Od zera do oficera - jak piąć się po szczeblach w ochronie danych?

Często dostaję pytania typu: „Jak zacząć?” albo „Co byś poradził?”.

Zawsze chętnie dzielę się wiedzą – próbowałem nawet nagrywać rolki, ale forma nie chwyciła.

Czas spróbować z pisaniem.

Są to moje osobiste przekonania, bazujące na 7 latach w branży w praktycznie każdym modelu - inhouse, doradca, prawnik, audytor - nie w każdej formie miałem duże doświadczenie i postaram się zawsze to zaznaczyć gdy będę wypływał na nieznane tory. Ile ludzi tyle punktów widzenia wiec oczywiście nie każdy musi się ze mną zgadzać. Wiele aspektów nie jest zarezerwowane tylko dla ochrony danych a bardziej dla większości ścieżek kariery, ale w tej akurat pracuje i do tej mogę się odnieść z poziomu doświadczenia

Nie rozpisałem artykułów na miesiąc do przodu, na pewno wraz czasem mogą pojawić się nowe przemyślenia, w tym wynikające z waszych komentarzy do których zachęcam.

Na razie chciałem dać tylko zarys tego, jak ta z pozoru prosta branża ma w praktyce wiele schodków i "wież" po których można się wspinać lub pomiędzy którymi można skakać. To o czym będę pisał w przyszłości będzie też wynikać z waszego poziomu zainteresowania i pytań.

1. "Szczęśliwy traf" zwany czasem "no weź się tato..."

Mój tekst to mimo wszystko jedno wielkie generalizowanie. Życie daje nam wiele kart pozwalających rozegrać je jak chcemy i potrafi nieźle zaskoczyć. Znam ludzi którzy z pracy jako starszy prawnik w firmie windykacyjnej przeskakiwali na dyrektorów departamentów ochrony danych osobowych będąc całkowicie zielonymi jeśli chodzi o RODO (musiałem uczyć swojego szefa pracy). Znam masę ludzi którzy bez wykształcenia informatycznego czy prawniczego dobrze się odnajdują w RODO.

Życie lubi zaskakiwać – i to, że Twoje doświadczenie teraz wydaje się mało związane z ochroną danych, nie oznacza, że drzwi są zamknięte.

2. Terytorialność

Wbrew pozorom to bardzo ważny aspekt - szczególnie jeśli chodzi o zarobki. Z lotu ptaka w branży możemy wydzielić 3 poziomy terytorialności

• Krajowy* - człowiek zna przepisy o ochronie danych istniejące w danym kraju np. Polsce.
• Regionalny - osoba zna standardy/przepisy istniejące na poziomie danego "regionu". Może to być Europa, Europa Wschodnia, Bliski Wschód, USA lub Ameryka Północna. Wszystko zależy od korporacji.
• Globalny - Osoba zajmuje się ochroną danych na poziomie wszystkich spółek z międzykontynentalnej grupy. Tutaj przepisy mają już małe znaczenie a bardziej duże doświadczenie w zarządzaniu systemami ochrony danych czy systemami ogółem.

 

Czy krajowy jest najgorszy i pogardzany? Nie, to nie działa w ten sposób. Osobiście utknąłem na regionalnym więc nie mogę mówić w pełni o tym jak jest w globalu, ale są to dwa odrębne spektra pracy.

Im bardziej ktoś jest "krajowy" tym bardziej specjalistyczną wiedzę i praktykę prawniczą posiada**. Im bardziej ktoś jest globalny, tym mniej zna się na prawie, a zaczyna skupiać się na kwestiach zarządzania, procedurach i systemach. Ludzie z tych poziomów ze sobą współpracują ale mają inne cele i pogląd co do ochrony danych.

*Można zejść niżej do "koordynatorów" lub "czempionów" ale to rozmowa na kiedy indziej. W artykułach raczej będę wrzucał ich do jednego kubła.

**Przynajmniej w Polsce, w niektórych krajach ochrona danych osobowych to domena informatyków i security a nie prawników. Tam rozbieżności może są mniejsze, ale czuje że centrala też siedzi głównie na sprintach i czyta procki a ci niżej je wdrażają.

3. Centralizm – samodzielny IOD czy tylko „słup”?

To, jak wygląda Twoja praca, zależy też od tego, jak scentralizowana jest organizacja.

Możesz być krajowym IOD-em, który ma pełną decyzyjność i działa jak jednoosobowy dział. A możesz być „słupem” – tylko przekazującym uwagi do centrali, która i tak podejmuje decyzje.

To dwa różne światy – i oba mają swoje plusy i minusy.

4. Zespołowość – czyli luksus posiadania wsparcia 🤝

Zespoły ds. ochrony danych to luksus, na który nie każda firma może sobie pozwolić. Większość IOD-ów to samotne wilki, które muszą ogarniać wszystko: od naruszeń, przez audyty, po szkolenia.

5. Forma pracy – różne drogi, różne wyzwania

Jak wspominałem na początku form pracy jest kilka. Najprościej stereotypowo* mówiąc:

• In-house - balansujący pomiędzy biznesem a prawem. Bardziej bezpośredni i aktywny. jego poziom stresu jest wprost proporcjonalny do umiejętności balansowania nad interesami stron.
• Doradca - ktoś bez sznyty lub doświadczenia "kancelaryjnego". Bardziej nastawiony na biznes i prostotę przekazu. Poziom wiedzy, praktyki i obsługi klienta jest niczym rollercoaster. Ze względu na ich ilość, to od nich najczęściej wychodzą raporty branżowe.
• Kancelaria* - praca skupiona głównie na pisaniu opinii prawnych lub rozwiązywaniu problemów niemożliwych do rozwiązania. Chłodny dystans od klienta i unikanie roli IOD. Rzadziej masz kontakt z codziennym życiem firmy, ale za to często stajesz się autorytetem w kwestii przepisów . Ze względu na fachowość i obsługiwanie najtrudniejszych spraw, to od nich najczęściej wychodzą popularne wzory i historie o kontrolach.
• UODO - Mam zerowe doświadczenie więc nic tutaj nie powiem.

 

Osobiście polecałbym spróbować wszystkie póki nie ma się dużych zobowiązań i można skakać. Łatwo się zrazić do pracodawcy lub formy pracy a sama idea lub kierunek może być wciąż ciekawy.

*Kancelarie przechodzą teraz trochę rewolucje. Mój tekst to duże uproszczenie ale jak patrzy się na całokształt rynku to raczej tak to wygląda.

**Nie pracowałem w firmach "informatycznych od RODO" i nie wiem czy bardziej pasują do roli doradcy (raczej tak) czy kancelarii ale to tez na pewno ciekawy trop. Można też w teorii wydzielić "audytorów" którzy bardziej fachowo podchodzą do tematu.

6. Sektor – sektorowi nierówny 🏢

Największa różnica to oczywiście czy praca jest w sektorze publicznym czy prywatnym. Są jednak pewne branże które cechują się dodatkowymi obostrzeniami ale tez zyskami. Ja osobiście większość czasu byłem i jestem związany z branżą finansową ale obsługiwałem też sporo podmiotów medycznych. Naturalnie aby w takich branżach zajść wyżej w RODO, to trzeba przepisy sektorowe prędzej czy później poznać.

Jeśli masz szansę – szukaj specjalizacji. Im bardziej wyspecjalizowane przepisy, tym większe pole do popisu i uzyskanie tytułu eksperta/seniora.

7. Compliance – RODO to tylko część większej układanki

RODO czy ochrona danych osobowych, to element czegoś szerszego. Na studiach kompletnie nikt mi nie mówił o istnieniu "trzeciej drogi". Chodzi oczywiście o compliance. To on spina takie sektory jak RODO, AML, ESG, DORA, Legal etc. Nie ma przeszkód abyście zaczęli albo przeskoczyli do bardziej ogólnej branży. Compliance to raczej domena ekspertów prawa którzy chcą iść krok dalej, ale zdarza mi się widzieć oferty pracy dla juniorów.

8. Kultura firmy

Fachowo mówi się o poziomie kultury compliance w firmie. Ma ona 5 poziomów. W dużym skrócie - zależy to od tego co firma uznaje za ważniejsze: biznes i hajs czy zgodność z prawem.

Paradoksalnie, im wyższa kultura, tym bardziej doradczą i jednocześnie decyzyjną funkcję IOD pełni. W takich firmach menedżerowie wiedzą co to RODO i ufają IOD (co powoduje że w praktyce są "decyzyjni" ale nie oni ponoszą odpowiedzialność). Im mniejsza kultura, tym bardziej IOD musi wytworzyć swój autorytet i wyszarpać swój kącik zgodności. Im wyższa kultura tym raczej mniej stresu i pracy.

Każdy z tych obszarów to temat na osobny tekst – i pewnie tak to rozpiszę. Chcesz wiedzieć więcej o którymś z nich? Masz pytania? Daj znać w komentarzu lub wiadomości. To, co będzie Was najbardziej interesować, stanie się kolejnym odcinkiem tej serii. 💡💙