Poniższy tekst stanowi drugi odcinek naszego cyklu, który ma za zadanie pomóc przedsiębiorcom świadomie i skutecznie uporać się z dostosowaniem firmy do RODO. W pierwszym artykule, który znajdziesz tu, omówiliśmy generalną problematykę oraz chronologię budowania zgodności z przepisami o ochronie danych osobowych. W tym odcinku przyjrzymy się bliżej rozwiązaniom, które mogą przyspieszyć dostosowanie do RODO.

Szkolenia RODO

Typy szkoleń

Systemy ochrony danych osobowych są budowane i, co nawet ważniejsze, utrzymywane i wykorzystywane przez ludzi. Same przepisy cechują się natomiast wysoką ogólnością i przenoszą na nas ciężar analizy i implementacji prawa. Mamy więc sporą swobodę ale też narażeni jesteśmy na bardzo wysokie ryzyko błędu. Źródłami pomyłki może być nie tylko zła wola lub lekceważenie, ale też zwykła niewiedza lub brak dogłębnego zrozumienia znaczenia postanowień RODO – ducha przepisu.

Oczywiste jest więc, że musimy się szkolić oraz zatroszczyć się o kwalifikacje tych, którzy w naszym imieniu będą przetwarzać, a więc pracować na danych osobowych. Szkolenia z RODO to rodzaj usługi, którą rozważał już pewnie każdy przedsiębiorca.

Szkolenie szkoleniu jednak nie równe i nie mamy tutaj na myśli wyłącznie “jakości” przedstawionych materiałów i sposobu ich wyłożenia. Chodzi również o to, że szkolenia te mogą służyć do różnych celów i być potrzebne na innych etapach procesu budowania zgodności z RODO. Przykładowo, z marszu możemy wyróżnić następujące typy szkoleń:

  • Szkolenia przygotowujące do świadomego pełnienia roli Administratora (dedykowane dla przedsiębiorców i wysokiego kierownictwa firm);
  • Szkolenia przygotowujące do uczestnictwa w audycie (przeznaczone dla kierowników i piastunów stanowisk indywidualnych, szkolenia, które mają za zadanie usprawnić działania audytowe);
  • Szkolenia z procedur postępowania (prowadzone dla personelu przetwarzającego każdego szczebla; służą przedstawieniu przygotowanych procedur i omówieniu zasad ich realizacji, najczęściej na przykładach);
  • Szkolenia przygotowujące do pełnienia funkcji inspektora ochrony danych (częściej są to całe bloki szkoleniowo warsztatowe, rozłożone na kilka lub kilkanaście dni – ich celem jest przygotowanie osób posiadających już pewne kompetencje w dziedzinie RODO do realizacji obowiązków ciążących na inspektorze ochrony danych).

Co dla kogo i kiedy?

Szkolenie dla przedsiębiorców – dotyczy właścicieli firm i wysokiego kierownictwa

Przytoczone wyżej przykłady mają ilustrować fakt, że zapotrzebowanie na usługi szkoleniowe może wystąpić na różnych etapach budowania zgodności z RODO i służyć rozmaitym celom. Generalnie, wszystkie wyżej wymienione szkoleniowa, uważamy za wartościowe i przydatne jeżeli tylko dostosowane są do faktycznych potrzeb tego, kto je zamawia.

Zaczynając od początku, budowanie systemu ochrony danych osobowych nie jest łatwym zadaniem. Jest to proces angażujący duże grono osób i to regularnie. Do tego, RODO może wpłynąć na szereg sensytywnych procesów biznesowych, na czele z marketingiem oraz procesami kadrowymi. Ostatecznie, ochrona danych osobowych wiąże się z koniecznością poniesienia kosztów. Warto jest więc z głową i świadomie mierzyć się z tym organizacyjnym wyzwaniem. Z tego względu, szkolenia dla przedsiębiorców (dla administratorów oraz podmiotów przetwarzających) mają wiele sensu – ich celem jest przygotować Ciebie do uporania się z RODOproblemem.

Poniekąd, podobną funkcję pełnić ma również nasz cykl – podręcznik w odcinkach. W zależnością więc od tego, którą formę komunikacji preferujesz, rozważ proszę udział w dedykowanym szkoleniu albo też oddaj się dalszej lekturze.

Istotne jest natomiast aby nie pomylić typów szkoleń. Administratorom, zwłaszcza większym, nie jest niezbędnie potrzebna wiedza operacyjna o przetwarzaniu (np. dotycząca tego, jak skomponować powiadomienie o przetwarzaniu). Kluczowe będą dla nich natomiast informacje o odpowiedzialności i podziale tej odpowiedzialności przy współpracy z podwykonawcami i pracownikami, precyzyjne wytyczne w zakresie tego, kiedy, z kim i jaką umowę zawrzeć, w związku z danymi osobowymi oraz jakie kompetencje są potrzebne aby zbudować i utrzymać system zgodności. Wreszcie, to ostatnie zagadnienie dotyczy również tego, z jakich innych usług należy skorzystać aby dostosować firmę do RODO.

Szkolenie przedaudytowe – dotyczy project managerów, kierowników działów i piastunów stanowisk indywidualnych

Pierwszym krokiem dostosowania do rodo jest ustalenie, na czym stoimy. Chodzi o rozpoznanie i opisanie swoistego “stanu zerowego” – punktu wyjścia. Czynności te, co do zasady, dotyczą trzech obszarów:

  • Stworzenia mapy procesów, w których dochodzi do przetwarzania danych osobowych;
  • Rozpoznania kontekstu biznesowego, umownego i prawnego tych operacji przetwarzania; oraz
  • Analizy proceduralnej i informatycznej strony tych działań, aby móc skutecznie oszacować ryzyko.

Na starcie, musimy więc spojrzeć na całą firmę przez pryzmat RODO. Część informacji pozyskamy prowadząc wizje lokalne oraz analizując dokumenty. Kluczowe dane ustalimy jednak rozmawiając z ludźmi – najlepiej, tymi, którzy na co dzień uczestniczą w pracy z i na danych osobowych.

Oczywiście, dla niemal wszystkich z tych osób, analiza ich codziennych działań przez pryzmat RODO nie będzie trywialna. Nie jest to “typowa” optyka patrzenia na operacje biznesowe. Zmiana nastawienia (mowa tu o tymczasowej zmianie nastawienia, na potrzeby audytu) wymaga, przede wszystkim, zrozumienia, gdzie leżą środki ciężkości oraz co znaczą pojęcia, którymi musimy się posługiwać opisując system ochrony danych osobowych. Przede wszystkim, chodzi tutaj o rozróżnienie logiki celów (po co mi są określone dane) od naturalnej logiki narzędzi (te dane mam w tym systemie) oraz o pełne zrozumienie samej definicji danych osobowych (która jest szersza niż się ludziom przeważnie wydaje).

Z czysto operacyjnego punktu widzenia, szkoda czasu na tłumaczenie tych samych zagadnień każdej audytowanej osobie z osobna. Mało tego, dla skuteczności audytu korzystne jest również jeżeli jego uczestnicy mają szansę się choćby nieco przygotować do rozmów. W efekcie, sensowne jest przeprowadzenie szkolenia przygotowawczego.

Warto, aby poruszone na nim zostały następujące kwestie:

  • Podstawowe definicje (dane osobowe, przetwarzanie, administrator, podmiot przetwarzający, przetwarzanie transgraniczne, dane dotyczące zdrowia itd.);
  • Podstawy prawne przetwarzania danych osobowych (niezbędność do realizacji umowy; niezbędność do realizacji obowiązku prawnego; prawnie uzasadniony interes administratora; zgoda osoby i cechy ważnej zgody) – informacje te pozwolą audytowanym przygotować potrzebne dokumenty towarzyszące procesom przetwarzania (np. wcześniej pobierane zgody, regulaminy lub umowy, przepisy, których realizacji służy przetwarzanie);
  • Naczelne zasady RODO (wskazane w art. 5, ze szczególnym uwzględnieniem zasady ograniczenia celu, minimalizacji danych i ograniczenia przechowywania) – omówienie tych zasad oraz podanie przykładów ich skutecznego stosowania pozwoli słuchaczom przemyśleć i ustalić ich własne, faktyczne potrzeby, które w czasie audytu trzeba będzie przelać na papier (lub raczej do arkusza excel);
  • Zasady domyślnej ochrony i ochrony w fazie projektowania (privacy by desing, privacy by the default), które ilustrują przebieg przyszłych działań audytowych i osadzają je we właściwym kontekście – tłumaczą ich sens.
    Jeżeli audyt prowadzony będzie przez zewnętrznego specjalistę, szkolenie wprowadzające jest również dogodnym momentem do ustalenia, kto faktycznie opiekuje się którymi z procesów przetwarzania. Informacje te mogą posłużyć do wykonania ewentualnej korekty planu audytu.

Szkolenie z procedur – dotyczy faktycznych uczestników przetwarzania (np. personelu biurowego)

Już w etapie wdrożeniowym, potrzebne będzie przygotowanie zespołu do postępowania z danymi osobowymi we właściwy sposób. Zasady te określone będą procedurami lub politykami, których propozycje powstaną jako podsumowanie działań audytowych.

Z praktycznego punktu widzenia, należy wskazać, że pewnym wyzwaniem jest ułożenie procedur, które jednocześnie, posiadają następujące cechy:

  • są krótkie;
  • są jednoznaczne;
  • są zrozumiałe;
  • opisują wszystkie przypadki, w których potrzebne jest ich stosowanie.

Przeważnie, zwłaszcza w początkowym okresie, procedury albo nie są kompletne (nie uchwytują rzadko spotykanych przypadków lub zagadnień) albo są niezrozumiałe (stworzone są na wyższym poziomie abstrakcji i ich stosowanie do jednostkowych przypadków jest nieoczywiste).

Mając na uwadze powyższe, warto jest o tych procedurach rozmawiać – zarówno wyjaśnić, jak autorzy wyobrażają sobie ich stosowanie, jak i zebrać informację zwrotną o jakości przygotowanych zapisów.

Dobrą sposobnością do tego jest szkolenie z procedur. Jest to spotkanie autorów procedur z przyszłymi wykonawcami tych postanowień. Szkolenie takie powinno zawierać następujące elementy:

  • objaśnienie zakresu stosowania każdej z procedur (czyli kiedy należy się jej trzymać);
  • objaśnienie celu wprowadzenia procedury (co chcemy osiągnąć, jaki ma być skutek?);
  • przedstawienie stosowania procedury na przykładzie;
  • przedyskutowanie uwag, wątpliwości i zarzutów do procedury (na omówienie procedur należy przewidzieć około ⅓ czasu spotkania).

Dodatkowo, przymierzając się do przeprowadzenia takiego szkolenia, warto pomyśleć o względach organizacyjnych:

  • osoba szkoląca musi doskonale znać procedury (najlepiej, powinna być ich autorem lub współautorem);
  • zespół powinien otrzymać procedury wcześniej, aby mógł się z nimi zapoznać (trudno jest jednocześnie czytać i słuchać, a czasem kluczowe są szczegóły);
  • jeżeli zakres na to pozwala, warto prowadzić szkolenie niezależnie z różnymi działami (przykładowo, aby nie zanudzać personelu działu spedycji procedurami rekrutacyjnymi);
  • warunki i atmosfera na sali muszą umożliwiać zgłaszanie uwag przez słuchaczy (przykładowo, jeżeli wiadome jest, że w obecności określonego dyrektora nikt się nie odezwie, dyrektora tego nie powinno się zapraszać na szkolenie – tutaj kluczowe są uwagi praktyków, bez nich procedury mogą się okazać niedostosowane do rzeczywistości lub znacząco utrudniać codzienną pracę).

Szkolenie przygotowujące do pełnienia funkcji iod – dotyczy kandydatów na iod

Pełnienie funkcji inspektora ochrony danych wymaga wszechstronnej wiedzy oraz pewnych umiejętności. Choć pozornie może się wydawać, że “człowiek od danych osobowych” musi tylko umieć pisać procedury, w rzeczywistości, dobry iod to człowiek inteligentny, pomysłowy i radzący sobie w relacjach międzyludzkich. Zagadnieniu iod przewidujemy poświęcić więcej uwagi w nadchodzących materiałach. Teraz poprzestańmy więc na stwierdzeniu, że jeżeli nasz kandydat nie wykonywał wcześniej tej funkcji, potrzebna mu będzie pomoc.

Jest wiele źródeł potrzebnej tu wiedzy – literatura, spotkania eksperckie, seminaria organizowane przez stowarzyszenia branżowe, materiały publikowane przez Urząd Ochrony Danych i Europejską Radę Ochrony Danych i wiele jeszcze innych. Jeżeli jednak nasz świeżo upieczony iod ma niezwłocznie przystąpić do działań, a nie jest praktykiem, potrzebna mu będzie wiedza w pigułce. Taki przyspieszony kurs RODOwania.

Rekomendujemy aby korzystać z usług w modelu warsztatowym, a nie ograniczać się wyłącznie do szkoleń. Zalecenie to nie wynika jednak z tego, że uważamy szkolenia za bezwartościowe. Naszą motywacją jest fakt, że realizacja zadań iod wymaga również kompetencji czysto praktycznych, których trudno nabyć wyłącznie słuchając. “Raczkującemu” iod będą potrzebne, przynajmniej, następujące informacje:

  • Jak przeprowadzić audyt? Na czym się skupić, jak udokumentować ustalenia? Z kim rozmawiać i o czym? Gdzie zacząć?
  • Jak badać ryzyko? Jakie są jego najczęstsze źródła? Jak ustalić dostateczność zabezpieczeń?
  • Jak budować procedury? Kiedy regulować dane zagadnienie proceduralnie? W jaki sposób ułożyć sobie relację z IT oraz działem prawnym (kto za co powinien odpowiadać)?
  • Jaki jest zakres niezbędnej dokumentacji i jak ją prowadzić?
  • Na co zwracać uwagę analizując umowy?
  • Jak realizować powiadomienia o przetwarzaniu?
  • Jak skutecznie odbierać zgody (chodzi o przykłady, o operacyjne informacje)?
  • Jak organizować obieg dokumentów?
  • Jak i kiedy prowadzić kontrole oraz jak je dokumentować?
  • Co robić w przypadku naruszenia?
  • Jakiego typu roszczeń od osób, których dane dotyczą się spodziewać i jak sobie z nimi radzić?
  • Jak prowadzić DPIA?

Do kogo na szkolenie z RODO?

Do praktyka, zawsze do praktyka. RODO przysparza znacznie więcej trudności implementacyjnych aniżeli interpretacyjnych. Choć nie wszystko jest nadal jasne (a w niektórych miejscach dochodzi nawet do bolesnych niedomówień) to jednak główny ciężar dostosowania do przepisów o ochronie danych leży w przełożeniu teorii na praktykę – w przygotowaniu rozwiązań, które zarazem będą dostatecznie skuteczne i na tyle funkcjonalne, aby nie okulawić Twojej firmy.

W tym sensie, zawsze lepszym przewodnikiem będzie ktoś, kto dokonał już skutecznych wdrożeń i opiekuje się systemami ochrony danych, aniżeli ktoś kto posiada wyłącznie rozległą wiedzę teoretyczną. Oczywiście, idealnie jest gdy szkoleniowiec dysponuje obiema tymi kompetencjami natomiast jeżeli staniesz przed koniecznością wyboru, szukaj kogoś, kto współpracuje już z podmiotami z Twojej branży lub pokrewnych.

Dokumentacja RODO

O co, tak właściwie, chodzi?

Dawne przepisy o ochronie danych osobowych (mowa o naszej, krajowej ustawie z 1997 r., która implementowała dyrektywę 95/46 WE oraz rozporządzeniu MSWiA z 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) praktycznie definiowały zawartość dwóch, kluczowych wówczas dokumentów – polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym.

W RODO tak komfortowo (lub też rygorystycznie) już nie jest. Zakres dokumentacji jest niedookreślony, elastyczny. Absolutnie niezbędne będą, wyłącznie:

  • analiza ryzyka;
  • oceny skutków dla ochrony danych (o ile zachodzi obowiązek ich przeprowadzenia);
  • umowy powierzenia przetwarzania danych osobowych (o ile powierza się dane lub jest się ich odbiorcą);
  • gwarancje zabezpieczenia transferów transgranicznych (np. umowy zbudowane w oparciu o tzw. standardowe klauzule umowne – dotyczy wyłącznie przypadków gdy przetwarza się dane transgranicznie);
  • umowy współadministracji (o ile do takiej dochodzi);
  • upoważnienia do przetwarzania danych osobowych i zobowiązania do zachowania danych w poufności;
  • ewidencja naruszeń ochrony danych osobowych;
  • rejestry czynności przetwarzania i kategorii czynności przetwarzania (z pewnymi wyłączeniami, które można, co do zasady, uznać za nieskuteczne);
  • noty informujące o przetwarzaniu;
  • zgody na przetwarzanie danych osobowych (o ile prowadzi się przetwarzanie w oparciu o zgody, a nie zawsze tak jest).

Poza tym, mamy pewną dowolność. Rozliczani jesteśmy bowiem ze skutku podjętych działań, a nie z tych działań, jako takich.

Podstawę obowiązku prowadzenia dokumentacji, która faktycznie objaśnia zasady postępowania z danymi osobowymi, wywodzi się z następujących przepisów:

Artykuł 24

Obowiązki administratora

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Do tego, w art. 5, w którym wskazuje się naczelne zasady przetwarzania, RODO stanowi, że administrator musi być w stanie wykazać przestrzeganie prawa.

Dokumentacja, która wykracza poza wskazane wprost minimum, może wciąż być wymagana. Sęk w tym, że jej struktura nie jest narzucona. Trzeba więc samemu zdiagnozować swoje potrzeby, zarówno operacyjne, po stronie ochrony danych, jak i dowodowe, a następnie opracować zapisy, które te potrzeby zaspokoją.

Tym, którzy nie mają w tym miejscu dostatecznego doświadczenia lub wyobraźni, z pomocą przyjść mogą wzory dokumentów (choćby te, dostępne za darmo na naszej stronie – https://mwinspektorzy.pl/wzory-dokumentow-rodo/).

Wzory dokumentów RODO – jak je stosować?

Przykładowa dokumentacja może posiadać szereg walorów:

  • jest gotowa i może (choć wcale nie musi) sprawdzić się w Twojej firmie;
  • wskazuje na obszary, które przeważnie wymagają proceduralnego uregulowania (nawet jeżeli nie pasuje jak garnitur szyty na miarę, to przynajmniej stanowi pewną podpowiedź odnośnie tego, co warto uregulować i jak się za to zabrać);
  • ilustruje poziom szczegółowości, który jest operacyjnie wystarczający (dotyczy to zarówno poziomu szczegółowości procedur, jak i szczegółowości opisu operacji przetwarzania w Rejestrze Czynności Przetwarzania – jako że mowa tu o dokumentacji, którą implementuje się w konkretnym celu lub celach, ważne jest aby wiedzieć, co tak właściwie jest potrzebne, aby te cele osiągnąć);
  • posiada pewną strukturę, na bazie której można dokonywać późniejszych korekt lub tworzyć własne dokumenty (np. procedury opisane są według pewnej logiki, którą można zastosować tworząc własne procedury).

Dokumenty są jednak w RODO narzędziem, a nie celem same w sobie. Jak z każdego innego narzędzia, tak i z tego, trzeba umieć skorzystać. Tak więc:

  • wzory dokumentów nie pomogą, jeżeli w Twoim zespole nie ma wiedzy potrzebnej, aby je uzupełnić;
  • wzory dokumentów mogą zawierać zapisy z Twoimi dotychczasowymi regulacjami wewnętrznymi (innymi procedurami, ISO, instrukcją kancelaryjną, zarządzeniami itd.);
  • wzory dokumentów nie koniecznie zaadresują wszystkie zagrożenia organizacyjne w Twojej firmie (może się okazać, że potrzebujesz jeszcze innych procedur, które są mniej standardowe);
  • dokumenty te mogą być tworzone przy założeniu innej struktury organizacyjnej lub modelu zarządzania (wówczas, choć logika może zostać zachowana, potrzebne będzie dostosowanie zapisów);
  • potrzebna jest podstawowa wiedza z zakresu RODO, która pozwoli zrozumieć sens zapisów i skutecznie je realizować;
  • dokumenty te trzeba będzie wdrożyć do stosowania – uzupełnić i wcielić w życie (w zależności od tego, który to konkretnie dokument, podpisać, przesłać komuś, zlecić pracownikom stosowanie itd.);
  • ostatecznie, dokumentacja w tym “elastycznym” zakresie, tworzona jest jako element systemu ochrony danych osobowych. Istnieje ryzyko, że wzory przygotowane nie w oparciu o czynności audytowe, a w oparciu o wiedzę własną (nawet bardzo szeroką) nie będą pasować do Twojego systemu.

Wzory dokumentów RODO – dla kogo?

O gotowych dokumentach można więc myśleć dwojako – albo jest to pomoc na start dla zespołu, który posiada wiedzę teoretyczną, ale brak mu doświadczenia praktycznego, albo jako o ostatniej desce ratunku dla kogoś, kto chwilowo nie posiada możliwości bardziej systemowego podejścia do zagadnienia ochrony prywatności.

Gotowe dokumenty (wzory) rekomendujemy więc dla:

  • początkujących iod, którzy potrzebują bazy, aby zacząć własne działania;
  • przedsiębiorców, którzy zmuszeni są radzić sobie z RODO własnymi siłami (których nie wspiera specjalista ds. ochrony danych);
  • podmiotów, których specyfika jest raczej powtarzalna (zakłady produkcyjne, punkty usługowe i sklepy, urzędy, szkoły).

Usługi doradcze, audytowe i wdrożeniowe RODO

Specyfika pracy z firmą zewnętrzną – generalne zasady outsourcingu RODO

Decydując się na skorzystanie z pomocy firmy zewnętrznej, wybierasz sobie partnera na dłuższy okres czasu. Generalnie, mariaż z outsourcingiem nie jest (a raczej, nie powinien być) krótkoterminowy. Sporo o przyczynach pisaliśmy w naszym pierwszym artykule z cyklu. Aby się przesadnie nie powtarzać, ograniczmy się więc do paru kluczowych tutaj tez:

  • mając na uwadze skuteczność i efektywność czasową działań, dobrze jest powierzać jednej firmie wszystkie (lub przynajmniej, możliwie wiele) usługi związane z RODO – szkolenia, audyt, wdrożenie i utrzymanie lub pełnienie funkcji iod;
  • budowanie systemu ochrony danych osobowych jest procesem, który trzeba monitorować, a czasem stymulować;
  • przeważnie, pierwsze dwanaście miesięcy to okres intensywnych prac, wpierw audytowych, a później, stopniowego eliminowania problemów “wieku niemowlęcego” Twojego systemu RODO.

Podchodząc do tematu jeszcze od innej strony, należy wskazać, że dla firmy zewnętrznej dużym wyzwaniem jest nauczenie się i zrozumienie Twojej firmy i branży oraz realiów biznesowych, w których funkcjonujesz. Na naukę tą potrzebny jest czas. Jeżeli więc dany podmiot zewnętrzny już z Tobą pracuje, będzie o parę kroków do przodu względem konkurencji.

Oczywiście, od zasady bywają również wyjątki. Niestety, na rynku sporo jest firm, które zajmują się ochroną danych osobowych wyłącznie na papierze, a ich klienci nie mogą zanadto liczyć na realną pomoc. Jeżeli znajdujesz się w takiej sytuacji to rekomenduję szybką zmianę dostawcy usług.

Musisz także mieć świadomość, że przy współpracy z firmą zewnętrzną, kluczowe jest to, co ustalicie / wynegocjujecie. Tylko i wyłącznie w przypadku powołania inspektora ochrony danych zakres obowiązków firmy zewnętrznej wynika wprost z przepisów. W każdym innym modelu współpracy, ważne jest to, co biznesowo ze sobą ustalicie. Jeżeli więc, przykładowo, postanowiłeś skorzystać ze wsparcia w określonym wymiarze godzin, licz się z tym, że na dostawy usług nie ciąży jakikolwiek zewnętrzny obowiązek, aby wypracować dla Ciebie więcej.

Negocjuj z głową i czytaj uważnie umowę. Warto, aby:

  • gwarantowała Ci ona możliwość skorzystania z usług w większym niż podstawowy wymiarze godzin, w sytuacjach nadzwyczajnych (naruszenia, kontrole, wnioski od osób, których dane dotyczą);
  • określała ona maksymalny czas, który dostawca ma na zainteresowanie się Twoim zgłoszeniem / problemem;
  • zobowiązywała ona wykonawcę do przedstawienia szacowanego czasu potrzebnego na dostosowanie Twojej firmy do RODO i wstępnego planu działania;
  • przenosiła ona odpowiedzialność na wykonawcę, przynajmniej w zakresie odpowiedzialności za konsekwencje działań zleconych, ale niewykonanych lub wykonanych w sposób niewłaściwy.

Podstawowe modele współpracy – zlecenie, model reaktywny, model proaktywny

Przy wsparciu w zakresie RODO, podobnie jak przy innych usługach (przykładowo, outsourcingu IT), możemy mówić o paru typach współpracy:

  • modelu pojedynczego zlecenia, w którym zamawiający zleca wykonanie wyłącznie określonej czynności (przykładowo, przeprowadzenie szkolenia, przeprowadzenie audytu przedwdrożeniowego, analiza umowy, opracowanie procedury);
  • modelu współpracy długoterminowej lub ciągłej, reaktywnej (dostawca usług zobowiązany jest umownie do podjęcia reakcji na zgłoszenie od zamawiającego); oraz
  • modelu współpracy długoterminowej lub ciągłej, proaktywnej (wykonawca określa z zamawiającym plan budowy systemu ochrony danych osobowych i pełni rolę project managera przy realizacji tego planu; wykonawca sam inicjuje i realizuje działania, zgodnie z przyjętymi priorytetami).

Rozpoznanie pierwszego modelu współpracy jest sprawą raczej łatwą. Znacznie więcej trudności przysparza rozróżnienie modelu drugiego i trzeciego. Silnie rekomenduje się zawrzeć w umowie współpracy jednoznaczne zapisy, które wskażą na to, czy firma zewnętrzna wyłącznie odpowiedzialna jest za reakcję na Twoje zgłoszenia, czy też ma sama projektować i inicjować działania.

Zalety modelu reaktywnego:

  • kontrola kosztów (zwłaszcza przy rozliczeniu godzinowym, przyjęcie tego modelu mityguje ryzyko biznesowe, które polega na przepracowaniu przez dostawcę większej niż planowana liczby godzin);
  • kontrola priorytetów (w wielu przypadkach względy biznesowe lub wizerunkowe mogą rzutować na to, w jakiej kolejności będziesz chciał rozwiązywać problemy wynikające z RODO; model reaktywny pozwala Ci rzucić siły do pracy tam, gdzie w danym momencie najbardziej ich potrzebujesz).

Zalety modelu proaktywnego:

  • brak potrzeby wyznaczania project managera po Twojej stronie (prace planistyczne i organizacyjne przejmuje w tym modelu dostawca; po Twojej stronie pozostanie prawdopodobnie wyłącznie logistyka – umawianie spotkań, przekazywanie umów itd.);
  • plan płynący z doświadczenia (dostawca, który dysponuje doświadczeniem w zakresie budowania systemów ochrony danych osobowych, zaproponuje i będzie realizował plan działania, który w sensie logicznym i wzajemnych relacji pomiędzy działaniami, będzie zoptymalizowany i skuteczny);
  • możliwość przeniesienia odpowiedzialności w szerszym zakresie (w modelu reaktywnym, faktyczna odpowiedzialność dostawcy zawsze ograniczy się do reagowania na Twoje polecenia; w modelu proaktywnym, przy odpowiedniej konstrukcji umowy, możesz przenieść na dostawcę również odpowiedzialność za kolejność podejmowanych działań).

Outsourcing inspektora ochrony danych

O ile usługi doradcze oraz wsparcia w audycie i wdrożeniu świadczone są wyłącznie na podstawie umowy, to w przypadku powołania inspektora ochrony danych osobowych, który jest przedsiębiorcą lub pracownikiem firmy zewnętrznej, sprawa wygląda nieco inaczej.

Różnica płynie z faktu, że zadania inspektora określono wprost w RODO (art. 39). Umownie można te obowiązki rozszerzyć (co prawie zawsze ma miejsce) natomiast nie można ich ograniczyć. Outsourcing iod zawsze idzie w parze z proaktywnym modelem współpracy. Iod nie może bowiem otrzymywać instrukcji w zakresie tego, jak sprawuje swoją funkcję (Uwaga! Jeżeli umowa współpracy z outsourcingiem opiewa na szerszy zakres usług niż wyłącznie obowiązki iod, możemy mieć do czynienia z hybrydą – przykładowo, iod proaktywnie prowadzi kontrole, szkolenia oraz pełni rolę punktu kontaktowego, a jednocześnie reaktywnie opracowuje propozycje umów lub procedur – nie są to bowiem obowiązki wynikające z RODO).

Iod nie może być również ograniczony wyłącznie do działania w określonym wymiarze godzin. Jeżeli realizacja jego zadań pochłonie więcej czasu, iod musi mieć taką możliwość (i prawdopodobnie w umowie przewidzi dodatkową opłatę za ewentualne przekroczenia).

Należy również pamiętać o tym, że iod musi otrzymać podstawowe środki niezbędne mu do pełnienia funkcji – mowa tu o koncie pocztowym w Twojej domenie oraz dostępach do niezbędnych mu zasobów.

W drugą jednak stronę, osoba, którą powołasz, zostanie zgłoszona do Urzędu Ochrony Danych oraz wymieniona z imienia i nazwiska na Twojej stronie www. Z perspektywy odpowiedzialności i wizerunkowej, możesz więc liczyć na większe zaangażowanie.

Zagadnieniu tego, kiedy należy powołać inspektora, poświęciliśmy osobny artykuł (https://mwinspektorzy.pl/kiedy-nalezy-zatrudnic-inspektora-ochrony-danych/), zapraszamy do lektury.

W kolejnym odcinku…

zajmiemy się notami informacyjnymi i zgodami. Postaramy się przedstawić przykłady dobrych praktyk w zakresie warstwowej realizacji notyfikacji oraz przypatrzymy się typowym procesom przetwarzania wykorzystującym cookies i funkcjonalności stron www.
Jesteśmy też żywo zainteresowani Twoimi potrzebami i wątpliwościami. Jeżeli chcesz abyśmy odnieśli się do jakiegoś konkretnego zagadnienia związanego z procesem przygotowania firmy do RODO, napisz do nas. Odpowiedź postaramy się zamieścić w następnym artykule.