Nelehký život pověřence aneb lidský faktor GDPR

Tomáš Anderle, šéf marketingu, se zamračil: „Kateřino, my ale potřebujeme tu aplikaci nasadit co nejdříve! Proč teď najednou zdržujete s GDPR? Na to bylo času dost." 

Pověřenkyně pro ochranu osobních údajů Kateřina Nováková, zvyklá hájit důležitost compliance, řekla klidným hlasem: „Nemůžeme onboarding spustit jen tak. Musíme klienty informovat aspoň o nutných základech. Tím spíš, že plánujete v prvních měsících nabrat tisíce nových klientů." 

Anderle sepjal ruce za hlavou. Zhluboka vydechl a zaklonil se ve své kancelářské židli, až v ní zapraskalo. Ušklíbl se: „Chápu, že GDPR je vaše téma, ale s tím jste prostě měla přijít dřív. Už teď jsme ve skluzu.” 

Udělal významnou pauzu. „Vaše doporučení zohledníme, ale až v průběhu pilotu."

Nováková se zamračila: „To není dobrý nápad, Tomáši. V tomhle nemůžeme dělat kompromisy. Stačí jeden kverulant nebo podnět od konkurence na ÚOOÚ a máme na krku kontrolu."

Anderle opáčil: „Tohle jste měla přinést před půl rokem. Teď si vzpomenete na poslední chvíli, kdy hoří úplně jiné věci. Informační okénka fakt teď nejsou priorita.”

Napřímil nohy, až s ním kolečková židle lehce popojela. „A o rizicích mě nemusíte poučovat, Kateřino. Pokuta by v tomhle případě pro firmu zdaleka nebyla to nejdražší."

Kateřina se nevzdává. „Nechci vás poučovat. Jde mi o to, abychom udělali, co je správné. I když to potrvá trochu déle. Přece nechcete hazardovat s ochranou údajů našich klientů. To by bylo přece i proti našim firemním hodnotám." 

Začala hrát znělka, kterou oba dobře znali. Teamsy. Příchozí hovor. Tomáš střelil pohledem na notebook.

„Tohle musím vzít. Omlouvám se, ale už nemám čas.” Anderle popadl notebook a odešel ze zasedačky.

Kateřina zůstala v prázdné zasedací místnosti...

Lidský faktor v compliance 

Jak se vám popsaná situace zamlouvá? 

Zažili jste to někdy i vy sami?

Ochrana osobních údajů a compliance obecně nás leckdy staví do situace, kdy tou zdaleka největší výzvou není rozklíčovat regulatorní požadavky a správně vyhodnotit rizika. Naopak, nejpalčivější nástrahou se mohou stát naši kolegové a kolegyně – kterým možná „naše” compliance komplikuje cestu k cíli. Od toho chybí jen krůček k silným emocím, silným slovům a eskalaci k nadřízeným.

Je důležité na tuto lidskou stránku naší práce myslet. Proto jsme se rozhodli načrtnout tři situace, jejichž aspekty vám možná budou povědomé. Pro každou jsme přidali tip, jak s danou situací naložit, aby pro dotyčného compliance specialistu dopadla co nejlépe. 

Krizová situace č. 1: Špatná zpráva pro člena boardu 

Chystá se spuštění nové klientské aplikace a uvedení nového produktu na trh. Datum spuštění je zároveň jedním z KPI člena boardu odpovědného za marketing. Bohužel vám jako pověřenci dali vědět pozdě. Vaše připomínky ohledně toho, jak má onboardingový proces nového uživatele vypadat, tak zůstaly nevyslyšeny. 

Věděli jste, že vstupy za ochranu osobních údajů nejsou zapracovány – proto jste na pravidelné statusové poradě zdůraznili, že tyto vstupy bude nutné zohlednit. Plné zapracování vašich připomínek však znamená, že spuštění aplikace a rozjezd produktu bude odloženo. 

Všichni na poradě chápavě pokyvovali hlavou – ano, ano, samozřejmě, je důležité být v souladu s GDPR. Měli jste pocit, že jsou všichni ve shodě a vše bude vyřešeno.

Večer vám však přišel ostrý e-mail od člena boardu, kterému o vašem doporučení řekl projekťák. Že by se spuštění novinky mělo odložit, to se dotyčnému členovi boardu mu hrubě nelíbí. Poslal vám proto do kalendáře na páteční ráno poradu, kde má dojít ke „sladění ohledně priorit”.

Jak na situaci č. 1? Více informací může pomoct najít řešení, které pro emoce není vidět

Možná člen boardu potřebuje, kvůli svým KPIs, spustit aplikaci a nový produkt do konce prvního kvartálu. Pokud se neagresivním doptáváním toto dozvíte, můžete navrhnout nové řešení, které sníží rizika. Např. spuštění aplikace před koncem Q1 jen pro pilotní provoz s tím, že požadavky týkající se ochrany osobních údajů budou do procesů aplikace zapracovány až poté – stále však před začátkem ostrého provozu.

Krizová situace č. 2: Nejasný scope projektu

V IT se to může stát snadno: Strategické směřování je jasné, ovšem konkrétní podoba technické implementace vlastně vůbec jasná není. Zamýšlené řešení může být poskládáno z mnoha různých aplikací, systémů a dalších komponent. Ty mohou být provozovány interním IT týmem on-prem, nebo outsourcovány a dodávány externí společností. 

Co se může stát?

V počátečních fázích se často architektura mění pod rukama takřka denně. To, co platilo ještě před týdnem, je náhle na dnešní projektové diskuzi zavrženo.

A pro DPO nebo jiného compliance specialistu je v takové chvíli obtížné zajistit, že vše bude v souladu s regulacemi. Když najednou neplatí to, co bylo minulý týden na projektové poradě potvrzeno, může být snaha o jakékoli rozumné compliance složitá… a možná i nemožná. Nová podoba řešení může aktivovat nové regulatorní požadavky– a jejich naplnění si vyžádá čas.

Jak na situaci č. 2? Aktivně komunikujte a potvrzujte si, jaký je stav a co se změnilo

Když se neustále proměňuje rozsah připravovaných služeb, dodavatelů a datových toků, může to být frustrující. Pokud to neudělá projektový manažer, vždy se sami snažte shrnout, jaký je aktuální stav. Je to pro vás zároveň příležitost vysvětlit ostatním, proč a jak se situace změnila z compliance pohledu a jaké kroky za vás bude tato změna vyžadovat. Ostatní členové týmu to totiž nemusejí vědět.

Krizovou situaci č. 3 naleznete v plném znění článku na GDPR.cz.

Komunikace je základ 

Toto byly základní tipy, jak se v modelových krizových situacích zachovat. V příštím díle projdeme ještě několik dalších situací a poradíme, jak se v komunikačních dovednostech zdokonalit. Abyste byli zdatní jak ve znalosti regulace, tak v jejím praktickém prosazování ve vaší organizaci.