokować, zezwolić na ich obsługę, ale też wybrać konkretne witryny, z których pliki cookie będą akceptowane do obsługi.
Reasumując, informacja o wykorzystywaniu ciasteczek nie musi znajdować się na tych witrynach, które z cookies nie korzystają bądź wykorzystują je wyłącznie do celów technicznych. Tam jednak, gdzie firma wykorzystuje specjalne skrypty, służące do śledzenia statystyk bądź emituje reklamy, taka informacja jest niezbędna, a jej brak może naruszyć nie tylko portfel przedsiębiorcy, ale i jego reputację czy dobre imię.
Czym jest prawo do prywatności? O czym muszą w tej kwestii wiedzieć przedsiębiorcy? Czy mogę zamieścić np. zdjęcia bohatera artykułu w wywiadzie takim jak ten?
Prawo do prywatności to jest bardzo szerokie pojęcie. Dotyczy właściwie każdej sfery naszego życia – tożsamości, integralności fizycznej, życia seksualnego, leczenia i przeprowadzania zabiegów medycznych, ochrony danych osobowych, ochrony korespondencji (listownej i elektronicznej), gromadzenia danych, opieki nad dziećmi, utrzymywania kontaktów z rodziną, miru domowego, czci, a także dobrego imienia.
Co wspólnego mają z tym przedsiębiorcy? Pamiętasz czasy, gdy podczas rozmowy kwalifikacyjnej pytano kandydatów o wiek, albo zwłaszcza kandydatki, czy mają męża, dzieci albo zamierzają je mieć. A może słyszałaś o przypadkach, gdy:
- na zlecenie pracodawcy pracownik korzystał ze skrzynki mailowej swojego kolegi, który był w tym czasie na urlopie;
- dział HR monitorował media społecznościowe, aby ustalić, czy na pewno osoby, które przesłały zwolnienie, są chore, a nie np. na Majorce;
- pracodawca żądał od związku zawodowego informacji, którzy pracownicy są członkami związku;
- przedsiębiorca zainstalował monitoring wizyjny bez wiedzy pracowników?
Takie zachowania przedsiębiorcy są właśnie naruszeniem prawa do prywatności – tu pracowników.
A co w takim razie z klientami i prawem do prywatności?
Przyjmijmy, że jesteś firmą, która udziela pożyczek. By ją otrzymać, klient musi wypełnić formularz, a decyzja generowana jest przez algorytm. Klient w krótkim czasie otrzymuje wiadomość – tak lub nie. Wydaje się, że szybko, prosto, zatem efektywnie… tylko że ten klient, my wszyscy, mamy prawo, żeby decyzje w naszych sprawach nie były podejmowane w sposób zautomatyzowany, tj. przez komputer, bez działania człowieka.
Inny przykład, zajmujesz się sprzedażą dropsów. Posiadasz bazę subskrybentów na firmowym Facebooku. Twój profil ma zachęcać do skorzystania z twoich usług, reklamować produkty, zapowiadać ważne wydarzenia firmy… okazuje się jednak, że tę samą bazę wykorzystujesz zupełnie do innych celów, np. by zachęcić do głosowania na konkretnego kandydata w wyborach na prezydenta albo reklamować aplikację randkową, która ma się nijak do twojej działalności.
A publikacja zdjęć w artykułach i online?
Oczywiście, że możesz umieścić moje zdjęcie… jednak, pod warunkiem, że to wcześniej ustalimy. Niezależnie od tego, czy robisz to w celach prywatnych, zarobkowych czy zawodowych, o zgodę zapytać należy zawsze. W tym pierwszym przypadku chodzi o zasady współżycia społecznego – te nakazują, byśmy szanowali prawo innych osób do decydowania o sobie ("to be let alone"). W tym drugim, również o przepisy RODO, musisz zatem wykazać podstawę prawną – dlaczego przetwarzasz moje dane osobowe, wskazać cel oraz poinformować mnie w łatwy i przystępny sposób o tych zasadach i moich prawach.
Jak zadbać o cyberbezpieczeństwo firmy w czasach życia online i social mediów?
Pierwsze, o czym pomyślałam, to wieloskładnikowe uwierzytelnienie. Poza tym zwracaj uwagę na maile, SMS-y, telefony – bądź ostrożna, zanim otworzysz załącznik (phishing), wejdziesz w link SMS (smishing) czy podasz dane przez telefon (vishing). Działania oparte na socjotechnice, ich nazwy w nawiasie powyżej, przyjmują coraz bardziej wysublimowane formy manipulacji.
Zwracaj uwagę na bezpieczeństwo podczas wideo rozmów, np. nie używaj więcej niż raz tego samego linku do rozmów, nawet w zaufanej grupie osób. Sprawdź, czy osoby, które biorą udział w spotkaniu, na pewno zostały zaproszone. Uważaj, gdy udostępniasz ekran. Kiedy używasz kamery, zwróć uwagę, co znajduje się za twoimi plecami.
Foldery czy pliki, udostępniaj przez określony czas, nawet jeśli wysyłasz je do osób, które znasz i z którymi teraz współpracujesz. Nie musi być tak zawsze. Twoje know-how jest twoim najcenniejszym zasobem!
Wykorzystuj oprogramowanie antywirusowe. Aktualizuj urządzenia. Korzystaj z porad specjalistów! To tak na początek.
Kim jest inspektor danych osobowych i czym się zajmuje?
Powiedziałabym, że jest doradcą. Załóżmy, że tworzysz nową usługę – platformę szkoleniową. By móc wziąć udział w twoich szkoleniach, muszę stworzyć swoje konto. W mojej przestrzeni mam kalendarz spotkań, linki do nich, nagrania, mogę zostawić swoje notatki, korzystać z komunikatora. Tu do pomocy przychodzi IOD, który pomoże obrać warstwa po warstwie twój projekt. Pokaże miejsca, na które trzeba zwrócić szczególną uwagę. Podpowie, czy należy zrobić jeszcze jakieś analizy, może skontaktować się z organem nadzorczym (UODO), podpisać dodatkową umowę albo sprawdzić, czy zakres zbieranych danych nie obciąża zanadto użytkowników.
Często staje się też managerem projektu. Dla przykładu, kiedy w czasie pandemii odkrywaliśmy zalety pracy zdalnej, moim zadaniem było doradzanie:
- w jaki sposób tę pracę możemy bezpiecznie wykonywać poza biurem, np. jak wyposażyć dodatkowo komputery służbowe,
- czy wdrażać politykę urządzeń prywatnych używanych do celów służbowych (BYOD),
- jak zapewnić poufność transmisji danych,
- jakie dodatkowe metody weryfikacji przyjąć i czy mamy podstawy do ich wdrożenia,
- czy i jak kontrolować efektywność pracy pracowników podczas pracy zdalnej,
- czy umożliwić pracę na dokumentach papierowych w domu.
Tych tematów tylko dla tego jednego zagadnienia powstawało na bieżąco bardzo dużo. Aby móc na nie odpowiedzieć, zwykle potrzeba rzeszy osób w organizacji – dział IT, HR, prawny, dyrektorzy różnych departamentów i regionów. Powstaje projekt. W takich sytuacjach potrzebna jest osoba, która te wszystkie pytania, wątpliwości i uzgodnienia zbierze w jednym miejscu, spisze rekomendacje, dotrze do kierownictwa i nie odpuści po drodze. To może być właśnie IOD.
Jest też audytorem. Kiedy zauważam, że jest problem ze stosowaniem jakichś wytycznych albo nagminnie zdarzają się incydenty w jakimś konkretnym obszarze, próbuję odkryć, dlaczego tak się dzieje. Analizuję dokumenty, sprawdzam, jak naprawdę działają pracownicy, dopytuję, dlaczego tak robią – a kiedy mam już cały materiał, staram się dawać konkretne rekomendacje.
IOD jest też:
- detektywem, gdy wydarzy się naruszenie;
- negocjatorem, gdy rozmowy są trudne;
- szkoleniowcem lub trenerem, gdy prowadzi warsztaty;
- "prawnikiem", kiedy opiniuje umowy…
Co do zasady IOD zajmuje się ochroną danych osobowych, ale jak widzisz, trzeba na nie patrzeć przez pryzmat szeroko rozumianego otoczenia informacyjnego każdej organizacji, w tym również z perspektywy cyberbezpieczeństwa.
Kiedy firma potrzebuje inspektora danych osobowych?
Moim zdaniem zawsze – w mniejszym lub większym zakresie, ale zawsze. Nawet jeżeli jesteś małym przedsiębiorcą, przetwarzając dane osobowe swoich klientów, będziesz miała pytania, będziesz potrzebowała pomocy, przynajmniej na początku albo co jakiś czas. Natomiast w myśl przepisów, obowiązek wyznaczenia IOD-a mają tylko:
- organy i instytucje publiczne, z wyjątkami;
- organizacje, których głównym zajęciem jest przetwarzanie danych na szeroką skalę w sposób stały i uporządkowany, np. firmy badawcze, technologiczne, ubezpieczeniowe, banki;
- organizacje, które przetwarzają w dużych ilościach dane szczególnych kategorii, np. komitety wyborcze, służby zdrowia, i/lub dotyczące wyroków skazujących i czynów zabronionych.
Uważa się jednak, że choć wyznaczenie IOD jest nieobowiązkowe, to współpraca z takim specjalistą potrzebna jest wszędzie! A jest to opinia zarówno Urzędu Ochrony Danych Osobowych (UODO), Europejskiej Rady Ochrony Danych Osobowych oraz moja własna.
Co najbardziej lubisz w swojej codziennej pracy?
Najbardziej lubię to, że jest moją pasją, i to, że łączy w sobie tak wiele obszarów – prawo, informatykę, zarządzanie, zagadnienia cyberbezpieczeństwa, AI, społeczną odpowiedzialność, prawa człowieka. W tę rolę, uwierz mi, z góry wkomponowano brak nudy.
Tu nie ma identycznych przypadków. Każdy z nich trzeba rozpatrywać z osobna, nic nie zakładać, podążać za ludźmi i ich pomysłami. Ta praca stwarza wiele wyzwań. Wymaga wielu kompetencji. Każdego dnia pojawiają się nowe wytwory ludzkiego umysłu, nowe technologie, nowe regulacje, wytyczne, opinie, wyroki, decyzje.
Dlatego tak bardzo lubię swoją pracę, bo wymaga, żebym na bieżąco śledziła zmiany, uczyła się, szlifowała warsztat, umiała zainteresować moich rozmówców, przekonać, wysłuchać… Ta praca daje mi też wiele możliwości rozwoju. W jednej godzinie opowiadam, dlaczego ochrona danych osobowych jest taka ważna, w kolejnej śledzę zapisy regulaminu usługi, w jeszcze innej wywołuję burzę mózgów, by napisać konkretną politykę, albo rozmawiam z zarządem o naruszeniach, które mogą zaszkodzić firmie.
Jak wygląda Twój typowy dzień w pracy jako inspektor danych osobowych?
Co do zasady jest zaplanowany, ale… nauczyłam się, że to planowanie musi zawierać w sobie margines błędu. Dzięki temu jestem bardziej elastyczna i nie przejmuję się, gdy wpada coś niezapowiedzianego. Lubię tę dynamikę, sama zresztą ją kreuję. Jeżeli zapytasz kogokolwiek, z kim dotąd współpracowałam, pewnie powie, że jestem wulkanem pomysłów, nowych inicjatyw, nie tylko tych stricte związanych z moją pracą. To mnie uskrzydla i daje niesamowity boost energii. Moja ciekawość mnie napędza. Dzięki niej nie boję się też działać. A kiedy wokół mam ludzi, którzy myślą podobnie, to każdy dzień przynosi możliwości, rozwiązania i zawsze jakieś doświadczenie.
Natalia Bender:
- Założycielka i dyrektorka zarządzająca Warsztatownia.eu.
- Członkini Instytutu Prawa Ochrony Danych Osobowych, który powstał na Akademii Ekonomiczno-Humanistycznej pod patronatem i we współpracy z Urzędem Ochrony Danych Osobowych: członkini grupy roboczej ds. Mediów, grupy roboczej ds. Inspektorów Ochrony Danych oraz grupy roboczej ds. Bezpieczeństwa Informacji.
- Specjalistka z zakresu zarządzania, ochrony danych osobowych, prawa do prywatności, prawa pracy, cyberbezpieczeństwa.
- Praktyczka: przeszkoliła ponad 1500 osób, przeprowadziła samodzielnie ponad 60 audytów.
- Wykładowczyni.
- Doktorantka Uniwersytetu Warszawskiego: bada zjawisko Cyberlustracji w procesach naboru.
Dowiedz się więcej o biznesie w Polsce i na świecie.