Czym się kierować przy wyborze doradcy w zakresie wdrażania RODO – infografika

W związku ze zbliżającym się wielkimi krokami wejściem w życie europejskiego rozporządzenia o ochronie danych osobowych (RODO), każdy administrator danych osobowych staje przed koniecznością dostosowania swojej organizacji do nowych przepisów.

Z tej perspektywy, podmioty zobowiązane do wdrożenia RODO będą dzielić się na trzy kategorie:

  1. liczących na uniknięcie nie tylko kar, ale i kosztów związanych z wdrożeniem,
  2. wdrażających RODO przy pomocy własnych pracowników,
  3. korzystających z usług zewnętrznych ekspertów.

ad. 1. to naturalne, że przedsiębiorcy chcą minimalizować koszty. Jednak brak wdrożenia RODO nie tylko naraża na karę pieniężną. To też ryzyko strat wizerunkowych i materialnych dla samej firmy.

ad. 2. w teorii RODO można wdrożyć wyłącznie przy pomocy własnych pracowników. Zwłaszcza, jeśli w organizacji funkcjonuje biuro bezpieczeństwa, czy compliance. W praktyce, wybór ekspertów zewnętrznych oznacza zwykle większą obiektywność przy ocenie zabezpieczeń, większą specjalizację w zakresie ochrony danych osobowych, a przede wszystkim wypracowaną metodologię wdrażania tego skomplikowanego aktu prawnego.

wdrożenie RODO - infografika

ad. 3 dobry wybór zewnętrznych ekspertów to nie lada wyzwanie. W związku z RODO coraz więcej firm oferuje usługi z zakresu ochrony danych osobowych, a ceny poszczególnych usług różnią się diametralnie.

Jak więc określić, czyja oferta jest najkorzystniejsza?

Oto czynniki do wzięcia pod uwagę

  1. Doświadczenie, specjalizacja i metodologia wdrożenia RODO
    Ponieważ przepisy RODO jeszcze nie obowiązują, nie ma jeszcze orzecznictwa i praktyki stosowania, które są zwykle kluczowe przy wypracowaniu metodologii wdrożenia danego aktu prawnego. W związku z tym, firmy doradcze opierają swój plan wdrożenia na dotychczasowych doświadczeniach i porównaniu ich ze zmianami wprowadzanymi przez przepisy RODO.
    Jeżeli RODO jest pierwszym doświadczeniem firmy z ochroną danych osobowych, to metodologia wdrożenia jest opracowana na podstawie samych przepisów, wytycznych i publikacji. Jakość takich usług nie zawsze będzie lepsza od wdrożenia RODO wyłącznie przy pomocy własnych pracowników.
  2. Wspólna praca prawników i specjalistów IT
    Wymogi RODO są ściśle związane z normami ISO z zakresu bezpieczeństwa informacji. Wśród kluczowych etapów wdrożenia są analiza ryzyka oraz dostosowanie środowiska teleinformatycznego. Dla zapewnienia bezpieczeństwa przetwarzania i osiągnięcia rozliczalności nie wystarczy, aby prawnik wyłożył wymogi RODO wewnętrznym informatykom w firmie.
  3. Dopasowanie do potrzeb klienta
    RODO odchodzi od odtwórczej implementacji wymagań prawa, na rzecz zaangażowania się organizacji w budowę własnego, adekwatnego do profilu prowadzonej działalności systemu ochrony danych osobowych. Nawet najlepsza zewnętrzna firma nie zna potrzeb klienta lepiej niż on sam. Dlatego wszystkie etapy wdrożenia RODO powinny opierać się na wspólnej pracy ekspertów zewnętrznych oraz członków zespołu wdrożeniowego po stronie klienta.
  4. Wsparcie po wdrożeniu
    Wdrożenie RODO to pierwszy etap. Kolejnym jest utrzymanie i monitorowanie zgodności. Część firm liczy na szybki zarobek przy wdrożeniu i zero odpowiedzialności za późniejsze funkcjonowanie systemu ochrony danych osobowych. Warto zapytać więc o ofertę w zakresie audytów kontrolnych czy przejęcia lub wsparcia funkcji inspektora ochrony danych (IOD, obecnie ABI).
  5. Warsztaty i szkolenia
    Dobry pakiet usług obejmie warsztaty i szkolenia przygotowujące nie tylko osoby odpowiedzialne, ale i wszystkich pracowników do codziennej pracy w nowej rzeczywistości prawnej. Przygotowanie do świadczenia tego typu usług sugeruje, że firmie zależy, aby klient w jak najszerszym zakresie mógł samodzielnie utrzymywać system ochrony danych. Doradca powinien dysponować własną platformą do szkoleń e-learningowych, szczególnie gdy wspiera we wdrożeniu RODO duże organizacje.
  6. Cena a jakość
    Podstawowym kryterium jest porównanie poziomu merytorycznego firmy z ceną za dzień pracy konsultanta. Wiele firm rozpisze wdrożenie RODO na wiele miesięcy, bez dokładnego określenia, ile czasu spędzą jej eksperci na pracy przy wdrożeniu. Im więcej szczegółów na temat wyceny i zakresu usług, tym większa pewność, że cena nie jest wygórowana.

Autor:
dr Paweł Mielniczek
Specjalista ds. ochrony danych, ODO 24 sp. z o.o.

Czytaj również:
Więcej informacji w strefie RODO
Dane osobowe nie są odpowiednio chronione
Tylko 51% firm przygotowanych na RODO