Jak oceniać oficera Compliance i Inspektora Ochrony Danych?

Pierwszą intuicyjną odpowiedzią w organizacjach jest – należy oceniać po ilość naruszeń. Często słyszę „u nas system świetnie działa, nie ma żadnych naruszeń. Mamy świetnego oficera Compliance/IOD`a.”. Niestety może to być złudne poczucie bezpieczeństwa. W każdej organizacji, wcześniej lub później dojdzie do naruszenia. Pytanie brzmi tylko jak będzie duże? Jak szybko zostanie wykryte? I jak podmiot na nie zareaguje? Jakie podejmie działania po? Oczywiście w danej organizacji przez jakiś okres czasu faktycznie może nie być naruszeń. Ale jeżeli to duży podmiot i przez parę lat nic się oficjalnie nie zdarzyło to z wysokim prawdopodobieństwem można stwierdzić, że system nie działa lub działa źle. Nie ma cudów. Im większa organizacji, im więcej pracowników tym większe prawdopodobieństwo, że ktoś umyślnie lub nieumyślnie dokona naruszenia. Lub po prostu coś się zdarzy, np. pożar, awaria serwerów, kradzież itp. itd. Dlatego jak słyszę, „u nas jest świetnie, nie ma żadnych naruszeń, ani zgłoszeń. To oznacza, że Oficer Compliance/IOD dobrze wykonuje swoje obowiązki”, to wiem, że najprawdopodobniej popsuję komuś samopoczucie uświadamiając go jaka jest prawda.

Polecamy: Nowa matryca stawek VAT

Oczywiście możemy mieć też do czynienia z sytuacją odwrotną – zdarza mi się usłyszeć „u nas doszło do naruszenia więc system nie działa lub jest wadliwy. Oficer Compliance/IOD zawiódł”. To, że doszło do naruszenia nie oznacza, że system nie działa lub jest wadliwy. To nie oznacza, że Oficer Compliance/IOD zawiódł. Może tak być ale nie musi.

Oficera Compliance/IOD`a należy oceniać między innymi po tym jak zareagował na naruszenie i co zrobił lub nie po nim. Dla mnie każdy kryzys to nauka co poprawić w systemie. Zresztą każde naruszenie pokazuje gdzie jest słaby punkt systemu. Czy zawiódł człowiek (top management, kierownictwo, oficer Compliance/IOD lub pracownik)? Czy też zawiodło coś innego? Pamiętajmy, że oficer Compliance/IOD to tylko jeden z trybików w systemie. Pamiętajmy, że WSZYSCY. I to totalnie wszyscy: od top kierownictwa po szeregowego pracownika, współpracownika, po każdego interesariusza, odpowiadają za bycie Compliance (przestrzeganie przepisów, norm i obowiązków). Polecam artykuł: „Compliance – czyja to odpowiedzialność?”.

Wiem, że są różne sposoby oceny pracy oficera Compliance albo IOD`a. Stosuje się np. KPI albo porównuje do tzw. dobrych wzorców lub standardów.

Kiedy ja dokonuję oceny pracy oficera Compliance albo IOD`a to zawsze sprawdzam następujące rzeczy.

1. jego aktywność. Oficer Compliance/IOD ma być aktywny. Musi zadbać o komunikację, szkolić ludzi, dokonywać audytów, wspierać ludzi i swą organizację (np. nie wyobrażam sobie by nie odpisywał na emaile z pytaniami) itd. itp. Musi przewidywać, sprawdzać i czuwać,
2. jego niezależność, jego umocowanie, jego zasoby i wsparcie które otrzymuje od najwyższego kierownictwa. Oficer Compliance powinien, a IOD musi być niezależny. Nie mogą zachodzić w ich przypadku żadne konflikty interesów. Oficer Compliance/IOD musi posiadać odpowiednie umocowanie i odpowiednie zasoby oraz mieć wsparcie najwyższego kierownictwa. To jest warunek sine qua non jego skutecznego działania. Bez tego jego szanse na sukces są nikłe. O ile w ogóle istnieją,
3. jego kompetencje i jego rozwój. Oficer Compliance/IOD musi posiadać już na starcie odpowiednie kompetencje. A potem musi się cały czas dokształcać. Zwykle proszę o listę kursów/szkoleń itp. które ukończył w ostatnich latach i plan szkoleń. Od razu widać czy organizacja dba o jego rozwój czy nie. Kto się nie rozwija ten się cofa. Rzeczywistość zmienia się tak szybko, że kto był dobry wczoraj, bez nauki dziś może być kiepski a jutro do niczego.

Oczywiście sprawdzam, też czy jest niezbędna dokumentacja (w tym procedury), czy są robione analizy ryzyk itp. itd.

Zadaję setki a czasami tysiące pytań. O różne rzeczy. Zawsze też mówię „udowodnij lub chociaż uprawdopodobnij to co mówisz”.

Każda organizacja jest inna i ma inny Compliance, czy też System ochrony danych osobowych. Oficerowie Compliance mają różne zakresy obowiązków i różną pozycję w różnych podmiotach. W przypadków IOD`ów jest prościej bo RODO nakreśliło pewne ramy.

Zawsze do oceny oficera Compliance/IOD`a trzeba podejść indywidualnie. To połączenie nauki i sztuki. Wymaga wiedzy i doświadczenia. Ale również otwartego umysłu, umiejętności analizy i ciekawości.