Siała baba mak nie wiedziała jak, a dziad wiedział nie powiedział

Siała baba mak nie wiedziała jak, a dziad wiedział nie powiedział

Idealny przykład drenażu wiedzy w firmie. Wydasz krocie na wdrożenie RODO. Wynajmiesz najlepszych konsultantów. Otrzymasz tysiąc stron dokumentacji. Potem odejdzie dyrektor HR i nagle nikt nie wie gdzie był wzór klauzuli dla kandydatów.


Każdy słyszał tę rymowankę w dzieciństwie. Baba sieje mak ale nie wie jak. Dziad wie ale jej nie powiedział. Mak nie wyrośnie.

To nie jest tylko dziecięca gra słowna. To jest dokładny opis tego co dzieje się w polskich firmach z wiedzą o procesach – w tym z wiedzą o RODO.

Jest dyrektor HR który prowadził wdrożenie. Wie wszystko. Pamięta każdy wzór, każdą procedurę, każdą decyzję która została podjęta w trakcie wdrożenia i dlaczego akurat tak.

Jest reszta firmy która nie wie. Bo nikt im nie powiedział. Bo dyrektor HR robi to "od zawsze" i nie pomyślał że ta wiedza nie istnieje poza jego głową.

Potem dyrektor HR odchodzi. I mak nie wyrasta.


Drenaż wiedzy to nie problem ludzi. To problem systemu.

Zacznijmy od obrony dyrektora HR z mojego przykładu.

Nie odchodzi z firmy żeby zaszkodzić. Nie ukrywa wiedzy celowo. Po prostu przez lata budował proces który działa – i ten proces żyje w jego głowie, w jego folderach, w jego mailach.

Każda decyzja którą podjął ma kontekst którego nigdzie nie zapisał. Każdy wzór ma historię która tłumaczy dlaczego akurat tak. Każda procedura ma wyjątki o których wie tylko on.

Kiedy odchodzi – wiedza odchodzi z nim. Nie dlatego że jej nie przekazał. Dlatego że nie wiedział że ją ma. Często nie było też chętnego by słuchac.

To jest najpowszechniejsza forma drenażu wiedzy w firmach. Cicha. Niewidoczna do momentu gdy ktoś próbuje powtórzyć proces i nie znajduje punktu zaczepienia.


Jak to wygląda w praktyce z RODO

Wyobraź sobie scenariusz.

Firma wdrożyła RODO w 2018 roku. Dyrektor HR prowadził projekt razem z zewnętrznym doradcą. Wydano kilkadziesiąt tysięcy złotych na konsultacje. Powstała pełna dokumentacja. Polityki, procedury, klauzule, wzory zgód, rejestr czynności przetwarzania.

Wszystko działa. Przez sześć lat.

Potem dyrektor HR odchodzi. Nowa osoba przejmuje stanowisko.

Pierwsze pytanie pojawia się szybko. Gdzie jest wzór klauzuli informacyjnej dla kandydatów do pracy? Jakaś klauzula jest – w formularzu rekrutacyjnym. Ale czy to jest aktualna wersja? Czy ktoś ją aktualizował po wyrokach z 2022 roku? Czy uwzględnia stanowisko UODO z 2024 roku o background check?

Nikt nie wie.

Drugie pytanie. Kto był osobą upoważnioną do prowadzenia rozmów z UODO w sprawach naruszeń? W rejestrze upoważnień jest nazwisko poprzedniego dyrektora IT. Czy ktoś nadał uprawnienia jego następcy? Czy formalnie firma ma teraz w ogóle osobę odpowiedzialną za komunikację z organem?

Nikt nie wie.

Trzecie pytanie. Mieliśmy w 2022 roku incydent z wysłaniem maila do złej grupy odbiorców. Zgłosiliśmy go do UODO? Jakie były ustalenia? Co zmieniliśmy w procedurze żeby się nie powtórzyło?

Nikt nie wie. Sprawa leży gdzieś w starych mailach byłego dyrektora HR które już dawno zostały skasowane po jego odejściu.


Najgorsze nie są dokumenty których brakuje. Najgorsze są dokumenty które są ale nikt nie wie do czego służą.

Mam w tym branży obserwację którą widzę regularnie podczas audytów.

Firma ma dokumentację. Ma rejestr czynności przetwarzania. Ma politykę bezpieczeństwa. Ma procedurę reagowania na incydenty.

Tylko że ten rejestr czynności przetwarzania opisuje procesy z 2019 roku a firma od dwóch lat używa innego CRM. Polityka bezpieczeństwa zawiera odniesienia do systemów które już nie istnieją. Procedura reagowania na incydenty wskazuje osoby które już dawno odeszły.

Dokumentacja jest. Wiedza o tym jak ją utrzymywać – nie ma.

To jest dokładnie sytuacja z bab i maku. Wszystkie składniki są na miejscu. Brakuje tylko jednej osoby która wie jak to wszystko poskładać razem.


Dlaczego to się dzieje akurat w obszarze RODO

Bo RODO jest postrzegane jako projekt jednorazowy.

W przeciwieństwie do księgowości którą prowadzi się codziennie albo BHP które wymaga regularnych szkoleń – RODO często wdraża się raz i traktuje jak załatwiony temat. Dokumentacja idzie do segregatora. Czyjeś imię trafia do rejestru jako "osoba odpowiedzialna." I wszyscy wracają do normalnej pracy.

Aż do dnia gdy ktoś pyta. Albo gdy ta osoba odpowiedzialna odchodzi. Albo gdy przychodzi kontrola.

Wtedy okazuje się że RODO żyło w jednej głowie. I tej głowy już nie ma.


Co konkretnie można zrobić

Trzy rzeczy które warto wdrożyć zanim odejdzie pierwsza osoba która zna procesy.

Pierwsza: dokumentacja procesów a nie tylko polityk.

Polityka prywatności to dokument który mówi "tak postępujemy." Dokumentacja procesu to dokument który mówi "tak konkretnie się to robi." Krok po kroku. Z screenami. Z przykładowymi wzorami.

Pracownik który przychodzi po odejściu poprzednika powinien móc usiąść, otworzyć folder z procesami i zrozumieć jak wykonać każde zadanie. Nie ogólne zasady. Konkretne instrukcje.

Druga: regularne przeglądy z udziałem więcej niż jednej osoby.

Raz na kwartał ktoś poza głównym odpowiedzialnym powinien przejść przez dokumentację. Zadać pytania. Wskazać miejsca których nie rozumie. To jest test odporności wiedzy na odejście kluczowej osoby.

Jeśli nikt poza dyrektorem HR nie wie czemu pewna klauzula brzmi tak a nie inaczej – masz problem. Czas to naprawić.

Trzecia: dokumentacja decyzji a nie tylko ich wyników.

Każda istotna decyzja powinna mieć krótką notatkę: dlaczego tak. Wybraliśmy uzasadniony interes a nie zgodę – dlaczego. Zdecydowaliśmy się na okres retencji pięć lat – na jakiej podstawie. Klauzula brzmi w ten sposób – dlaczego nie inaczej.

Notatka nie musi być długa. Trzy zdania wystarczą. Ale muszą być.

Bez nich Twój następca będzie patrzył na wynik nie rozumiejąc rozumowania. I prędzej czy później zmieni coś co działało – bo nie wiedział dlaczego było jak było.


Co robić gdy już jesteś tym następcą

Jeśli właśnie objąłeś rolę po kimś kto nie zostawił dokumentacji procesów – masz przed sobą kilka miesięcy odtwarzania wiedzy.

Nie próbuj wszystkiego naraz. Zacznij od inwentaryzacji – co jest, co działa, czego nie ma. Potem przejdź do priorytetów – co stwarza największe ryzyko gdy nie zostanie ogarnięte natychmiast.

I dokumentuj wszystko co robisz. Nie dla siebie – dla osoby która przyjdzie po Tobie.

Bo ona przyjdzie. Wcześniej czy później. I wtedy ten sam mak nie wyrośnie u niej jeśli Ty zachowasz się tak jak Twój poprzednik.


Najprostszy test odporności na drenaż wiedzy

Jedno pytanie które warto sobie zadać jako szef.

Jeśli kluczowa osoba w firmie zachoruje na trzy miesiące – czy ktoś inny da radę poprowadzić jej procesy nie pytając jej o nic?

Jeśli tak – masz odporność.

Jeśli nie – masz babę z makiem która tylko czeka żeby dziadek odszedł i nikt nie przypomniał sobie jak to się siało.

Drenaż wiedzy to nie jest problem który zauważasz w dniu w którym się dzieje. To jest problem który zauważasz w dniu w którym jest już za późno.

Jak długo trwa odtworzenie wiedzy po odejściu kluczowej osoby?

W praktyce od kilku tygodni do roku w zależności od skali jej zaangażowania. Najprostsze procesy które są dobrze udokumentowane można odtworzyć w kilka dni. Procesy które żyły wyłącznie w głowie poprzednika – kontekst decyzji, relacje z dostawcami, nieformalne ustalenia z organami – mogą wymagać miesięcy obserwacji i pytań. Najgorszy scenariusz to gdy okres przejściowy obejmuje incydent który wymaga szybkiej reakcji – nowy pracownik nie wie jak zareagować bo nie zna procedur, a poprzednika nie ma już w firmie.


Czy zlecanie utrzymania RODO firmie zewnętrznej rozwiązuje problem drenażu wiedzy?

Częściowo. Outsourcing IOD zapewnia ciągłość po stronie usługodawcy nawet gdy w Twojej firmie zmieniają się pracownicy odpowiedzialni za obsługę. Ale wiedza o Twoich konkretnych procesach biznesowych nadal musi być po Twojej stronie. Zewnętrzny IOD nie zna każdej Twojej kampanii marketingowej, każdej decyzji handlowej, każdej zmiany w systemach IT. Ktoś w firmie musi mu te informacje przekazywać. Jeśli ta osoba odejdzie a wiedza była tylko w jej głowie – masz ten sam problem co przy wewnętrznym IOD. Outsourcing przesuwa granicę problemu ale jej nie eliminuje. Z doświadczenia wiem, że w outsourcingu mają taki sam problem i zewnętrzny IOD mało przekazuje wiedzy swoim następcom.


Mamy w firmie tylko jedną osobę która zajmuje się RODO. Co zrobić zanim odejdzie?

Zacznij od inwentaryzacji – poproś tę osobę żeby spisała listę wszystkich procesów którymi się zajmuje, wszystkich dokumentów które prowadzi i wszystkich kontaktów zewnętrznych z którymi współpracuje. Już sama ta lista pokaże skalę wiedzy która jest poza dokumentacją. Następnie wyznacz drugą osobę która regularnie przechodzi przez procesy razem z pierwszą – nie żeby zastąpić ale żeby rozumieć. Co miesiąc godzinne spotkanie gdzie pierwsza osoba pokazuje aktualne sprawy a druga zadaje pytania. Po roku masz dwoje ludzi którzy znają temat zamiast jednej.


Czy szkolenia z RODO dla pracowników wystarczą żeby uniknąć drenażu wiedzy?

Nie. Szkolenia uczą zasad ogólnych i podstawowych obowiązków. Drenaż wiedzy dotyczy specyfiki Twojej firmy – konkretnych decyzji, konkretnych procesów, konkretnych wyjątków. Tego nie znajdziesz w żadnym szkoleniu bo to jest unikalne dla Twojej organizacji. Szkolenia są potrzebne ale nie zastępują dokumentacji procesów. Najlepsza kombinacja to ogólne szkolenia dla wszystkich plus szczegółowe instrukcje procesowe dla osób które konkretne zadania wykonują.


Dyrektor HR który odszedł miał zaszyfrowane foldery do których nikt teraz nie ma dostępu. Co teraz?

Trudna sytuacja która jest częsta. Jeśli odejście było polubowne – skontaktujcie się z nim z prośbą o udostępnienie haseł lub przekazanie zawartości. Jeśli odejście było konfliktowe – prawnik plus dział IT plus ewentualnie informatyka śledcza jeśli dane są krytyczne. Na przyszłość – wprowadzenie zasady że żadne służbowe dane nie mogą być przechowywane w sposób do którego firma nie ma dostępu. Foldery firmowe na dyskach firmowych. Konta służbowe z polityką dostępu administracyjnego. Hasła do narzędzi w menedżerze haseł firmy a nie w głowie pracownika.


Jak udokumentować decyzje historyczne których nie pamiętamy?

Zacznij od tego co możesz odtworzyć. Maile z okresu wdrożenia jeśli jeszcze są dostępne. Dokumentacja księgowa pokazująca z kim i kiedy firma współpracowała. Wzory dokumentów z metadanymi pokazującymi kto je tworzył i kiedy. Czasem trzeba zaakceptować że części decyzji nie da się już zrekonstruować – wtedy podejmujesz decyzje na nowo z aktualną wiedzą i dokumentujesz nową ścieżkę rozumowania. To nie jest porażka. To jest start punktu zero z którego budujesz odporność na przyszłość.


Co jeśli osoba która zna procesy odmawia ich dokumentowania bo to jej "wartość dla firmy"?

Spotykane częściej niż się wydaje. Pracownik który świadomie zachowuje wiedzę dla siebie żeby być niezastąpionym. Z perspektywy firmy to jest realne ryzyko biznesowe i powinno być traktowane poważnie. Pierwsza rozmowa: wyjaśnienie że dokumentowanie procesów nie zmniejsza jego wartości – zwiększa wartość firmy i pozwala mu rozwijać się dalej zamiast tkwić w roli operacyjnej. Druga rozmowa jeśli pierwsza nie pomogła: bezpośrednia rozmowa że dokumentowanie jest obowiązkiem zawodowym a nie wyborem. Trzecia rozmowa jeśli nadal nic – decyzja o tym czy taki pracownik to aktywo czy ryzyko. Bo niezastępowalność z którą firma sobie nie radzi to bomba zegarowa.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.