Margin Call to jeden z moich ulubionych filmów. Historia dzieje się w 2008 r., tuż przed wybuchem kryzysu finansowego, a bohaterami są pracownicy jednego z banków inwestycyjnych w Nowym Jorku. Młody analityk giełdowy, Peter, wykonując skomplikowane analizy, odkrywa, że kondycja finansowa firmy, w której pracuje, nie jest zbyt dobra, a jej los – jak również los dziesiątek innych banków – wisi na włosku.

Jednym z wyzwań, jakie napotyka Peter na swojej drodze, jest konieczność przebicia się przez mur nieprzychylnych mu menadżerów i jego bezpośrednich przełożonych, aby w końcu stanąć przed kierownictwem banku i powiedzieć, że sytuacja nie jest tak dobra, jak się wszystkim wcześniej wydawało. Oczywiście głównemu bohaterowi finalnie udaje się to zrobić, a szef wszystkich szefów po pewnych wahaniach podejmuje decyzję, która ma na celu uratować firmę. Jaka to decyzja? O tym na końcu.

Ostatnio pomyślałem, że historia Petera z tego filmu jest trochę jak historia Administratorów Bezpieczeństwa Informacji w firmach. Ludzi, którzy za kilka miesięcy staną się Inspektorami Ochrony Danych, używając terminologii z RODO.

To często pracownicy, którzy widzą, że z ochroną danych w ich organizacji jest coś nie tak. I mają świadomość, że konieczne jest podjęcie pewnych kroków tak aby cały proces przetwarzania danych osobowych został doprowadzony do stanu zgodnego z prawem.

Ale niestety napotykają na przeszkody takie jak niechęć do jakichkolwiek zmian wśród współpracowników, brak środków finansowych na poprawę zabezpieczeń albo po prostu twarde „nie” kierownictwa, które uważa, że samo powołanie ABI/IOD jest wystarczające i nie trzeba z tym nic więcej robić.

Jest też drugi problem – niekiedy Administratorzy Bezpieczeństwa Informacji to ludzie, którzy zostali powołani na to stanowisko tylko po to, aby firma spełniła wymagania formalne – czasem nie zastanawiając się nawet czy jest to konieczne. I tak przykładowo, ABI mógł zostać:

1. Informatyk Mariusz, który chociaż bardzo kompetentny i inteligentny, ma w firmie jeszcze tysiąc innych spraw i brakuje mu czasu, aby zajmować się ochroną danych osobowych,

2. Szefowa działu sprzedaży Janina, ambitna i pracowita, acz skoncentrowana na podniesieniu poziomu sprzedaży i wyrobieniu targetu, a nie na ochronie danych osobowych

3. Monika z HR, która w ogóle się tym nie interesuje i czeka tylko na ewentualne polecenia przełożonych jeśli chodzi o kwestie ochrony danych.

A przecież zgodnie z RODO Inspektor Ochrony Danych musi:

1. być wyposażony w odpowiednie środki, które umożliwią mu realizowanie swoich zadań (także organizacyjne, tj. czas i finansowe),

2. mieć odpowiednią wiedzę na temat prawa i praktyk ochrony danych,

3. być niezależny, tj. nie można mu wydawać instrukcji dotyczących ochrony danych.

W praktyce niestety różnie z tym bywa i Inspektor Ochrony Danych w firmie często jest postrzegany jako „hamulec” organizacji. A jego pozycja znacznie odbiega od tej modelowej, opisanej w RODO.

Dlatego cieszą pozytywne przypadki zarządzających, którzy poważnie podchodzą do kwestii ochrony danych i traktują ABI (przyszłych Inspektorów) jako istotne ogniwo firmy, które może dać jej wartość dodaną (to w jaki sposób ochrona danych pozytywnie wpływa na firmę pisałem tutaj).

Pozostaje również życzyć przyszłym Inspektorom takiej siły przebicia jaką miał Peter w Margin Call. Oby tylko ich analizy nie prowadziły do tak radykalnych decyzji, jakie musiały zostać podjęte przez bohaterów filmu. Bank, w którym pracowali został bowiem zmuszony do sprzedaży wszystkich kłopotliwych aktywów – co w konsekwencji spowodowało masowe spadki na giełdzie i wywołało kryzys finansowy.

#margincall #inspektorochronydanych #iod #abi #ochronadanych #administratorbezpieczeństwainformacji