LexDigital

Co muszę wiedzieć, zanim firma zewnętrzna wyceni wdrożenie RODO?

W związku ze zbliżającym się dniem rozpoczęcia obowiązywania RODO, coraz więcej firm szuka dla siebie najlepszego rozwiązania na implementację nowych przepisów. Biorąc pod uwagę fakt, że specjalistów na rynku jest znacząco za mało, coraz większą popularnością cieszy się outsourcing oraz consulting w zakresie ochrony danych osobowych.

Co muszę wiedzieć, zanim firma zewnętrzna wyceni wdrożenie RODO?

Istnieje wiele modeli, w których specjaliści świadczą usługi przygotowania do ogólnego rozporządzenia. Można jednak wskazać pewne prawidłowości. Niewątpliwie, najważniejszą cechą jest całościowe podejście. Oznacza to analizę wszystkich elementów składowych przedsiębiorstwa, związanych z przetwarzaniem danych osobowych. Zespół, umowy, oprogramowanie, zgodność z poprzednią ustawą o ochronie danych osobowych. Im lepiej przygotujesz się do pierwszego kontaktu z podwykonawcą, tym sprawniej i dokładniej przygotowany zostanie plan wdrożenia RODO oraz jego koszt. Jak to zrobić, o czym należy pamiętać?

Oto kilka sprawdzonych rad.



Osoby, które przetwarzają dane osobowe

Kluczowa, z punktu widzenia audytora, jest nie całkowita liczba pracowników i współpracowników, a liczba osób, które przetwarzają dane osobowe. Kogo więc uwzględnić? Zacznij od tego, aby policzyć konta pocztowe w Twojej domenie ponieważ każdy, kto ma zapotrzebowanie na komunikowanie się wewnątrz organizacji, jak również z klientem lub kontrahentem będzie przetwarzał dane. Jeżeli chcesz mieć gwarancję, że uwzględnisz wszystkich, poproś informatyka o ewidencję uprawnień z systemów informatycznych (domeny AD lub jej odpowiedników, systemów CRM, ERP, systemów spedytorów, bankowych oraz związanych z benefitami dla pracowników).

 Wiedza Twoich pracowników na temat ochrony danych osobowych

Wiedza i doświadczenie zespołu jest niezwykle potrzebna firmie zewnętrznej do zorientowania się w sytuacji. To poprzez wykonywanie swoich codziennych obowiązków, pracownicy są głównej mierze narażeni na generowanie incydentów. Mają wiedzę o funkcjonowaniu obecnych procedur w firmie, których dokładne przedstawienie, będzie podstawą do stworzenia nowego systemu zgodnego z RODO.

Kolejną ważną dla outsourcingu informacją będzie to, w jakim stopniu personel został przygotowany do zagadnienia ochrony danych osobowych. Wiąże się to pytaniem jak wiele informacji audytor będzie musiał szukać sam lub przynajmniej kontrolować krzyżowo oświadczenia. Poziom przygotowania do zagadnienia ochrony danych jest jedną z największych niewiadomych nawet dla doskonale przygotowanych i doświadczonych audytorów. Przygotuj informacje o tym, jak często oraz z czego personel był szkolony. Nierzadko pomocna będzie również informacja o tym, kto prowadził szkolenia.

Lokalizacje - miejsca przetwarzania danych osobowych

Rzetelny audyt wymaga pozyskiwania informacji z wielu źródeł – dzięki temu minimalizuje się wpływ ewentualnego błędu ludzkiego. Audytor musi szybko zrozumieć Twoją branżę oraz dokładnie poznać organizację. Oprowadzenie go po firmie bardzo w tym pomaga. Poza tym, potrzebna jest również weryfikacja zabezpieczeń fizycznych i technicznych, a czasem także organizacyjnych (np. prosty rzut oka na stanowisko pracy osoby nieobecnej albo na korytka służące do organizacji wewnętrznego obiegu dokumentów).

Policz swoje oddziały. Zastanów się, w którym z nich jakie operacje się prowadzi. Pamiętaj, że przetwarzanie ma miejsce także w budynkach produkcyjnych i magazynowych, ale jego natura i problematyka jest inna. Podaj ich adresy oraz godziny pracy. Dla firmy zewnętrznej, której zależy na całościowym podejściu do analizy Twojej firmy, sprawdzenie wszystkich miejsc przetwarzania będzie istotne.

Analiza dokumentacji firmy

Przetwarzanie danych często wiąże się z realizacją umów. Analiza dokumentów jest konieczna dla właściwej oceny podstaw prawnych, zasady adekwatności oraz rozpoznania ryzyk. Firmy zewnętrzne zawsze uwzględniają czas potrzebny na weryfikację umów – czas ten stanowi istotną składową całkowitego czasu potrzebnego firmie zewnętrznej na przygotowanie Ciebie do RODO. Postaraj się przeanalizować, jaka jest powtarzalność zapisów. Może się okazać, że zamiast pracy z setką umów, podmiot zewnętrzny może ograniczyć się do dziesięciu. Różnica przełoży się na istotne obniżenie kosztów.

Jeżeli szykujesz się do skorzystania z usługi wsparcia zewnętrznego, zawiadom o tym swój dział administracji, aby już budowali gotowość operacyjną. Przygotowanie konkretnej dokumentacji do analizy, może zająć trochę czasu.

Procesy przetwarzania danych osobowych

RODO nie mówi już o zbiorach danych osobowych, a właśnie o procesach. Firmy zewnętrzne często pytają o ich liczbę. Niestety będzie Ci trudno rzeczowo odnieść się do tego tematu. Pomożesz wskazując obszary, w których działasz. Postaraj się być jak najbardziej szczegółowy. Na przykład - przeprowadzenie audytu zagadnień sprzedażowych polegających na obsłudze klienta w siedzibie będzie znacznie łatwiejsza i mniej czasochłonna niż audyt sprzedaży z uwzględnieniem przyznawania kredytów kupieckich i weryfikacją wiarygodności kontrahenta. Im więcej wiesz na początku, tym mniejsze jest ryzyko, że w czasie współpracy pojawią się nieplanowane opóźnienia i koszty.

Systemy informatyczne

Z perspektywy ochrony danych kluczowe jest to, jakie dane i w jakim celu są procesowane. Można więc patrzeć na systemy informatyczne jak na swego rodzaju platformy pozwalające na prowadzenie procesów przetwarzania danych osobowych. W tym sensie zrozumienie sposobu działania firmy nie wymaga zdobycia szczegółowej wiedzy o wykorzystywanych narzędziach. Na etapie analizowania ryzyka, każda technologia, każdy dostęp i każda funkcjonalność może okazać się kluczowa. Poproś swojego informatyka o wygenerowanie kompletnej listy systemów i aplikacji, które są wykorzystywane do pracy z danymi. Ważna jest nazwa, wersja, dostawca oraz model dostarczania usługi (czy jest to aplikacja zakupiona jako produkt, czy też dostarczana jest wraz ze wsparciem w modelu SaaS – (software as a service). Poproś informatyka, aby uwzględnił również hosting i technologię tworzenia kopii bezpieczeństwa.

Wykorzystywana technologia i sprzęt

Podobnie jak w przypadku oprogramowania, również warstwa sprzętowa i konfiguracja mają istotny wpływ na poziom ryzyka. Postaraj się poinformować firmę, z którą będziesz współpracować o kilku kluczowych kwestiach:

  1. Czy posiadasz własną infrastrukturę czy też współdzielisz ją z innymi podmiotami (na przykład w ramach grupy kapitałowej)?
  2. Czy posiadasz własny personel administrujący teleinformatyką, czy też korzystasz w tym zakresie ze wsparcia innej firmy?
  3. Które z Twoich procesów prowadzone są bez udziału informatyki (są prowadzone wyłącznie w oparciu o dokumenty papierowe)?
  4. Czy prowadzisz inwentaryzację sprzętu oraz czy posiadasz funkcjonujące procedury określające, kiedy urządzenia są wymieniane i wedle jakiej specyfikacji?

Zgodność z dawną ustawą o ochronie danych osobowych

Teoretycznie fakt, że Twoja firma wypełniała obowiązki nałożone ustawą z 1997 roku o ochronie danych osobowych ułatwia wdrażanie RODO. Pułapką jest natomiast opieranie się na starej dokumentacji albo powołaniem ABI, jeżeli w praktyce postanowienia i procedury nie były przestrzegane, a treść dokumentów zna wyłącznie ich autor. Nie wstydź się powiedzieć, że startujesz od zera. To sytuacja, w której znajduje się większość firm. Każdy profesjonalny podmiot wdrażający RODO ma swój plan działania, który krok po kroku pozwala przeprowadzić firmę od zera do pełnej gotowości. Jeżeli jednak chcesz bazować na dokumentacji dotyczącej poprzedniej ustawy, musisz pamiętać, że zewnętrzny specjalista założy, że zastanie martwe regulacje i niski poziom świadomości, przez co czas jego pracy może być dłuższy.

Ilość podmiotów współpracujących

Na etapie pracy często padają pytania o to, ile i które usługi są świadczone przez podmioty zewnętrzne. Chodzi tu o konieczność przygotowania umów powierzenia przetwarzania danych osobowych, czyli o legalizację umożliwienia wykonawcy procesowania Twoich danych. Najczęstsze obszary, w których dochodzi do powierzenia przetwarzania danych osobowych to:

  • hosting, w celu przechowywania na serwerze zewnętrznym, w tym poczta elektroniczna,
  • firmy obsługującej newsletter,
  • dostawcy oprogramowania w modelu SaaS, albo w chmurze (np. do fakturowania, system CRM),
  • biura rachunkowe, w celu świadczenia usług księgowych,
  • biura kadrowe, w celu świadczenia usług kadrowych,
  • firmy zewnętrzne prowadząca rekrutacje,
  • dostawcy produktów w dropshippingu,
  • firmy szkoleniowym (np. BHP),
  • pracownicy zatrudnieni w systemie B2B (w niektórych przypadkach),
  • kancelarie prawne,
  • agencje marketingowe, reklamowe, PR
  • podmioty świadczące tzw. benefity np. dodatkowe ubezpieczenia zdrowotne, karnety rabatowe itd. (dotyczy zarówno pracowników i ich rodzin).

Stawki

Trudno jest pisać o planie wdrożenia i przemilczeć temat stawek. Istnieje spora rozpiętość kwotowa. Wpływ na nią mają niewątpliwie lokalizacja firmy, poziom profesjonalizmu, doświadczenia i wiedzy oraz liczebności i zastępowalności w zespole usługodawcy wdrażającego RODO. Należy jednak mieć świadomość, że rzetelne przygotowanie Twojej firmy wymaga od podmiotu zewnętrznego kompetencji zarówno prawniczych jak i z zakresu bezpieczeństwa teleinformatycznego, a czasem również programistycznego. Im bardziej wszechstronny zespół, tym koszt wdrożenia może być wyższy. Wynika to ze zrozumienia, jak wiele elementów składa się na cały proces wdrożenia RODO i realizacji zadań na każdym poziomie. Nie ulega więc wątpliwości, że zasadne jest przed przystąpieniem do współpracy, przeanalizowanie własnej organizacji. Pozwoli to zwiększyć swoją świadomość na temat wdrożenia RODO, przygotować się na zakres prac oraz tym samym uniknąć niepotrzebnych kosztów.

 

Sprawdź również:

Polecane

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Popularne

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineJULAFibar GroupPixersWykop.plGPD AgencyNetguruTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.