T

ak to prawda! Żaden specjalista, ani firma świadcząca usługi RODO nie wdroży RODO bez Twojej inicjatywy, ani nie zrealizuje wymagań obowiązującego prawa oraz wewnętrznych procedur za Ciebie. By kompleksowo omówić temat, przywołajmy funkcje osoby, która ma być strażnikiem RODO, który do momentu ewentualnego wystąpienia incydentu, jest w zasadzie audytorem, który weryfikuje zgodność z RODO. Pamiętajmy, że audytor ma mieć kompetencje, pozwalające na weryfikację dowodów, a nie być Deus ex machina, we wszystkich tematach związanych z RODO. To jest sedno zrozumienia funkcji inspektora ochrony danych. Wdrożenie RODO…krok po kroku, z poradami od Kryptos72.

Co daje stanowisko inspektora ochrony danych osobowych?

1. Inspektor opiniuje w kwestii RODO, ale nie bada dokumentów całościowo w zakresie np. Kodeksu Cywilnego.
2. Inspektor może mieć wiedzę z obszaru IT, ale nie odpowiada za praktyczne wykonywanie kopii zapasowych, zmianę haseł lub konfigurację, zapewniającą bezpieczeństwo sieci WIFI.
3. Inspektor ochrony danych zaleca wdrożenie procedur, ale nie przygotowuje ich treści i nie odpowiada za opracowanie polityk i regulaminów.
4. IOD nie będą merytorycznie podejmowanych działań np. pod kątem realizacji celów sprzedażowych, lecz weryfikuje zgodność przetwarzania danych osobowych z RODO i krajowymi wytycznymi, w tym Ustawą o ochronie danych osobowych.
5. Inspektor ochrony danych weryfikuje podczas swojej pracy działania organizacji, a nie napisane przez siebie procedury. Wdrożenie RODO, to odpowiednie procedury.
6. IOD rozpatruje incydenty i prezentuje wyniki przełożonemu, a nie naprawia ich skutki.
   Inspektor ochrony danych może poprosić o opinię specjalisty i dopiero na jej podstawie, wyda wiążącą opinię.
7. Inspektor ochrony danych ma prawo do urlopu i nieobecności, wtedy w interesie administratora danych jest wyznaczenie zastępcy.

Wdrożenie RODO – Zalety i wady

Plusem zewnętrznego inspektora ochrony danych jest najczęściej różnorodne doświadczenie, jednak ryzykiem jest to, że może nie mieć dla nas czasu. Zadbajmy o zapisanie naszych oczekiwań w umowie, gdyż zbyt często spotykamy sytuację, że po roku współpracy z zewnętrznym ekspertem RODO, Klienci skarżą się, że myśleli, że On będzie za nas realizował wiele rzeczy, a nie tylko przywoził raporty i robił audyty.

UWAGA: Jeśli Twój inspektor powiedział Ci, że ja zajmę się wszystkim, a Ty mi tylko zapłać kwotę X, to istnieje duże ryzyko, że jego praca może być niesolidna, gdyż realizacja RODO wymaga zaangażowania.

Czy polecamy skorzystanie z usług zewnętrznego specjalisty? Zdecydowanie tak. Każda osoba, która może wnieść wartościowy know-how jest cenna dla naszej organizacji. Z naszego doświadczenia, warto skonkretyzować przedmiot umowy i korzystać z Inspektora ochrony danych jako doradcy, a nie samodzielnej komórki, odpowiadającej za RODO. W takim wypadku poszukajmy firmy oferujących outsourcing działu bezpieczeństwa – to zupełnie inna bajka, niż zewnętrzny inspektor. W razie „dużej” ilości danych, warto aby inspektor przejrzał rynek i zdecydował się na program do RODO, który pomoże mu w realizacji zadań.

Teraz gdy już w klarowny sposób, wiemy co realizuje inspektor, a jakie zadania nie są w jego kompetencjach, wróćmy do pierwotnej tezy, że Ty sam wdrożysz i zrealizujesz RODO najlepiej.

5 pytań, które otwierają oczy

• Teraz gdy już w klarowny sposób, wiemy co realizuje inspektor, a jakie zadania nie są w jego kompetencjach, wróćmy do pierwotnej tezy, że Ty sam wdrożysz i zrealizujesz RODO najlepiej.
• Znasz swój system informatyczny od podszewki i jeśli tylko przekonasz współpracowników by ocenić jego bezpieczeństwo z pokorą i odpowiednią krytyką, od razu będziesz wiedział co należy poprawić.
• Rozmawiając z pracownikami, dowiesz się z czym jest największy problem. Zewnętrzny audytor robi to samo! To trudne, gdy podwładni wytykają Ci błędy, ale to konieczne, by najpierw poznać uwagi, a potem móc adekwatnie zareagować. Często pracownik próbował nam coś powiedzieć o jakimś problemie, jednak nie mieliśmy dla niego czasu lub nie dostrzegaliśmy problemu. Gdy incydent wystąpił o wszystko
• Jeśli ważne jest dla Ciebie, co rzuca się w oczy, zapytaj kontrahentów np. w formie ankiety jak oceniają realizację zapewnienia bezpieczeństwa przez Twoją organizację. Dzięki temu, możesz dowiedzieć się, że jak Klient dzwoni do Księgowości, to podawane mu są informacje nt. zaległości bez jakiejkolwiek weryfikacji.
• Czy kiedykolwiek zmieniałeś kod do alarmu? A może tego samego kodu używa wiele osób? Zastanów się, czy może to być ryzykowne dla Twojej organizacji, a jeśli tak to zmień to. Tego typu działania najczęściej nie powodują nawet kosztów.
• Przypomnij sobie co wydarzyło się w ostatnich latach i było związane z problemami. Może ktoś zgubił dokumenty, może padł serwer, ktoś stracił dostęp do poczty email, a może pracownik zgłaszał, że na jego komputerze są dane poprzednika. Zgodnie z prawem Murphy’ego, jeśli coś wydarzyło się, to pewnie wydarzy się znów. Jeśli wiesz, że jakieś naruszenie lub problem dotknął firmy z branży lub organizacji z Twojej okolicy to zastanów się czy może wystąpić również u Ciebie i czy chcesz zabezpieczyć się lub obniżyć ryzyko konsekwencji. To nic innego jak przeprowadzenie analizy ryzyka i to znacznie lepsza forma niż kupienie wyidealizowanej analizy z oceną skutków, stworzonej, jako szablon, gotowy do udostępnienia każdej firmie. Wdrożenie RODO zależy tylko od Ciebie, oraz jego poziom.

Dopiero gdy odpowiesz sobie na powyższe pytania i przedyskutujesz tematy, będziesz mógł wyciągnąć wnioski, dzięki którym zmaterializuje się plan konkretnych działań. Teraz oblicz koszt, obierz ramy czasowe, wyznacz budżet i wybierz osoby z wewnątrz organizacji lub podejmij współpracę z zewnętrznymi podmiotami. Jeśli lubisz działania wg metodologii, to świetnie we wdrożeniu i realizacji RODO, sprawdza się PRINCE2.

Wkrótce ciąg dalszy…