Dawno, jako początkujący Manager w dużej organizacji, od mojego Mentora usłyszałam, między innymi, takie oto słowa: „Wprowadzając jakiekolwiek procesy, procedury, pamiętaj, aby zostały wyjaśnione, napisane takim językiem, żeby najmniej doświadczona osoba w firmie wszystko zrozumiała.” Mocno wzięłam sobie tą zasadę do serca i pełniąc funkcję oraz prowadząc wykłady, szkolenia dla Managerów, przyszłych Inspektorów Ochrony Danych, rozmawiam z nimi tak, aby zrozumieli i potrafili w praktyce wykorzystać najważniejsze aspekty związane z ochroną prywatności w procesach biznesowych.
Do czego zmierzam? Zostałam poproszona o napisanie artykułu o nowej, bardzo ważnej roli w procesie przetwarzania danych osobowych, a mianowicie o Współadministratorze, i co za tym idzie o współadministrowaniu. Chodziło o to, aby przedstawić tę ważną funkcję i proces w ujęciu teoretycznym i praktycznym. Na pierwszy rzut oka, po przeczytaniu Art. 26, 30 i 36 RODO uznałam, że to proste, ponieważ skoro znamy definicję Administratora Danych Osobowych i Współadministratora, wiemy, jakie obowiązki i odpowiedzialności musi spełnić, to współadministrator będzie miał dokładnie te same, tylko że w drodze uzgodnień strony odpowiednio podzielą się nimi. W artykule tym zostały zaproponowane rozwiązania, jak sobie w praktyce poradzić z tak zwanym „punktem kontaktowym”, gdzie ewentualnie umieścić „zasadniczą część uzgodnień”, czyli informację o dokonanym pomiędzy Współadministratorami podziale obowiązków i odpowiedzialności, jak zakomunikować osobom, których dane dotyczą o możliwości dociekania ich praw, jakie informacje dodać do obowiązku informacyjnego itd. Przypomniana została „zasada rzetelności i przejrzystości” w poinformowaniu i komunikacji osoby, której dane dotyczą o całym procesie współadministrowania. Ponieważ, jako autor tekstu, czytam go już z pamięci, nie zauważając literówek i interpunkcji, artykuł został przeczytany przez osobę, która z ochroną danych osobowych niewiele ma na co dzień wspólnego. I usłyszałam, cytując …. „Normalny człowiek zgubiłby się po tytule!” I dalsze pytania. Co to jest RODO, ADO, IOD, współadministrator, obowiązek informacyjny, jakieś uzgodnienia, punkt kontaktowy, szacowanie ryzyka, uprzednie konsultacje, grupa przedsiębiorstw, odpowiednie polityki, lex specialis? Ja chcę tylko, w ramach wspólnego projektu, wysłać Newsletter! A co tu mówić o zbiorach „Kandydaci do pracy”, „Pracownicy”, „Baza marketingowa” oraz innych, przetwarzanych w ramach wspólnych projektów. Dodam tylko, że artykuł, ze względu na swoja objętość, nie poruszał dalszych kwestii, jak przekazywania danych do państwa trzeciego oraz innych, ważnych w procesie współadministrowania. Na swoje usprawiedliwienie miałam tylko to, że artykuł napisany został dla czasopisma branżowego, traktującego wyłącznie o aspektach związanych z ochroną prywatności, i tak, w mojej opinii, językiem przystępnym dla każdego 🙂
Z punktu widzenia DPO, nasuwa się refleksja, jak sobie z tym poradzić, bowiem na Inspektorach Ochrony Danych spoczywa wiele zadań, obowiązków i wyzwań, ale chyba najważniejsze jest to, aby „wprowadzając jakiekolwiek procesy, procedury, pamiętać, aby zostały wyjaśnione i napisane takim językiem, żeby najmniej doświadczona osoba w firmie wszystko zrozumiała.”
Dziękuję / Data Protection Officer / „Privacy By Design”
Felieton mogą państwo pobrać w formacie pdf tutaj.