Budowanie systemu ochrony danych osobowych, czy też bardziej potocznie, budowanie systemu zgodności z RODO, to złożony proces. Mało tego, choć wymogi prawne w zakresie ochrony prywatności nie są nowością, to jednak sprostanie wymogom ogólnego rozporządzenia nierzadko wiąże się z trudnościami, które zaskakują przedsiębiorców. Poniższy tekst stanowi otwarcie cyklu – swoistego podręcznika w odcinkach – w którym staramy się przybliżyć niuanse procesu budowania systemu ochrony danych osobowych.

Proces budowania systemu

Punktem wyjścia chcielibyśmy uczynić nieprzypadkowe sformułowanie, którego używamy do opisu czynności niezbędnych do osiągnięcia zgodności z RODO. Sformułowanie to składa się z trzech słów, z których każde niesie kluczowe informacje.

„Proces”

Wbrew potocznemu przekonaniu, sprostanie wymogom wynikającym z nowych przepisów nie sprowadza się do zakupu czy nawet jednorazowego opracowania dokumentacji definiującej zasady postępowania z danymi osobowymi.

Należy mieć świadomość, że RODO rozlicza nas z efektów podjętych działań, a nie z samych tych działań jako takich. Mówiąc najprościej, mamy być skuteczni. Oczywiście, nie funkcjonujemy w organizacyjnej próżni i w niektórych przypadkach łatwo możemy przewidzieć, które rozwiązania się sprawdzą, a które nie. Czasem również możemy zaadoptować model działania lub wręcz gotową procedurę z innego podmiotu o podobnej specyfice. Co do zasady jednak, myślenie kategorią skutków podjętych działań musi zawsze nam towarzyszyć. Zaprzestanie krytycznej analizy wypracowanych rozwiązań jest właściwie równoznaczne z zarzuceniem ochrony danych osobowych. Nie zmienia tu wiele fakt, że wypracowane wcześniej polityki – swoiste artefakty włożonej pracy – mogą wciąż cechować się niezerową funkcjonalnością lub stwarzać pozory skuteczności.

Aby lepiej zrozumieć konieczność przyjęcia procesowego podejścia do budowania systemów zgodności z RODO, warto przypatrzyć się bodaj najtrudniejszemu w implementacji postanowieniu tego aktu prawnego. W artykule 32 czytamy mianowicie, że:

„Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”

Przytoczony przepis idealnie ilustruje współczesną problematykę w zakresie ochrony prywatności. Mnogość zmiennych i olbrzymia dynamika. Panta rhei. Nasz poziom wiedzy nieustannie rośnie. Źródłami nowych informacji są zarówno doświadczenia własne (których najbardziej jaskrawymi przykładami są naruszenia ochrony danych osobowych), jak i normy, wytyczne i raporty. Dokumenty takie dość regularnie wypuszczają zarówno podmioty rządowe, jak i branżowe stowarzyszenia i fundacje. Cykl zmian liczony jest nie w latach, a w miesiącach.

Podobnie zmienny jest rynek, a wraz z nim, koszty wdrożenia określonych zabezpieczeń (zarówno koszty produktów, jak i powiązanych z nimi usług).

Wreszcie, dla zachowania konkurencyjności, zmuszeni jesteśmy nieustannie udoskonalać nasz biznes. Zmieniają się więc charakter, zakres, kontekst i cele przetwarzania.

Pytanie o to, czy w tak dynamicznym środowisku statyczny system ochrony pozostanie skuteczny, wydaje się retoryczne.

„budowania systemu”

Sceptycy, którzy nie wierzą w sens ochrony danych, stawiają przeważnie tezę, że nie ma zabezpieczeń nie do pokonania. Pozornie, stanowisko to wydaje się całkiem racjonalne. Trudno jest bowiem wyobrazić sobie przeszkodę, której kreatywny umysł ludzki, prędzej czy później, nie przezwycięży. Błąd tego twierdzenia polega natomiast na tym, że zasadza się ono na bardzo wąskim, wybiórczym myśleniu o zabezpieczeniach. W rzeczywistości bowiem środki ochrony oddziaływają na siebie nawzajem oraz funkcjonują w pewnym otoczeniu, kontekście. Innymi słowy, zgodzić się należy z tym, że każde z zabezpieczeń z osobna okaże się bezskuteczne jeżeli zaatakuje się je w odpowiedni sposób. Dlatego właśnie realne bezpieczeństwo osiągalne jest wyłącznie przez zastosowanie rozwiązań systemowych.

System ochrony danych osobowych to organizm, w którym zachodzi szereg relacji wewnętrznych oraz który adaptuje się do środowiska, w którym żyje. Jest to:

  • zespół różnego typu zabezpieczeń;
  • dobranych przy uwzględnieniu realnych zagrożeń;
  • a więc również proporcjonalnych do skali tych zagrożeń;
  • które się uzupełniają;
  • poddają się kontroli co do swojej skuteczności;
  • w mierzalny sposób odzwierciedlając to, jak dobrze realizują cele, którym służą (każde z osobna oraz łącznie);
  • oraz które są na bieżąco dostosowywane do zmieniającego się środowiska.

Aby zobrazować na przykładzie takie systemowe myślenie o bezpieczeństwie, przypatrzmy się zagadnieniu złożoności haseł uwierzytelniających. Tezą sceptyka będzie tutaj stwierdzenie, że bez względu na poziom złożoności hasła, możliwe jest jego złamanie w skończonym czasie. Twierdzenie to jest, co do zasady prawdziwe. Mimo wszystko jednak i to nawet przy rosnącej mocy obliczeniowej komputerów, odnotowujemy coraz mniej przypadków łamania haseł. Widać więc w praktyce, że możliwe jest zabezpieczenie tego obszaru. Jakim cudem? Właśnie przez wprowadzenie rozwiązań systemowych.

Punktem wyjścia jest tutaj ocena zagrożeń. Z raportów dowiadujemy się, że obecnie hasła przełamuje się głównie przy zastosowaniu tzw. techniki masek, a więc pewnej logiki, która zmniejsza ilość podstawianych losowo kombinacji w oparciu o analizę struktury najczęściej stosowanych haseł. Ta informacja pozwala na opracowanie naszego pierwszego zabezpieczenia – będzie to rozwiązanie organizacyjne, a konkretnie procedura lub polityka, która wskaże, jakich struktur haseł unikać. Oczywiście, długość hasła wciąż pozostaje istotnym parametrem – im większa ilość znaków w ciągu, tym więcej kombinacji, a więc więcej czasu zajmie łamanie hasła. Zagrożeniu polegającemu na zastosowaniu zbyt krótkich haseł postanawiamy więc przeciwdziałać programowo – nasze aplikacje mogą swobodnie wymusić zastosowanie ciągów określonej długości. Wciąż jednak widać, że jeżeli zaprzęgniemy do łamania hasła odpowiednio dużą moc obliczeniową, nawet nasze długie i nieoczywiste kombinacje zostaną odkryte. Szczęśliwie jednak i to ryzyko da się zminimalizować. Mogą do tego posłużyć narzędzia, które ograniczają maksymalną ilość prób logowania (przykładowo, domena Active Directory) lub rozwiązania organizacyjne, które wymuszą zmianę hasła co określony czas.
Żadne z wymienionych powyżej zabezpieczeń w pojedynkę nie jest dostateczne. Ich kombinacja stanowi jednak skuteczne, systemowe rozwiązanie, które ogranicza ryzyko nieautoryzowanego dostępu do danych.

Należy również podkreślić, że system taki trzeba zbudować – nierzadko dosłownie od zera. W cyklu życia organizacji, w pierwszej kolejności zaspokaja się bowiem potrzeby podstawowe. Przeważnie są to potrzeby związane z zaistnieniem na rynku i stabilizacją pozycji rynkowej oraz zabezpieczeniem regularnych przychodów. Można więc powiedzieć, posiłkując się porównaniem do procesu wchodzenia w dorosłość, że organizacja, która wchodzi w okres dojrzewania, historycznie organizowana była ze względu na inne priorytety – miała inne cele. Obecnie cele te muszą się częściowo zmienić. Potrzebne jest zorientowanie się na utrzymanie możliwie niemniejszej niż dawniej skuteczności biznesowej przy jednoczesnym stworzeniu gwarancji ochrony posiadanych informacji.

Naszą tezą jest, że realizacja zasad „ochrony w fazie projektowania” oraz „domyślnej ochrony”, które wynikają z RODO, nie jest naturalne. Osiągnięcie zgodności z prawem w dziedzinie bezpieczeństwa danych osobowych, wymaga podjęcia świadomej decyzji i przynajmniej częściowej zmiany priorytetów.

RODO – Jak zacząć?

Budowanie zgodności z nowymi przepisami wymaga więc, niejako równolegle, aby spełnionych zostało parę warunków.

  • Twoja organizacja musi być gotowa na przyjęcie nowych priorytetów (konkretnie, Ty, przedsiębiorco, musisz być gotowy na przyjęcie nowych priorytetów).
  • Organizacyjnie, Twoja firma musi udźwignąć kolejny proces, który będzie procesem ciągłym – niezbędne jest wygospodarowanie czasu i środków aby proces ten zrealizować.
  • Proces ten będzie procesem doskonalenia zasad postępowania – jego pierwsza iteracja prawdopodobnie nie zaspokoi wszystkich Twoich potrzeb – aby to doskonalenie było możliwe, konieczne jest zapewnienie komunikacji wewnątrz zespołu, w zakresie tego, co RODO znaczy i jak działa.

Choć powyższych twierdzeń nie podkreśla się w przeważnie w ofertach, a niektórzy nie podnoszą ich nawet na spotkaniach, to jednak praktyka wskazuje, że są one kluczowe dla powodzenia dostosowania do RODO.

Jeżeli „chcesz żeby było jak dawniej, ale zgodnie z RODO” to licz się proszę z tym, że albo rozwiązanie, które wypracujesz będzie częściowe, nieskuteczne, niesystemowe, albo też przeżyjesz duże rozczarowanie orientując się, że konieczne są kompromisy i ustępstwa. RODO jako regulacja, jako idea, ma na celu zmienić świat zbierania i wykorzystywania informacji na temat ludzi. Przekonanie, że można sprostać wymogom tego prawa jednocześnie nie dostosowując się do jego ducha, jest naiwne.

Patron zmian

Przechodząc od istotnych kwestii nastawienia do zagadnień operacyjnych, należy wskazać, że budowanie systemu ochrony danych osobowych warto rozpocząć od wyznaczenia opiekuna tego procesu.

Teza ta nie jest przesadnie odkrywcza – znajduje szerokie potwierdzenie w doktrynach zarządzania zmianą w organizacji, a nawet w codziennej praktyce zarządzania projektowego. Każdy duży projekt wymaga lidera – osoby odpowiedzialnej za opracowanie koncepcji oraz planu wdrożenia. Z RODO jest nie inaczej.
W zależności od wielkości organizacji, osobą odpowiedzialną za projekt RODO może być sam specjalista ds. ochrony danych lub też dedykowany project manager, który będzie nadzorował i koordynował pracę rzeczonego eksperta.

Zwłaszcza pierwszy etap budowania zgodności z RODO stanowi odczuwalny wysiłek organizacyjny. Przeważnie, początkowo niezbędne jest przeprowadzenie szkoleń, a potem audytu, którego celem będzie rozpoznanie sytuacji. Działania te zaangażują nie tylko osobę posiadającą wiedzę fachową o ochronie danych, ale też innych członków zespołu – najczęściej kierowników.

Planowanie i koordynacja działań jest więc, na tym etapie, kluczowa. Przełoży się nie tylko na efektywność tych działań (wymagane godzinowe zaangażowanie wszystkich aktorów), ale też na to, jak wprowadzana zmiana będzie postrzegana; jak się przyjmie w organizacji.

Wyznaczenie osoby lub osób odpowiedzialnych za przeprowadzenie czynności audytowych, a potem wdrożeniowych, powinno zawsze stanowić pierwszy krok operacyjnych działań zmierzających do zbudowania systemu ochrony danych osobowych.

Odradza się łączenia usług, które mogą być ze sobą niekompatybilne lub też próby wykorzystania owoców wcześniejszych projektów do budowania zgodności z RODO pomimo tego, że nie pasują one do przyjętego modelu działania.

Przykładowo:

  • Odradza się zlecania usług szkoleniowych, audytowych i wdrożeniowych różnym podmiotom. Skuteczność działań audytowych opiera się, przynajmniej w pewnej mierze, na założeniu, że osoby audytowane posiadają elementarne zrozumienie zagadnień, które poruszane są w czasie spotkań. Jeżeli audytor ma możliwość wcześniejszego przygotowania kierowników przez szkolenie, ryzyko nieporozumień, niedomówień lub innych błędów jest znacznie mniejsze. Podobnie ma się sprawa z relacją pomiędzy audytem, a wdrożeniem. Przeważnie rezultatem audytu jest przygotowanie planu wdrożenia. Należy jednak mieć na uwadze, że w RODO nie wypracowano jeszcze uniwersalnych standardów. Plan audytu opracowany przez jednego specjalistę nie koniecznie będzie w pełni czytelny dla innego.
  • Jeżeli planujesz oddać się w ręce firmy zewnętrznej, w modelu obsługi stałej, pozwól tej samej firmie przeprowadzić audyt, a potem wdrożenie. Łatwiej będzie Ci również rozliczyć kontrahenta z rezultatów jeżeli nie będzie on mógł przerzucać odpowiedzialności na stronę trzecią.
  • Jeżeli chcesz skorzystać z profesjonalnej pomocy wyłącznie w zakresie czynności audytowych, a późniejsze utrzymanie systemu powierzyć własnemu pracownikowi, zagwarantuj (także umownie) aby ten przyszły opiekun mógł uczestniczyć we wszystkich działaniach związanych z RODO, od samego początku. W ten sposób ułatwisz mu korzystanie z narzędzi i zrozumienie dokumentacji, którą opracuje dla Ciebie podmiot zewnętrzny prowadzący audyt.
  • Możesz, a nawet powinieneś udostępnić swoją dokumentację ISO i / lub posiadane procedury / zarządzenia itd. osobom odpowiedzialnym za RODO. Kluczowe jest stworzenie rozwiązań współpracujących, a przynajmniej, niewykluczających się wzajemnie.
  • Nie oczekuj jednak zastosowania do RODO dokumentów, które były tworzone w zupełnie innym celu – przykładowo, nie należy zastępować analizy ryzyka wynikami audytu z bezpieczeństwa informatycznego, rejestru czynności przetwarzania mapą procesów biznesowych lub procedury reagowania na wnioski od osób, których dane dotyczą, zasadami obsługi klienta.

Firma zewnętrzna czy własny człowiek?

Kiedy mowa o osobie, która udźwignie na swoich barkach ciężar procesu dostosowania do RODO, momentalnie pojawia się wątpliwości, czy lepiej jest szkolić własnego pracownika, czy też skorzystać z usług firmy zewnętrznej.

Oba te modele mają swoje mocne i słabe strony.

Zalety wyszkolenia własnego eksperta:

  • Osoba ta, prawdopodobnie, zna już bardzo dobrze Twoją firmę. Czynności audytowe zajmą mniej czasu. Jeżeli pracujesz w branży wysoko specjalistycznej, unikniesz również trudności komunikacyjnych, które czasem towarzyszą audytom prowadzonym przez ekspertów, którzy nie znają Twojej dziedziny.
  • Osoba ta jest na miejscu i poświęci Twojej firmie pełne osiem godzin dziennie. Choć nie w każdej branży specjalista ds. RODO ma codziennie pełne ręce roboty, to są i takie, w których praca z doskoku może być niewystarczająca. Posiadanie człowieka „na pokładzie” w branżach „RODO intensywnych” jest niewątpliwym atutem.
  • Twój zespół go zna. Budowanie systemu ochrony danych osobowych to w dużej mierze praca z ludźmi. Jeżeli zespół już zna i ufa danej osobie, przepływ informacji będzie bardziej sprawny i skuteczny.
  • Bardzo indywidualne podejście. Posiadanie własnego specjalisty stwarza realne szanse „uszycia systemu ochrony danych osobowych na miarę”, a więc z pełnym uwzględnieniem Twoich potrzeb i możliwości. Osoba taka nie będzie raczej obstawać przy rozwiązaniach zestandaryzowanych lub wyniesionych z doświadczeń z innym podmiotem. Będzie też miała możliwości czasowe oraz dostęp do wiedzy branżowej, które pozwolą jej zgłębić każdy niuans jeżeli chodzi o kontekst, w jakim w Twojej firmie przetwarza się dane osobowe.

Wady szkolenia własnego eksperta:

  • ⮚Przygotowanie do pełnienia funkcji specjalisty ds. ochrony danych osobowych, a tym bardziej, inspektora ochrony danych, to proces długotrwały. Jeżeli potrzebujesz rozwiązań tu i teraz, potrzebujesz kogoś, kto już wie co i jak zrobić.
  • Głos specjalisty ds. RODO musi być respektowany. Taki człowiek musi mieć zagwarantowaną niezależność i posłuch. Osoba, którą wszyscy dobrze znają i z którą powiązani są relacjami zawodowymi i towarzyskimi może nie mieć „dostatecznej siły przebicia” aby skutecznie pilotować wdrażanie zmian.
  • Niezależność i konflikt interesów. Jeżeli ciąży na Tobie obowiązek powołania inspektora ochrony danych, pamiętaj, że osoba ta nie może pozostawać w relacjach, które utrudniają lub uniemożliwiają jej wykonywanie obowiązków w zakresie RODO.
  • Koszty. Jeżeli w Twojej branży RODO nie jest bardzo dużym wyzwaniem, prawnie na pewno taniej będzie zatrudnić firmę zewnętrzną aniżeli przeszkolić i utrzymać etatowego pracownika.

Zalety outsourcingów:

  • Gotowość do podjęcia niezwłocznych działań. Specjalista, który posiada doświadczenie w budowaniu systemów ochrony danych osobowych, może niezwłocznie przystąpić do pracy. Wie jakie działania podjąć oraz w jakiej kolejności. Posiada też garść gotowych rozwiązań, których nauczył się współpracując z innymi podmiotami.
  • Przeniesienie odpowiedzialności. Nawiązując współpracę z firmą zewnętrzną, możesz przenieść na ten podmiot znaczną część odpowiedzialności finansowej za ewentualne błędy w sztuce i niedociągnięcia Twojego systemu.
  • Wiedza ekspercka. Profesjonalne podmioty świadczące usługi z zakresu RODO albo zatrudniają albo współpracują ze specjalistami z branży pokrewnych – prawnikami, informatykami, specjalistami od bezpieczeństwa fizycznego, psychologami. Usługa doradcza będzie więc efektywnie świadczona z wykorzystaniem wiedzy i zasobów więcej niż jednego człowieka.
  • Dostępność w dni wolne od pracy, zastępowalność. Podmioty świadczące usługi outsourcingu w zakresie ochrony danych osobowych przeważnie zapewniają zastępowalność wskazanych przez siebie specjalistów. Dostępność fachowej pomocy po godzinach pracy, w weekendy lub w sezonie urlopowym może być kluczowa do sprawnej obsługi naruszeń, wniosków od osób, których dane dotyczą lub do przeprowadzenia fazy planowania dla nie cierpiących zwłoki rozwiązań biznesowych.
  • Koszty. Outsourcing, który przeważnie rozliczany jest godzinowo, w olbrzymiej większości firm wychodzi taniej aniżeli zatrudnienie etatowego pracownika.

Wady outsourcingu:

  • Potrzeba wdrożenia osoby obsługującej w specyfikę Twojej branży. Zewnętrzny ekspert musi zrozumieć problematykę i możliwości Twojej firmy. Czynności audytowe zajmą mu więc więcej czasu.
  • Bariera komunikacyjna. Osoba z zewnątrz będzie mówiła innym językiem, nie złapie w lot terminologii fachowej ani struktury organizacyjnej i relacji panujących w Twoim biznesie. Dla części pracowników kontakt z zewnętrznym doradcą może też być utrudniony z przyczyn społecznych.
  • Zaangażowanie i dostępność. Specjalista z firmy zewnętrznej przystąpi do współpracy znając szereg dobrych praktyk i sprawdzonych rozwiązań. Jeżeli jednak w Twojej branży problematyka przetwarzania jest niecodzienna, człowiek spoza tej branży będzie potrzebował czasu aby opracować funkcjonalne procedury i polityki. Ten dodatkowy wysiłek czasowy może przełożyć się na opóźnienia w realizacji projektu lub na niespodziewane koszty w roboczogodzinach.

Pierwsze kroki (audyt RODO)

Po wyznaczeniu osoby odpowiedzialnej za pilotowanie projektu, praktycznie zawsze konieczne jest przeprowadzenie następujących kroków:

  • Stworzenia mapy procesów, w których przetwarza się dane osobowe. Mapa ta, nazywana w języku RODO rejestrem czynności przetwarzania i rejestrem kategorii czynności przetwarzania, tworzona jest zawsze przy współpracy specjalisty od ochrony danych z opiekunami procesów biznesowych (przeważnie kierownikami).
  • Dla usprawnienia komunikacji niezbędnej do opracowania mapy procesów, zasadne jest przeprowadzenie szkolenia przygotowującego dla kierowników. Aby nie tracić czasu podczas spotkań indywidualnych, kierownikom tym należy wcześniej wytłumaczyć podstawowe pojęcia i zagadnienia związane z RODO.
  • Stworzenie listy zabezpieczeń i wstępna ocena ich dostateczności. Na początkowym etapie, rozpoznane procesy przetwarzania należy osadzić w rzeczywistości organizacyjnej i technologicznej. Potrzebne jest wylistowanie narzędzi wykorzystywanych do przetwarzania oraz zapoznanie się z ich dokumentacją. Dodatkowo, konieczny jest przegląd procedur, które już funkcjonują w Twojej firmie oraz wizja kolana kluczowych obszarów przetwarzania. Celem tych działań jest zebranie wiedzy potrzebnej do przeprowadzenia analizy ryzyka czyli oceny dostateczności zabezpieczeń.
  • Przegląd umów. Również tworząc mapę procesów rozpoznaje się i ewidencjonuje przypadki, w których Twoja firma korzysta z usług innych podmiotów przy przetwarzaniu danych osobowych (albo sama świadczy innym usługi na danych osobowych). Takie współprace wymagają, co do zasady, zawarcia odpowiednich umów. Konieczna jest więc ocena zapisów albo przygotowanie aneksów, w zależności od sytuacji.
  • Przygotowanie planu redukcji stwierdzonych ryzyk (przeważnie w postaci raportu z audytu i zaleceń poaudytowych). Najczęściej, w toku działań audytowych, stwierdza się szereg większych lub mniejszych nieprawidłowości. Będą to braki w zakresie zawiadomienia o przetwarzaniu, źle skonstruowane zgody, niekorzystne lub formalnie niepoprawne umowy, braki w procedurach itd. Przystąpienie do usuwania tych niezgodności wymaga planu działania.
  • Powierzenie obowiązków osobom odpowiedzialnym, wygospodarowanie zasobów, ułożenie wstępnego grafiku wdrożenia. Z chwilą otrzymania raportu, musisz podjąć decyzję o tym, które ze źródeł ryzyka zaadresujesz jako pierwsze, kto ma się tym zająć oraz do kiedy praca ta ma zostać wykonana. Prawdopodobnie raport zawierał będzie rekomendacje w tych obszarach. Pamiętaj jednak, że to Twoim zadaniem jest zapewnić, aby zalecenia poaudytowe zostały zrealizowane. Powierzenie tych obowiązków i przeznaczenie środków na ich realizację jest pierwszym krokiem tzw. wdrożenia RODO.

Czego się spodziewać?

Zaczynasz właśnie budowanie zgodności z RODO? Przygotuj się więc na to, że przyjdzie Ci tłumaczyć i analizować wszystko to, co wcześniej wydawało się oczywiste. RODO niemal wszędzie operuje kryterium niezbędności, jako warunkiem koniecznym legalnego przetwarzania. Względem każdej informacji i każdej operacji będziesz musiał odpowiedzieć sobie na pytanie, czy jest ona niezbędna, a jeżeli tak, to do czego konkretnie.

Odpowiedzi na te pytania bywają nieoczywiste. RODO zmusza do ponownego przemyślenia założeń i zachowań, które wcześniej po prostu „były”. Prawo o ochronie danych wymaga od nas abyśmy mogli wykazać tę niezbędność. Innymi słowy, przyjdzie nam przygotować się do tego aby wyjaśnić nasze działania komuś, kto nie zna naszej firmy ani nawet branży.

Będziemy musieli, w czytelny sposób, powiadomić o przetwarzaniu naszych klientów i kontrahentów. Będziemy zmuszeni równie jasno przedstawić zasady postępowania z informacjami naszym pracownikom i kandydatom do pracy. Wreszcie, będziemy się przygotowywać do ewentualnych kontroli i realizacji obowiązku wykazania zgodności z RODO przed organem nadzoru.

Moment wdrażania RODO to dobry czas na uporządkowanie innych organizacyjnych, administracyjnych oraz informatycznych bolączek Twojej firmy. Personel nie przekazuje na czas wniosków, umów lub faktur? Mamy bałagan na dysku sieciowym? Nie wiadomo, kto odpowiada za reklamacje? Wszystkie te problemy zostaną stwierdzone w toku audytu lub jego następstwie.

Uzyskanie zgodności z przepisami prawa w zakresie ochrony danych osobowych może również wpłynąć pozytywnie na efektywność i atmosferę pracy. Bez wątpienia jednak, te benefity okupione będą pewnym wysiłkiem organizacyjnym. Potraktowanie czynności audytowych i wdrożeniowych „po macoszemu” doprowadzić może do tego, że wypracowane rozwiązania nie będą się nadawały do stosowania. Wówczas czas i pieniądze wydane na RODO zostają wyrzucone w błoto. Lepiej jest więc podejść do tego zagadnienia z zaangażowaniem. Postawić sobie za cel wypracowanie rozwiązań funkcjonalnych. Równolegle, możliwe jest osiągnięcie innych benefitów – usprawnienia komunikacji, zwiększenia bezpieczeństwa tajemnicy przedsiębiorstwa, usprawnienia procesu wdrażania nowych pracowników, odniesienia korzyści wizerunkowych itd.

Procesy związane z RODO będą wzmożone przez pierwszy rok. Będzie to okres opracowania dokumentacji, a potem jej stosowania i intensywnych poprawek. W tym czasie może też zaistnieć potrzeba renegocjacji części umów, a nawet zmiany niektórych dostawców usług.W późniejszym okresie, o ile Twoja firma nie zmieni się diametralnie oraz jeżeli ustawodawca nie spłata nam wszystkim figla, sprawy powinny się nieco uspokoić. Konieczne będzie szkolenie nowych pracowników, prowadzenie komunikacji z osobami, których dane posiadamy, analizowanie umów i regulaminów, opracowywanie not o przetwarzaniu oraz prowadzenie czynności kontrolnych.

Długoterminowo, o RODO należy myśleć podobnie jak o usługach księgowych. Są to niezbędne, ciągłe i istotne działania towarzyszące każdej firmie.

W kolejnym odcinku…

Omówimy zagadnienie szkoleń, szablonów dokumentacji oraz modele usług doradczych i audytowo wdrożeniowych, z którymi najczęściej się stykamy.

Jesteśmy też żywo zainteresowani Twoimi potrzebami i wątpliwościami. Jeżeli chcesz abyśmy odnieśli się do jakiegoś konkretnego zagadnienia związanego z procesem przygotowania firmy do RODO, napisz do nas. Odpowiedź postaramy się zamieścić w następnym artykule.