Twój IOD jest nudny. To prawdopodobnie bardzo dobrze wydane pieniądze.
Share
Prawnik życzy ci problemów prawnych. Księgowa nowych podatków. Tylko IOD chce żeby było cicho i przelew wpadał. To jest chyba jeden z niewielu zawodów gdzie miarą sukcesu jest brak wydarzeń.
Jest taka kategoria zawodów których wartość jest odwrotnie proporcjonalna do ich widoczności.
Dobry ochroniarz to taki którego nie zauważasz. Dobry administrator systemów to taki którego nie budzisz o trzeciej w nocy. Dobry IOD to taki o którym nie myślisz przez większość roku.
Nikt nie dzwoni. Nikt nie pisze. Audyt przeszedł bez niespodzianek. Dane nie wyciekły. Klienci śpią spokojnie. Zarząd nie dostaje pism z UODO.
Jest cisza.
I właśnie o tę ciszę chodzi.
Problem z ciszą jest taki że jest niewidzialna
Cisza nie pojawia się w raporcie kwartalnym. Nie ma slajdu w prezentacji zarządu zatytułowanego "naruszenia których uniknęliśmy." Nie ma konferencji prasowej po tym że dane nie wyciekły. Nie ma nagrody za incydent który się nie zdarzył.
Trudno wycenić katastrofę której udało się uniknąć.
Gdy prawnik wygrywa sprawę – jest wyrok. Konkretny, mierzalny, widoczny. Klient widzi wartość. Gdy księgowa optymalizuje podatki – jest liczba. Konkretna, mierzalna, widoczna. Klient widzi wartość.
Gdy IOD sprawia że dane nie wyciekają, że procesy są zgodne z przepisami, że pracownicy wiedzą czego nie wrzucać do ChatGPT i że umowy z dostawcami mają właściwe klauzule – nie ma liczby. Jest brak liczby. Brak kary. Brak postępowania. Brak incydentu.
Brak czegoś jest najtrudniejszą rzeczą do sprzedania i najtrudniejszą do obrony przy rozmowie o budżecie.
Czym różni się IOD od innych zawodów doradczych
Prawnik zarabia gdy masz problem. Im większy problem tym więcej pracy, tym wyższy rachunek. Nie mówię że prawnicy życzą klientom problemów – mówię że ich model biznesowy jest zbudowany na problemach jako triggerze.
Księgowa zarabia na obsłudze zdarzeń finansowych. Im więcej transakcji, im bardziej skomplikowana struktura, im więcej do rozliczenia – tym więcej pracy.
IOD jest inaczej skonstruowany.
Dobry IOD aktywnie dąży do stanu w którym jest nudny. Wdraża procedury po to żeby nie musieć gasić pożarów. Szkoli pracowników po to żeby nie dostawać maili o incydentach. Opiniuje procesy z wyprzedzeniem po to żeby nie musieć ratować wdrożeń które poszły nie tak.
Jego miarą sukcesu jest brak mierzalnych zdarzeń.
To jest paradoks który sprawia że wartość dobrego IOD jest strukturalnie trudna do komunikowania. I który sprawia że źli IOD są dla zarządu nieodróżnialni od dobrych – dopóki coś się nie stanie.
Ile kosztuje cisza której nie ma
Popatrzmy na to z drugiej strony.
W 2025 roku UODO nałożył 32 kary o łącznej wartości 64,5 miliona złotych. To jest 64,5 miliona złotych które zapłaciły organizacje za brak ciszy. Za procesy które nie były zgodne z przepisami. Za incydenty które nie zostały właściwie obsłużone. Za struktury compliance które istniały na papierze ale nie działały w praktyce.
Najwyższa jednostkowa kara przekroczyła 27 milionów złotych.
Do tego dochodzą koszty których nie widać w statystykach UODO: obsługa prawna postępowania, koszty wewnętrzne zarządzania incydentem, koszty reputacyjne, utrata klientów którzy po wycieku danych przenieśli się do konkurencji i nigdy nie wyjaśnili dlaczego.
Kara to tylko wierzchołek. Koszt braku ciszy jest znacznie wyższy niż liczba w decyzji administracyjnej.
Dobry IOD kosztuje ułamek tej kwoty rocznie.
Zły IOD – albo brak IOD – może kosztować całość.
Skąd wiesz że Twój IOD działa a nie po prostu oddycha
Tu pojawia się uczciwe pytanie.
Jeśli wartością IOD jest cisza – to jak odróżnić ciszę która jest efektem dobrej roboty od ciszy która jest efektem tego że IOD nic nie robi?
Obie wyglądają tak samo z zewnątrz. W obu przypadkach nie dzwoni telefon z UODO. W obu przypadkach nie ma postępowania. W obu przypadkach zarząd nie słyszy o problemach.
Różnica ujawnia się albo gdy coś pójdzie nie tak – i wtedy jest już za późno – albo gdy ktoś zada właściwe pytania wcześniej.
Aktywny IOD zostawia ślady swojej pracy nawet gdy jest cicho. Zaktualizowany rejestr czynności przetwarzania. Opinie do nowych procesów i systemów. Przeprowadzone szkolenia z dokumentacją. Umowy powierzenia podpisane z dostawcami zanim zaczęli przetwarzać dane. Wewnętrzne procedury które mają daty modyfikacji z tego roku a nie z 2018.
IOD który siedzi cicho bo nie ma nic do roboty nie zostawia tych śladów.
Cisza aktywna i cisza pasywna wyglądają tak samo dopóki ktoś nie otworzy szuflady.
Dlaczego zarządy nie doceniają IOD dopóki nie potrzebują
Jest w tym pewna ludzka logika której nie ma sensu demonizować.
Mózg ludzki jest słaby w wycenianiu ryzyk które się nie zmaterializowały. Łatwiej nam zapłacić za naprawę niż za prewencję. Łatwiej przekonać zarząd do wydatku po incydencie niż przed.
To jest ten sam mechanizm który sprawia że ubezpieczenia sprzedają się lepiej po powodzi w sąsiednim mieście niż w spokojny rok. I który sprawia że budżet na cyberbezpieczeństwo rośnie po tym jak konkurencja dostanie ransomware – nie rok wcześniej.
IOD który walczy o budżet w spokojnym roku walczy pod prąd tej logiki.
Jedyna broń jaką ma to transparentność własnej pracy. Pokazywanie co robi zanim pojawi się pytanie po co w ogóle jest. Raportowanie nie tylko problemów które wykrył ale też tych których zapobiegł – nawet jeśli wycena tej prewencji jest przybliżona.
I czasem powiedzenie wprost: nie słyszysz o mnie przez rok bo robię swoją robotę. Zaczniesz słyszeć gdy przestanę.
Podsumowanie dla zarządów które właśnie przeczytały ten artykuł
Jeśli Twój IOD jest nudny, nic się nie dzieje i nie słyszysz o nim miesiącami – to są dwa możliwe wyjaśnienia.
Pierwsze: bardzo dobrze wydane pieniądze.
Drugie: umarł i jeszcze tego nie zauważyłeś.
Różnicę poznasz otwierając szufladę i sprawdzając kiedy ostatnio był aktualizowany rejestr czynności przetwarzania.
Jeśli data jest z tego roku – śpij spokojnie.
Jeśli jest z 2018 – masz temat na najbliższe spotkanie.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.