Wdrożenia i audyty RODO, czyli najczęściej popełniane błędy

Mamy obecnie miesiąc maj, nieubłaganie zbliża się data 25-05-2018, coraz więcej przedsiębiorców dowiaduje się (albo przypomina sobie) o RODO/GDPR.
Jednocześnie w sieci można znaleźć wiele ofert przygotowujących pracowników i kadrę zarządzającą do wdrożenia RODO we własnych firmach.
Co należy wziąć pod uwagę?

1. Czy do wdrożenia odpowiednich zasad i dokumentacji w spółce potrzebuję kogoś z zewnątrz?

Naszym zdaniem nie, wszystkie operacje możesz wykonać samodzielnie, nie ma potrzeby ani przymusu nakazującego wykonanie prac z zewnętrznym partnerem.
 
Jeśli jednak decydujesz się na samodzielną pracę musisz pamiętać o etapach jakie powinieneś wziąć pod uwagę, zestaw min tzn.: 
 
a. Powinieneś określić procesy w których przetwarzasz dane osobowe (np. sprzedaż, proces zatrudnienia, księgowość/rozliczenia).
b. Jeśli Twoja firma zatrudnia poniżej 250 osób istotna będzie także liczebność/ilość oraz rodzaj danych osobowych jakie będą przetwarzane w wyżej wymienionych procesach (od tego zależy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych).
c. Ocenę ryzyka przetwarzania danych osobowych (Co może się z nimi stać? Kto może dokonać takich operacji? Jak realne są te zagrożenia i czy możesz je wyeliminować lub im zaradzić)?
d. Wdrożenie zabezpieczeń technicznych i organizacyjnych, które wynikają z oceny ryzyka. Ważne – środki które tutaj określisz, mogą być stworzone i wprowadzone przez Ciebie samodzielnie, nie musisz kupować gotowych, drogich produktów na rynku.
e. Zapewnienie rozliczalności przestrzegania przez Ciebie przepisów i obostrzeń podyktowanych przez RODO.
f. Weryfikację posiadanych przez Ciebie treści zgód dotyczących przetwarzania danych osobowych.
g. Sprawdzenie umów na powierzenie przetwarzania danych osobowych (czy posiadasz je ze wszystkimi podmiotami gdzie do powierzenie dochodzi).
h. Zgodność stosowanych rozwiązań informatycznych pod kątem: 
i. Realizacji praw osób, których te dane dotyczą:
1. Prawo do bycia zapomnianym
2. Prawo do zmiany/sprostowania danych
3. Prawo do przenoszenia danych do innych podmiotów
4. Prawdo dostępu do danych
5. Prawo do ograniczenia przetwarzania
ii. Możliwości odnotowania:
1. Informacji o odbiorcach danych
2. Odnotowania źródła pochodzenia danych
iii. Zabezpieczeń systemów IT – mi.n. anonimizacji danych, mechanizmów szyfrowania
i. Kompletność dokumentacji pod kątem:
i. Obecności rejestru przetwarzania d.o. (jeśli jest wymagany)
ii. Analizy ryzyka
iii. Procedur zapewniających ciągłość działania Twoich usług
iv. Powołania IOD
v. Obsługi żądań podmiotów kierowanych do Inspektora Danych Osobowych
 
Jeśli posiadasz czas i zasoby po swojej strony, żeby zmierzyć się z powyższymi tematami – możesz zająć się tym samodzielnie,  jeśli jednak jest inaczej – będziesz potrzebował zewnętrznej pomocy.

2. Widzieliśmy oferty związane z RODO na rynku, których koszt zamyka się w kilkuset złotych.

Tak – zgadza się, takie oferty znajdują się w sieci.
Zwróć jednak uwagę co w ich ramach jest oferowane?
Czy na pewno jest to kompleksowy audyt i wdrożenie uwag poadytowych?
Czy na pewno obejmuje wszystkie wyżej wymienione punkty (w tym część związaną z zapleczem i systemami IT)?
Zwracamy na to uwagę, gdyż spotykamy się z różnymi ofertami i klienci często nam odpowiadają – dlaczego audyt i wdrożenie ma kosztować kwotę X, jeśli widziałem tematykę RODO w ogłoszeniach za 250 zł?

Bardzo istotne jest tutaj co dokładnie widziałaś/eś: 
 
a) Duża część takich wystąpień/spotkań – to jedynie są szkolenia mówiące jak się przygotować do RODO (nie są to oferty na audyt i wdrożenie usług), niestety klienci po takim szkoleniu często sądzą, że są gotowi na tematy związane z rozporządzeniem i że nie muszą nic więcej już robić. To niestety nie jest prawda.
 
b) Następne oferty to audyty ale przeprowadzane jedynie przez radców prawnych, albo pracowników Sekcji Technicznych (IT). 
Aby audyt i wdrożenie było skuteczne, oba te procesy powinny być przeprowadzone zarówno przez radców prawnych jak i techników jednocześnie, nie rozdzielnie. Niemniej jednak można spotkać oferty pojedyncze.
 
Oczywiście nie ma w nich nic złego, nie znaczy to, że nie mają one sensu, ale klient musi mieć świadomość, że samo przygotowanie wzorów dokumentacji i instrukcji dla pracowników nie jest kompletem pracy jaki powinien wykonać – podobnie jest w przypadku zadań wykonanych przez osoby techniczne.
 
Aby praca była całościowo i dobrze wykonana – oba te zespoły powinny wykonać pracę razem, tylko wówczas klient będzie mógł mieć pewność, że całość jest kompletna.
 
c) Kolejny problem to podejście klientów do tematu wyceny usług związanych z RODO.
W przypadku kiedy jesteśmy proszeni o pomoc przez naszych klientów/partnerów przekazujemy różne warianty formularzy związane z wycena naszych usług.
 
Niestety klienci czują opór przed ich wypełnieniem (nie chodzi o kwestie prawne, bo tutaj proponujemy stosowne NDA). Bardzo często spotykamy się z podejściem – następującym: to jest moja firma, nazywa się tak i tak, zajmuję się tym i tym i zatrudniam tyle i tyle osób. Nie będę nic więcej wypełniał, proszę o wycenę usługi.
 
Niestety jeśli chcemy podejść rzetelnie do wyceny ilości godzin pracy dla danego klienta, musimy poznać odpowiedzi na kierowane przez nas pytania (jest to odpowiedź na podpunkty z pkt 1 powyżej). Oczywiście informacja mówiąca o informacjach związanych z ilością pracowników niesie ze sobą pewną informację, ale nie jest określa to ilości pracy związanej z analizą sytuacji w spółce (procesy, dokumentacja, zabezpieczenia systemów IT).
 
Drogi kliencie – pamiętaj, że jeżeli ktoś prosi Cię w takim przypadku o wypełnienie dodatkowych dokumentów, to nie prosi o to dlatego że nie szanuje Twojego czasu, wręcz przeciwnie – na pewno prosi właśnie dlatego, że chce rzetelnie wycenić prace dla Ciebie i nie oszukać Cię na kosztach (zawyżając je).
 
d) Certyfikacja z wdrożenia RODO
 
Jeśli ktoś mówi Ci drogi kliencie, że na przeprowadzone przez siebie szkolenia/wdrożenie/inne prace związane z RODO udzieli Ci certyfikatu, zmartwię Cię – niestety nie jest on za wiele wart obecnie, tak naprawdę potwierdzi jedynie, że w czymś brałeś udział, ale dla naszych urzędów nie będzie żadnym wyznacznikiem.
 
Zwróć uwagę, że nasz polski Urząd Ochrony Danych Osobowych, wytyczne dla firm związane z możliwością pozyskania certyfikacji będzie opracowywać dopiero po 25-05-2018, z pewnością nie nastąpi to też od ręki, na pewno zajmie kilka tygodni/miesięcy. Dopiero kiedy ten proces zostanie zakończony – będzie można mówić o ważnej prawnie i obowiązującej możliwości certyfikacji zgodności z RODO. Teraz coś takiego po prostu jeszcze nie istnieje.
 
 
 
 
 

 

 

Masz pytania lub chcesz z nami współpracować?