Tomáš Anderle, šéf marketingu, se zamračil: „Kateřino, my ale potřebujeme tu aplikaci nasadit co nejdříve! Proč teď najednou zdržujete s GDPR? Na to bylo času dost."
Pověřenkyně pro ochranu osobních údajů Kateřina Nováková, zvyklá hájit důležitost compliance, řekla klidným hlasem: „Nemůžeme onboarding spustit jen tak. Musíme klienty informovat aspoň o nutných základech. Tím spíš, že plánujete v prvních měsících nabrat tisíce nových klientů."
Anderle sepjal ruce za hlavou. Zhluboka vydechl a zaklonil se ve své kancelářské židli, až v ní zapraskalo. Ušklíbl se: „Chápu, že GDPR je vaše téma, ale s tím jste prostě měla přijít dřív. Už teď jsme ve skluzu.”
Udělal významnou pauzu. „Vaše doporučení zohledníme, ale až v průběhu pilotu."
Nováková se zamračila: „To není dobrý nápad, Tomáši. V tomhle nemůžeme dělat kompromisy. Stačí jeden kverulant nebo podnět od konkurence na ÚOOÚ a máme na krku kontrolu."
Anderle opáčil: „Tohle jste měla přinést před půl rokem. Teď si vzpomenete na poslední chvíli, kdy hoří úplně jiné věci. Informační okénka fakt teď nejsou priorita.”
Napřímil nohy, až s ním kolečková židle lehce popojela. „A o rizicích mě nemusíte poučovat, Kateřino. Pokuta by v tomhle případě pro firmu zdaleka nebyla to nejdražší."
Kateřina se nevzdává. „Nechci vás poučovat. Jde mi o to, abychom udělali, co je správné. I když to potrvá trochu déle. Přece nechcete hazardovat s ochranou údajů našich klientů. To by bylo přece i proti našim firemním hodnotám."
Začala hrát znělka, kterou oba dobře znali. Teamsy. Příchozí hovor. Tomáš střelil pohledem na notebook.
„Tohle musím vzít. Omlouvám se, ale už nemám čas.” Anderle popadl notebook a odešel ze zasedačky.
Kateřina zůstala v prázdné zasedací místnosti...
Lidský faktor v compliance
Jak se vám popsaná situace zamlouvá?
Zažili jste to někdy i vy sami?
Ochrana osobních údajů a compliance obecně nás leckdy staví do situace, kdy tou zdaleka největší výzvou není rozklíčovat regulatorní požadavky a správně vyhodnotit rizika. Naopak, nejpalčivější nástrahou se mohou stát naši kolegové a kolegyně – kterým možná „naše” compliance komplikuje cestu k cíli. Od toho chybí jen krůček k silným emocím, silným slovům a eskalaci k nadřízeným.
Je důležité na tuto lidskou stránku naší práce myslet. Proto jsme se rozhodli načrtnout tři situace, jejichž aspekty vám možná budou povědomé. Pro každou jsme přidali tip, jak s danou situací naložit, aby pro dotyčného compliance specialistu dopadla co nejlépe.
„Naše” compliance komplikuje kolegům život? Pomůžou komunikační dovednosti.
Uvedené tipy vycházejí ze zkušeností s vedením náročných vyjednávání a emočně nabitých mediačních sezení autora.
Krizová situace č. 1: Špatná zpráva pro člena boardu
Chystá se spuštění nové klientské aplikace a uvedení nového produktu na trh. Datum spuštění je zároveň jedním z KPI člena boardu odpovědného za marketing. Bohužel vám jako pověřenci dali vědět pozdě. Vaše připomínky ohledně toho, jak má onboardingový proces nového uživatele vypadat, tak zůstaly nevyslyšeny.
Věděli jste, že vstupy za ochranu osobních údajů nejsou zapracovány – proto jste na pravidelné statusové poradě zdůraznili, že tyto vstupy bude nutné zohlednit. Plné zapracování vašich připomínek však znamená, že spuštění aplikace a rozjezd produktu bude odloženo.
Všichni na poradě chápavě pokyvovali hlavou – ano, ano, samozřejmě, je důležité být v souladu s GDPR. Měli jste pocit, že jsou všichni ve shodě a vše bude vyřešeno.
Večer vám však přišel ostrý e-mail od člena boardu, kterému o vašem doporučení řekl projekťák. Že by se spuštění novinky mělo odložit, to se dotyčnému členovi boardu mu hrubě nelíbí. Poslal vám proto do kalendáře na páteční ráno poradu, kde má dojít ke „sladění ohledně priorit”.
Jak na situaci č. 1? Více informací může pomoct najít řešení, které pro emoce není vidět
Možná člen boardu potřebuje, kvůli svým KPIs, spustit aplikaci a nový produkt do konce prvního kvartálu. Pokud se neagresivním doptáváním toto dozvíte, můžete navrhnout nové řešení, které sníží rizika. Např. spuštění aplikace před koncem Q1 jen pro pilotní provoz s tím, že požadavky týkající se ochrany osobních údajů budou do procesů aplikace zapracovány až poté – stále však před začátkem ostrého provozu.
Krizová situace č. 2: Nejasný scope projektu
V IT se to může stát snadno: Strategické směřování je jasné, ovšem konkrétní podoba technické implementace vlastně vůbec jasná není. Zamýšlené řešení může být poskládáno z mnoha různých aplikací, systémů a dalších komponent. Ty mohou být provozovány interním IT týmem on-prem, nebo outsourcovány a dodávány externí společností.
Co se může stát?
V počátečních fázích se často architektura mění pod rukama takřka denně. To, co platilo ještě před týdnem, je náhle na dnešní projektové diskuzi zavrženo.
A pro DPO nebo jiného compliance specialistu je v takové chvíli obtížné zajistit, že vše bude v souladu s regulacemi. Když najednou neplatí to, co bylo minulý týden na projektové poradě potvrzeno, může být snaha o jakékoli rozumné compliance složitá… a možná i nemožná. Nová podoba řešení může aktivovat nové regulatorní požadavky – a jejich naplnění si vyžádá čas.
Jak na situaci č. 2? Aktivně komunikujte a potvrzujte si, jaký je stav a co se změnilo
Když se neustále proměňuje rozsah připravovaných služeb, dodavatelů a datových toků, může to být frustrující. Pokud to neudělá projektový manažer, vždy se sami snažte shrnout, jaký je aktuální stav. Je to pro vás zároveň příležitost vysvětlit ostatním, proč a jak se situace změnila z compliance pohledu a jaké kroky za vás bude tato změna vyžadovat. Ostatní členové týmu to totiž nemusejí vědět.
Krizová situace č. 3: Proč sakra chce ve smlouvě zrovna tohle?
Už po několikáté řešíte s právníkem jedné ze společností skupiny to samé: Stále do kola ten jeden odstavec ve smlouvě s dodavatelem. Vy byste nejraději do smlouvy dali přísnější ustanovení. Kolega právník to však odmítá.
Tahle neshoda vám nedává smysl. Přeci kopete za ten samý tým a měli byste se shodnout na tom, že přísnější ustanovení je pro vaši společnost výhodnější. Protesty očekáváte spíš od zástupců dodavatele, tam by dávaly smysl. Ale od zástupce společnosti ve skupině? Vždyť i tahle společnost bude služby dodavatele využívat. Ne, prostě ne. Vůbec vám to není jasné.
Kopete přeci za stejný tým a přísnější ustanovení je pro vás výhodnější. Ne, jejich odpor prostě nedává smysl.
S touhle potíží jste proto navštívili technického ředitele u vás ve firmě. On vám dal (tentokrát) naprosto za pravdu. Společně jste si postěžovali na onoho umanutého právníka… a ředitel se slovy „napíšu si, co mu na callu řeknu” začal sepisovat argumenty, proč je dané ustanovení nepotřebné, nesmyslné a dokonce nebezpečné.
Jak na situaci č. 3? Spíš než argumentace pomůže (opět) zvědavost
Na příští schůzce s právníkem mu technický ředitel nasází argumenty, proč dané ustanovení ve smlouvě být nemůže.
Že by ho konečně přesvědčil?
Pokud toto vysvětlení předtím nezaznělo, tak možná. Pokud je to ale jen další zopakování už vyřčeného, asi se dohody nedoberete.
Technický ředitel právníkovi nakonec možná pohrozí eskalací nebo právníka -potížistu přetlačí svojí autoritou. Právník se však v takovém případě bude cítit jako ten, kdo prohrál. Takový pocit není nic příjemného… a lidé si ten pocit pamatují. Teď vyhrajete, ale jednou se vám to může ošklivě vrátit.
Co tedy zkusit něco jiného, než jen sepsat a přednést už xkrát vyřčené argumenty? Lepší může být prostě zkusit zjistit, proč vlastně právník na tom ustanovení tak moc trvá. Zkuste být upřímně zvědaví. Možná zjistíte důvod, který by vás nikdy nenapadl. V každém případě však budete mít s čím pracovat. Když důvod neznáte, jste zaseklí proti sobě, jste ve sporu.
Pozor, neptejte se ale přímo „Proč na tomto ustanovení trváte?” nebo „Proč ve smlouvě toto ustanovení chcete?” Ve slově „proč” je často skrytá výčitka nebo kritika. Lidé po dotazu začínajícím „proč” často přecházejí do defenzivy, a to vám nepomůže. Bezpečnější je otázku po důvodu formulovat jinak, např. „Za jakým účelem toto ustanovení ve smlouvě má být?” nebo „Čeho chcete tímto ustanovením docílit?"
Komunikace je základ
Toto byly základní tipy, jak se v modelových krizových situacích zachovat. V příštím díle projdeme ještě několik dalších situací a poradíme, jak se v komunikačních dovednostech zdokonalit. Abyste byli zdatní jak ve znalosti regulace, tak v jejím praktickém prosazování ve vaší organizaci.
