RODO

O wdrożeniu, czy też wdrażaniu RODO napisano już wiele, niemniej wypracowanie praktycznych rozwiązań, właściwych dla poszczególnych jednostek objętych przedmiotowym Rozporządzeniem (o Ochronie Danych Osobowych) UE wciąż nastręcza wiele pytań i trudności.

Od kilkunastu lat zawodowo zajmuję się praktycznymi aspektami zapewnienia zgodności regulacyjnej, zarówno w aspektach procesowych jak i systemowych (IT), zaś fakt, że czytasz ten wstęp świadczy, iż zapewne poszukujesz odpowiedzi na jedno z kluczowych pytań:

  • czy RODO mnie dotyczy ?

  • jak wdrożyć RODO ? (ewentualnie "wdrożenie RODO")

  • Inspektor Ochrony Danych czy dopuszczalny jest outsourcing

Na te, jak i wiele kolejnych pytań, stopniowo będę starał się odpowiedzieć umieszczając poniżej wyjaśnienia kluczowych obszarów tematycznych.

Natomiast, jeśli szukasz profesjonalnej pomocy już dziś, dobrze trafiłeś – zapraszam do zapoznania się z pełną ofertą oraz kontaktu. Zależnie od ustaleń i potrzeb, czyli zakresu prac, oferuję:

  • przegląd istniejącego systemu bezpieczeństwa informacji (audyt / analiza luk) ze szczególnym naciskiem na zgodność z wymogami RODO, jak i odnośnych przepisów krajowych

  • przygotowanie analizy ryzyka (bądź ryzyk) w oparciu o zidentyfikowane aktywa informacyjne organizacji

  • weryfikację istniejącej bądź opracowanie szablonów nowej dokumentacji

  • opracowanie systemu zarządzania bezpieczeństwem informacji, czyli podstawowej polityki

  • outsourcing funkcji Inspektora Ochrony Danych

Jako podmiot w pełni profesjonalny, świadom ryzyk wynikających z obowiązków nakładanych przepisami Rozporządzenia na Administratora Danych Osobowych, do potrzeb każdego podmiotu podchodzę indywidualnie, dlatego też już teraz mogę zdecydowanie oświadczyć:

  • nie oferuję gotowych szablonów dokumentacji, jakie już pojawiają się „w Internecie” z gwarancją skutecznego wdrożenia przed 25 maja 2018…

  • nie podejmuję się „dostosowania” przedmiotowych szablonów

Z doświadczenia wiem, że nie ma dwóch identycznych organizacji, mogą być podobne, jednakże realizowanie procesów w odmienne sposoby wymusza zastosowanie innych zabezpieczeń, co z kolei może się przekładać na właściwą (bądź nie) ocenę poziomu ryzyka, przede wszystkim w aspekcie przetwarzanych danych osobowych.

Podsumowując, drogi ADO, decydując o dostosowaniu organizacji, którą kierujesz do zgodności z przepisami Rozporządzenia, pamiętaj że w aspekcie kosztowym ryzyka powszechnie stosowane są dwa podejścia:

  • świadome, o którym możemy mówić, gdy świadom obowiązków realizujesz je w sposób właściwy, na skutek czego ponosisz stałe bądź jednorazowe koszty, ale ograniczasz ryzyka związane z działaniami organu nadzorczego, który owszem, może przyjdzie z kontrolą a może nie, ale jak przyjdzie i będzie miał zastrzeżenia to nawet nie nakładając kar finansowych, a jedynie wstrzymując czasowo praw do przetwarzania danych, może spowodować poważne straty finansowe

  • wypierające, oparte o życzeniowe założenie „na pewno do mnie nie przyjdą, a jak przyjdą to się będę martwił”. Konsekwencją takiego podejścia są faktycznie zerowe koszty bieżącej działalności, jednakże monetaryzując ryzyko (wyceniając jego wartość w walucie prowadzenia działalności) uwzględnij wartość przychodów jakie potencjalnie możesz utracić oraz koszty związane z obsługą prawną zaistniałej sytuacji

Jeśli zdecydujesz się na pierwszą, „świadomą” ścieżkę, dokonując wyboru podmiotu współpracującego przy wdrożeniu RODO pamiętaj też o tzw. złotym trójkącie, bądź też trójkącie potrójnego ograniczenia. Trójkąt ten na wierzchołkach ma: czas, koszt i zakres, zaś pole to jakość. Przesuwając wzajemne położenie dwóch z trzech wierzchołków trójkąta masz wpływ na jego powierzchnie, czyli jakość. Ponieważ zakres masz stały, bo to procesy w organizacji którą kierujesz, i na dzień rozpoczęcia audytu przygotowującego mają one stały zakres, ograniczając czas i/lub koszty, wpływasz na jakość, a więc kierujesz się w ścieżkę „wypierającą”.

W tym miejscu warto zwrócić też uwagę, iż wbrew powszechnemu rozumienia pojęcia ryzyka jako zagrożenie, może ono stwarzać też szanse. Szansą, są potencjalne usprawnienia w procesach jakie mogą zostać zidentyfikowane w toku wdrożenia, czy też ograniczenie ilości przetwarzanych danych, a zatem może to mieć dodatni wpływ na końcowy bilans zysków i strat. Tak jak już wcześniej wspominałem, nie ma dwóch idealnie identycznych przypadków, dlatego też raz jeszcze zapraszam do kontaktu.

Jeśli dotychczas jeszcze Cię nie zachęciłem do skorzystania z moich usług, pozwól że odwołam się do tekstu przedmiotowego Rozporządzenia, które w art. 37. ust 5. stanowi „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań…”. Co do kwalifikacji, posiadam wieloletnie doświadczenie zdobyte w sektorze finansowym, poparte zarówno edukacją (w zakresie wiedzy inżynierskiej jak i administracyjno-prawnej), jak i certyfikatami. Po więcej informacji zapraszam na stronę „o mnie”.