RODO – Ostatni dzwonek dla Firm
Wiele firmPL odkłada dostosowanie do RODO na ostatnią chwilę, a ta właśnie nadeszła. Wdrożenie modelu informacji zgodnego z RODO to złożony projekt, mający na celu stworzenie procesu dynamicznego i świadomego zarządzania danymi i informacjami.
„Traktujemy RODO jako szansę dla klienta – na optymalizację procesów, pozbycie się zbędnych zasobów i eliminację ryzyk”
Etap RODO Jesienią 2017
CEO: Na jakim etapie jest RODO jesienią 2017 roku?
Bartosz Marcinkowski: Wdrożenia u wielu klientów są w pełnym toku. Administracja planuje na wrzesień prezentację projektu ustawy o danych osobowych i ustawy wprowadzającej, nowelizującej inne akty prawne. Rozpoczną się dyskusje i konsultacje społeczne, standardowe dla projektów ustaw.
Uwaga: Proces legislacyjny jest kluczowy dla ostatecznego kształtu przepisów.
Jesień zaostrzy dyskusję wokół RODO.
Dyskusje są ważne, ale czas na intensywne działania. Czwarty kwartał to ostatni moment na start projektów RODO, niezależnie od specyfiki branży – czy dotyczy ona rozwiązań sektorowych, jak w służbie zdrowia, ubezpieczeniach, finansach, czy ogólnych reguł. Pamiętajmy, że brak wdrożenia wiąże się z konkretnymi konsekwencjami.
Dlaczego to tak pilne?
RODO nie wdroży się w pięć tygodni. Rozległość organizacji i złożoność IT pokazują skalę wyzwania. Biznes i obieg informacji opierają się na technologii. Zainteresowanie RODO wzrosło, gdy poza działami IT dostrzeżono znaczenie warstwy technologicznej. (Patrz: harmonogram poniżej)
| Etap | Czas trwania (orientacyjnie) | Opis |
|---|---|---|
| Analiza i Diagnoza | 1-2 miesiące | Identyfikacja luk, ocena ryzyka, inwentaryzacja danych. |
| Projektowanie Rozwiązań | 2-3 miesiące | Opracowanie polityk, procedur, zmian w systemach IT. |
| Wdrożenie i Testowanie | 3-6 miesięcy | Implementacja rozwiązań, szkolenia, testy i audyty. |
| Monitoring i Utrzymanie | Ciągły proces | Regularne aktualizacje, dostosowanie do zmian, reagowanie na incydenty. |
| Źródło: Opracowanie własne na podstawie doświadczeń DZP | ||
Technologia wspiera procesy regulowane w Rozporządzeniu: prawo do bycia zapomnianym, dostęp do danych, ich sprostowanie i inne. Kluczowe jest zrozumienie technologicznego wymiaru RODO.
RODO to nie tylko IT.
IT to jeden z obszarów. Ważne są też HR, marketing, finanse… Organizacja musi określić, które zasoby danych i procesy podlegają RODO. Pamiętaj: RODO obejmuje całą organizację, nie tylko dział IT.
- Obszary RODO w Firmie
- RODO dotyczy każdego działu w organizacji, w tym IT, HR, Marketing, Finanse i inne, które przetwarzają dane osobowe.
Jakie jest doświadczenie DZP we wdrożeniach RODO?
Prowadzimy ponad 20 projektów RODO i mamy dwa razy tyle w kolejce. Obsługujemy większość sektorów: finanse, produkcję, przemysł ciężki, SaaS, ubezpieczenia, motoryzację, firmy z polskim i międzynarodowym kapitałem. Każdy projekt jest inny. Ważne: Każde wdrożenie jest unikalne i wymaga indywidualnego podejścia.
- Sektory Obsługiwane przez DZP
- Doświadczenie DZP obejmuje szeroki zakres sektorów, w tym finanse, produkcję, przemysł ciężki, SaaS, ubezpieczenia i motoryzację.
Ciekawy przykład to firmy z centralami poza Polską, które czekały na wytyczne i odłożyły przygotowania. Teraz, z naszym wsparciem, szybko opracowują podejście do RODO. Polskie przepisy nie pozwalają na *copy&paste*. Specyfika krajowa i dotychczasowa praktyka ustawy o ochronie danych osobowych wpływają na rozwiązania, mimo że RODO obowiązuje bezpośrednio w całej UE. Uwaga: Prawo polskie wymaga indywidualnego podejścia do wdrożeń RODO.
Na czym polega współpraca z klientem?
Forma współpracy zależy od klienta i sytuacji. Czasem prawnicy DZP zarządzają projektem, czasem jesteśmy doradcami-ekspertami na zasadzie hotline, a czasem konsultantami w zespole projektowym. Spektrum zaangażowania jest szerokie, a problemy różnorodne. Najbardziej angażujący jest model zarządzania projektem. Ważne: Model współpracy jest dostosowywany do potrzeb klienta.
- Zarządzanie projektem przez prawników DZP
- Doradztwo eksperckie (hotline)
- Konsultacje w zespole projektowym klienta
Dlaczego?
Wdrożenie RODO musi przekształcić się w nowy proces zarządzania informacją. Klient musi współkierować projektem, aby przejąć odpowiedzialność za procesy biznesowe i monitorować środowisko przetwarzania danych osobowych. Pamiętaj: Współpraca klienta jest kluczowa dla sukcesu wdrożenia RODO.
- Kluczowa Rola Klienta
- Klient musi aktywnie uczestniczyć w projekcie wdrożenia RODO, aby zapewnić skuteczne zarządzanie informacją i odpowiedzialność za procesy biznesowe.
Czy zarząd firmy angażuje się w projekt?
Zwykle projektem opiekuje się dyrektor bezpieczeństwa i IT – to logiczne, bo przetwarzanie danych opiera się na technologii. Zarząd jest sponsorem, a jego aktywne, choć nie bezpośrednie, zaangażowanie jest kluczowe. Uwaga: Zaangażowanie zarządu, choć pośrednie, jest niezbędne dla powodzenia projektu RODO.
- Struktura Projektu RODO
- Projekt RODO zazwyczaj jest nadzorowany przez dyrektora bezpieczeństwa i IT, z zarządem pełniącym rolę sponsora.
Jak przebiega praca?
Zaczynamy od analizy źródeł informacji i diagnozy stanu ochrony danych. Firmy często są zaskoczone niepełną, szczątkową wiedzą. Pierwsza decyzja: oczyścić organizację informacyjnie – usunąć zbędne dane, odciąć niepotrzebne źródła, bo ich obsługa generuje ryzyko. To refleksja nad modelem danych i początek nowego modelu. Ważne: Pierwszy krok to analiza i oczyszczenie danych.
- Etapy Pracy nad RODO
- Proces wdrożenia RODO rozpoczyna się od analizy źródeł informacji i diagnozy stanu ochrony danych, a następnie przechodzi do oczyszczenia organizacji informacyjnej.
Traktujemy RODO jako szansę na optymalizację procesów, redukcję zbędnych zasobów i eliminację ryzyk. Pamiętajmy, że RODO to okazja do usprawnienia działania firmy.
Co jest priorytetem po analizie?
Zaczynamy od największych luk. W IT – ustalenie odpowiedzialności, określenie przechowywanych danych i sposobu ich przechowywania. W firmach z pracownikami terenowymi – zaczynamy od nich. Określamy największe ryzyka, np. nieprawidłowy transfer danych do USA. Priorytety ustalamy z zarządem klienta. Uwaga: Priorytety wdrożenia RODO zależą od specyfiki i ryzyk danej firmy.
- Ustalanie Priorytetów
- Po analizie, priorytety wdrożenia RODO są określane na podstawie największych luk i ryzyk, w konsultacji z zarządem klienta.
Czy benchmarking jest pomocny?
Wstępny audyt ocenia działania konkurencji w zakresie RODO, ale to tylko pomocnicze. Benchmarking jest ograniczony i może być mylący. Nie znamy przyszłych działań konkurencji, rynku czy regulatora. W rozmowie z regulatorem odwoływanie się do rynku nie będzie argumentem. Kara zostanie wymierzona niezależnie od otoczenia rynkowego. Ważne: Benchmarking RODO ma ograniczone zastosowanie i nie zwalnia z odpowiedzialności.
- Ograniczenia Benchmarking
- Benchmarking w kontekście RODO może być pomocny, ale jest ograniczony i nie powinien być traktowany jako główna metoda oceny zgodności.
Czy można już komunikować się z GIODO, np. o opóźnieniach we wdrożeniu?
Po inwentaryzacji – tak. Przy określaniu punktów krytycznych tworzona jest dokumentacja wyjaśniająca, dlaczego proces jest prowadzony tak, a nie inaczej, i plan zmian. Trudno ocenić skuteczność takiego zabezpieczenia, to zależy od praktyki kontroli. Sygnalizuje to jednak poważne podejście firmy do RODO. Pamiętaj: Komunikacja z GIODO jest ważna, szczególnie w kontekście potencjalnych opóźnień.
- Komunikacja z GIODO
- Aktywna komunikacja z GIODO jest zalecana, zwłaszcza w przypadku identyfikacji punktów krytycznych i potencjalnych opóźnień we wdrożeniu RODO.
Co po wyeliminowaniu „miejsc zapalnych”?
Projekty RODO rozpisujemy na kilkanaście kroków, z harmonogramem na kilkanaście miesięcy. Staramy się utrzymać dynamikę. Praktyka pracy z Rozporządzeniem ujawnia problemy interpretacyjne w kontekście klienta. Niektóre problemy są uniwersalne, np. pisemna zgoda administratora na podpowierzenie danych. Łańcuchy przetwarzania danych są długie, a zgoda na podpowierzenie musi być pisemna, odręcznie podpisana. Uwaga: Projekt RODO to długotrwały proces, wymagający dynamicznego podejścia.
- Rozpisanie projektu na kilkanaście kroków
- Ustalenie harmonogramu na kilkanaście miesięcy
- Utrzymanie dynamiki projektu
Jest więcej takich uniwersalnych problemów z RODO.
Wyzwanie to różnorodność interpretacji Rozporządzenia i wdrożeń na poziomie krajowym. RODO miało ujednolicić ramy w UE. Jednak w kilkunastu punktach Rozporządzenie oddaje decyzje prawodawstwu krajowemu. Przykładem jest wiek dziecka – RODO to 16 lat, polski projekt z 2017 r. – 13 lat, w Niemczech – 16 lat. Te różnice trzeba wychwytywać. Ważne: Różnice w interpretacji RODO w poszczególnych krajach UE stanowią wyzwanie.
- Uniwersalne Problemy RODO
- Do uniwersalnych problemów RODO należą różnice w interpretacji Rozporządzenia na poziomie krajowym oraz konieczność uwzględniania lokalnych przepisów.
Jakie to wyzwania?
Różnice trzeba uwzględnić w procesach i ustalić, który organ krajowy będzie oceniał rozwiązania. To problem w grupach międzynarodowych: ustalenie wiodącego organu. Grupy ponadpaństwowe mają problem z określeniem właściwego organu nadzorczego. Pamiętaj: Grupy międzynarodowe muszą uwzględnić różnice krajowe w RODO.
- Wyzwania dla Grup Międzynarodowych
- Grupy międzynarodowe napotykają wyzwania związane z ustaleniem właściwego organu nadzorczego i uwzględnianiem różnic w przepisach krajowych w ramach RODO.
„Ustalenie wiodącego organu nadzorczego to kluczowy element wdrożenia RODO w strukturach międzynarodowych.”
Czy ocena ryzyka – Risk Assessment – jest już opracowywana?
Według nas jeszcze nie ten etap. Nikt tego jeszcze nie robił. Najwcześniejsze projekty, od stycznia-lutego 2017, zbliżają się do tego momentu. To sytuacja nie tylko z naszej praktyki, rynek sygnalizuje podobne stadium projektów. Uwaga: Ocena ryzyka jest kolejnym, kluczowym etapem wdrożenia RODO.
- Etap Oceny Ryzyka
- Ocena ryzyka (Risk Assessment) jest kolejnym etapem w projektach wdrożenia RODO, do którego rynek dopiero się zbliża.
To najtrudniejszy element?
Wszystkie elementy projektu są trudne i wymagają strategicznych, nieodwracalnych decyzji. Kluczowe jest zrozumienie, że cały projekt RODO jest złożony i wymagający.
- Trudność Projektu RODO
- Cały projekt RODO, a nie tylko pojedyncze elementy, jest trudny i wymaga podejmowania strategicznych decyzji.
Wszyscy koncentrują się na karach finansowych RODO.
Kara 20 mln euro robi wrażenie. Ale to nie jedyne sankcje. Ważne: Sankcje RODO to nie tylko kary finansowe.
- Rodzaje Sankcji RODO
- Sankcje RODO obejmują nie tylko kary finansowe (do 20 mln EUR), ale również nakazy ograniczenia przetwarzania danych.
Instytucje mają prawo nakazać ograniczenie przetwarzania danych w danym procesie, obszarze. Jeśli procesy nie są dobrze rozgraniczone, ryzyko „kryzysu danych” jest duże. Wyizolowanie procesów jest trudne, a ryzyko spore – oprócz wskazanego procesu trzeba zamknąć procesy powiązane, nie wiadomo, jak szeroko. Pamiętaj: Ograniczenie przetwarzania danych może mieć poważne konsekwencje dla firmy.
Boom technologiczny na informację biznesową i uzależnienie systemów i procesów, np. marketing automation, omnichannel, łączą wiele źródeł i procesów…
Będą miejsca nie do wyizolowania. Praktyka pokaże, jak będą wykonywane przepisy. Może rynek, a nie organy kontrolne, okaże się najaktywniejszy w nowej sytuacji. Kluczowe jest obserwowanie, jak praktyka rynkowa ukształtuje stosowanie RODO.
- Rola Rynku w RODO
- Praktyka rynkowa i działania organizacji pozarządowych mogą okazać się równie aktywne w egzekwowaniu RODO, co organy kontrolne.
Co ma Pan na myśli?
Polski projekt przewiduje, że organizacje pozarządowe będą mogły reprezentować osoby zainteresowane i to one wywołają weryfikację zgodności firm z RODO. To spekulacje, ale wydają się uprawnione. Uwaga: Organizacje pozarządowe mogą odegrać istotną rolę w egzekwowaniu RODO.
- Rola Organizacji Pozarządowych
- Organizacje pozarządowe mogą zyskać uprawnienia do reprezentowania osób zainteresowanych i inicjowania weryfikacji zgodności firm z RODO.
Wiele niewiadomych, także co do wymogów i standardów…
Dopiero powstanie lista procesów wymagających oceny ryzyka i standardowe klauzule powierzenia. Ale to nie powód, by zaniechać przygotowań. Ważne: Niepewność co do szczegółowych wymogów nie powinna opóźniać przygotowań do RODO.
- Niejasności w Wymogach
- Mimo pewnych niejasności dotyczących szczegółowych wymogów i standardów, przygotowania do RODO są absolutnie konieczne i nie powinny być odkładane.
…gdyż otoczenie prawne się zmienia…
Materia jest bardziej złożona niż samo RODO. Są inne akty prawne, wchodzące w życie niemal równocześnie z RODO, dotyczące danych i informacji. Pamiętaj: RODO to część szerszego kontekstu zmian w prawie dotyczącym danych.
- Szersze Otoczenie Prawne
- RODO jest częścią szerszego kontekstu zmian w otoczeniu prawnym, obejmującego inne akty prawne dotyczące danych i informacji, wchodzące w życie równolegle.
Mało kto śledzi ePrivacy. A kary są takie same. Wdrożenie jest mniej ingerujące, ale dotyczy prawie każdego przedsiębiorcy. Polityka cookie to zwykle standard, ale metadane – co z nimi zrobić – to nadal otwarte pytanie. Dane osobowe to paliwo biznesowe, a metadane to dodatkowe paliwo do ulepszania usług. Uwaga: ePrivacy to równie ważna regulacja, często pomijana w kontekście RODO.
- RODO – Rozporządzenie Ogólne o Ochronie Danych
- ePrivacy – Dyrektywa o prywatności i łączności elektronicznej
- NIS – Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych
Postulują Państwo podejście holistyczne.
Jeśli klient chce, to tak. Jednocześnie z RODO pilnujemy zgodności z ePrivacy. Kluczowe jest holistyczne podejście do zgodności z regulacjami dotyczącymi danych.
- Podejście Holistyczne
- Zalecane jest holistyczne podejście do zgodności z regulacjami dotyczącymi danych, obejmujące zarówno RODO, jak i ePrivacy oraz inne relevantne akty prawne.
Co jeszcze można uwzględnić?
Dla niektórych firm obowiązuje dyrektywa NIS. Nie ma ustawy wdrażającej, ale ochrona danych jest elementem bezpieczeństwa dla firm z infrastruktury krytycznej. Dobrze ująć te kwestie w jednym strumieniu. Przedsiębiorcy często nie zdają sobie sprawy z tej szerokości zagadnień. Ważne: Dyrektywa NIS jest istotna dla firm z infrastruktury krytycznej.
- Dyrektywa NIS
- Dyrektywa NIS jest istotna, szczególnie dla firm z infrastrukturą krytyczną, i powinna być uwzględniana w kontekście ochrony danych i bezpieczeństwa IT.
Co jeszcze zaskakuje?
Klienci myślą, że prawnik sam wdroży RODO. To pułapka. Bez zaangażowania klienta, bez ludzi z IT, nie ma projektu. RODO to nie tylko papier. Trzeba je wdrożyć, obsłużyć, włączyć w procesy i kulturę organizacji. Pamiętaj: Wdrożenie RODO wymaga interdyscyplinarnego zespołu i zaangażowania klienta.
- Pułapka Jednoosobowego Wdrożenia
- Błędem jest myślenie, że prawnik samodzielnie wdroży RODO. Projekt wymaga interdyscyplinarnego zespołu i aktywnego zaangażowania klienta, w tym działów IT.
Przeciwna skrajność: RODO to temat IT. Też nieprawda. RODO jest kompleksowe, doniosłe, skomplikowane i fascynujące. Zalecamy, by nikogo nie wyłączać z przygotowań. RODO, ePrivacy, NIS wymuszają lepszą komunikację w firmie. To pozytywne zaskoczenie. RODO pomaga eliminować dysfunkcje komunikacyjne, udrażnia komunikację, wyrównuje wiedzę o procesach i narzędziach. To dodatkowa wartość, optymalizacja działania firmy. Uwaga: RODO to temat kompleksowy, nie tylko IT czy prawny.
Pozytywne zaskoczenia RODO.
RODO, ePrivacy, NIS wymuszają lepszą komunikację w firmie. To pozytywne zaskoczenie. RODO pomaga eliminować dysfunkcje komunikacyjne, udrażnia komunikację, wyrównuje wiedzę o procesach i narzędziach. To dodatkowa wartość, optymalizacja działania firmy. Kluczowe jest dostrzeżenie, że RODO to szansa na optymalizację komunikacji w firmie.
- Pozytywne Efekty RODO
- Wdrożenie RODO przynosi pozytywne efekty, takie jak poprawa komunikacji w firmie, eliminacja dysfunkcji komunikacyjnych i optymalizacja działania.
„RODO to narzędzie, które, prawidłowo wdrożone, może stać się katalizatorem pozytywnych zmian w organizacji.”
Przenikanie płaszczyzn jest duże. Firmy analizują lokalizację infrastruktury pod kątem roszczeń i umów. Indyjski dostawca okazuje się bardzo daleko… Cena przestaje być decydująca. Podmioty wspierające przetwarzanie danych wybiera się według jasnych kryteriów i dokumentuje. Łańcuch informacji musi być skwantyfikowany. Zaskakuje, że mimo RODO, biznes wypiera informację o posiadaniu danych osobowych.
Firmy analizują lokalizację infrastruktury pod kątem roszczeń i umów. Indyjski dostawca okazuje się bardzo daleko… Cena przestaje być decydująca. Podmioty wspierające przetwarzanie danych wybiera się według jasnych kryteriów i dokumentuje. Ważne: Lokalizacja danych i wybór dostawców stają się strategiczne w kontekście RODO.
- Znaczenie Lokalizacji Danych
- RODO wpływa na strategiczne decyzje dotyczące lokalizacji infrastruktury IT i wyboru dostawców, kładąc nacisk na bezpieczeństwo i zgodność, a nie tylko cenę.
| Kryterium | Waga w Kontekście RODO | Uzasadnienie |
|---|---|---|
| Bezpieczeństwo Danych | Wysoka | Zgodność z wymogami RODO dotyczącymi bezpieczeństwa przetwarzania. |
| Lokalizacja Serwerów | Średnia do Wysokiej | Konieczność uwzględnienia przepisów o transferze danych poza EOG. |
| Reputacja Dostawcy | Średnia | Wiarygodność i doświadczenie dostawcy w zakresie ochrony danych. |
| Cena | Niska do Średniej | Cena przestaje być dominującym kryterium wobec wymogów RODO. |
| Możliwość Audytu | Wysoka | Prawo do audytu i weryfikacji zgodności dostawcy z RODO. |
RODO skomplikuje życie firmom?
Raczej dostrzegam zalety. Powstał rynek usług RODO. Wiele firm chce uczciwie podejść do tematu. Poznają procesy, kontrahentów i wykorzystanie informacji. Zyskają wiedzę i będą mądrzejsze. Uwaga: RODO przynosi więcej korzyści niż komplikacji dla firm.
- Korzyści z Wdrożenia RODO
- Wdrożenie RODO, choć wymagające, przynosi więcej korzyści niż komplikacji, w tym rozwój rynku usług RODO i pogłębienie wiedzy o procesach w firmach.
RODO – Sytuacja Win-Win.
Projekty RODO to ludzie. Nie wszyscy będą gotowi na czas. Dobrze, jeśli jak najwięcej firm zmierzy się z RODO. Zarządy zyskają świadomość ryzyk, słabych punktów i będą mogły działać. Bezpieczeństwo danych i przejrzystość firm mogą wzrosnąć. RODO to win-win situation. Kluczowe jest zrozumienie, że RODO to korzyść dla wszystkich – firm i klientów.
- RODO jako Win-Win
- RODO to sytuacja win-win, przynosząca korzyści zarówno firmom (poprzez zwiększenie świadomości ryzyk i optymalizację procesów), jak i klientom (poprzez zwiększenie bezpieczeństwa danych i przejrzystości).
Dodaj komentarz