Co czyni z człowieka DPO? Odpowiada Jan, który zaczynał jako programista, przeszedł przez niemal każdy dział w firmie, a obecnie zajmuje się ochroną danych w SMSAPI i Grupie LINK Mobility. Przeczytaj wywiad 10 Pytań do naszego Data Protection Officera, poznaj ludzką twarz RODO.
Jeżeli szukasz odpowiedzi na kwestie związane z samym rozporządzeniem RODO i SMS marketingiem, przeczytaj poniższe FAQ. Na wszystkie pytania odpowiada właśnie Jan Wieczorkiewicz.
1. Czym właściwie zajmujesz się jako Data Protection Officer?
Obowiązki Data Protection Officera (DPO) czy w polskiej wersji Inspektora Ochrony Danych (IOD), są ściśle określone w Artykule 39 Ogólnego Rozporządzenia o Ochronie Danych Osobowych.
W ten zakres wchodzi: funkcja szkoleniowa polegająca na podnoszeniu świadomości pracowników z zakresu ochrony danych, informowaniu kierownictwa np. o decyzjach organów nadzorczych czy też nowych wytycznych Europejskiej Rady Ochrony Danych oraz monitorowanie zgodności firmy z RODO i wewnętrznymi politykami z zakresu ochrony danych. Ostatnią częścią jest bycie punktem kontaktowym z organami nadzorczymi, jeżeli taka konieczność zajdzie.
2. Jesteś jednym z „dinozaurów” SMSAPI. Czym zajmowałeś się zanim zostałeś DPO?
Swoją podróż w firmie zacząłem w dziale IT. Następnie, odwiedziłem większość działów i szczebli zarządzania. Na przestrzeni lat zajmowałem się w zasadzie wszystkim z wyłączeniem marketingu. Przeszedłem przez szereg stanowisk tj. programista, project manager, product owner, kierownik biura obsługi klienta, dyrektor ds. operacyjnych i administracyjnych, kończąc epizodem na stanowisku wiceprezesa zarządu tuż przed przejęciem firmy przez LINK Mobility Group.
W międzyczasie także byłem ABI i później IOD. Od dwóch i pół roku jestem już „tylko” DPO, nie tylko dla SMSAPI, ale też dla całej grupy LINK Mobility Group i jednostek podległych.
3. Skąd to zainteresowanie ochroną danych?
Rozpoczynałem jako programista, stąd też naturalne zainteresowanie bezpieczeństwem wykonywanych przez nas aplikacji. Pewnego dnia kierownictwo zauważyło lukę w postaci braku Administratora Bezpieczeństwa Informacji (ABI), czyli poprzednika IOD według wcześniejszej ustawy. Ja tę lukę wypełniłem. Od tego czasu też zajmuje się tematyką ochrony danych osobowych.
4. Wspomniałeś, że pracujesz również dla firm zrzeszonych w Grupie LINK Mobility. Czy wyzwania, z którymi się mierzą różnią się od tych spotykanych w Polsce?
Odpowiem po „prawniczemu”: to zależy. RODO, jako rozporządzenie, we wszystkich podmiotach UE obowiązuje bezpośrednio. Wymogi regulacyjne są więc dosyć zbliżone. Poszczególne państwa wprowadzają także dodatkowe wymogi regulacyjne, na które trzeba zwracać uwagę.
Niektóre kraje spoza EU, jak Norwegia, gdzie firma ma główna siedzibę, ściśle śledzą regulacje i dostosowują swoje ustawodawstwo do wymagań unijnych. W każdym z państw, w których LINK jest obecny, wspieram się także wiedzą lokalnych osób oddelegowanych do implementacji RODO.
5. Z którymi działami w SMSAPI i firmach Grupy najczęściej współpracujesz?
Zarówno w Grupie, jak i na lokalnym poziomie, są to działy bezpośrednio związane z przetwarzaniem danych: IT, bezpieczeństwo i dział operacyjny, działy prawne oraz sprzedaż i obsługa klienta. Natomiast, pytania dotyczące bardzo różnych kwestii powiązanych z przetwarzaniem danych pojawiają się w zasadzie od każdego zespołu.
6. Skąd czerpiesz informacje na temat ogólnie pojętej ochrony danych?
Istnieje kilka źródeł oficjalnych i nieoficjalnych z których można czerpać praktyczną wiedzę. Do oficjalnych zaliczyłbym strony internetowe urzędów ochrony danych (tutaj głównie francuski i brytyjski) oraz wytyczne publikowane przez EROD.
Jestem także członkiem stowarzyszenia praktyków ochrony danych, w którym mam możliwość spotykać się z innymi IOD-ami, żeby wymieniać informacje i wspólnie rozwiązywać problemy. Do tego dochodzi także lektura publikacji z zakresu ochrony danych, głównie internetowych np. ze stron IAPP.
7. Z jakich narzędzi korzystasz w codziennej pracy?
Internet. Telefon, komputer i pakiet office. Więcej do szczęścia nie potrzeba.
8. Z perspektywy lat, co, poza RODO, było największą rewolucją w branży komunikacji?
Największą zmianą było/jest ujednolicenie prawa telekomunikacyjnego związanego z wdrożeniem dyrektywy EECC. Natomiast to, na co wszyscy czekamy z niecierpliwością i co może mieć znaczący wpływ na rynek marketingowy i komunikacyjny to obiecywana już o dłuższego czasu dyrektywa ePrivacy.
9. Czy pandemia i przejście na home office wpłynęło w jakiś sposób na Twoją pracę?
W związku z tym, że pracuje dla jednostek rozsianych po całej Europie, moja praca polega głównie na kontakcie z osobami przez Internet. Pandemia nie wpłynęła aż tak bardzo na moje codzienne obowiązki, tym bardziej, że już wcześniej miałem kompletnie wyposażone biuro w domu.
Od strony zawodowej przejście na home office nie stanowiło większego problemu. Przyzwyczajenie się do wykonywania zadań mając jeszcze na głowie dwójkę dzieci w wieku przedszkolnym i szkolnym, zorganizowanie lekcji on-line, spotkań i w zasadzie skondensowanie całego życia do jednej lokalizacji wymagało jednak dotarcia i zmiany niektórych nawyków. Pandemia, przynajmniej dla nas miała też sporo pozytywnych elementów, jak np. zdecydowanie więcej czasu dla żony i dzieci.
10. Czy Twoja praca jest stresująca?
Potrafi być stresująca. Praca ta jest przede wszystkim zmienna i przez to ciekawa. W zasadzie każdy dzień może przynieść nowe wyzwanie, nowe pytania i problemy do rozwiązania.
Wydaje mi się, że jest to też kwestia podejścia. Trzeba umieć odpowiednio zdystansować się od zadań i obsługi incydentów, aby osiągnąć założone cele, spełnić wymagania regulacyjne i przy tym nie dać się zwariować.
Przeczytaj więcej wywiadów z pracownikami SMSAPI!