Ile mam czasu na wdrożenie RODO?
Czas jest względny. Rok to dużo i jednocześnie mało. Przez prawie 10 lat obecności na rynku wdrażaliśmy systemy ochrony danych osobowych w blisko pięciuset organizacjach. Wiemy, ile czasu wymaga wdrożenie systemu ochrony danych osobowych, opartego na unijnej Dyrektywie 95/46/WE.
Zapraszam do małej symulacji, która pokaże Ci realny harmonogram wdrożenia RODO w Twojej organizacji, jeśli zaczniesz już dziś. Czas start!
1. Kto wdroży RODO w mojej organizacji?
Pierwszą czynnością powinno być podjęcie decyzji, kto wykona audyt RODO. Może to być zewnętrzna firma doradcza, może być to również odpowiednio przeszkolony i wykwalifikowany pracownik. Jeśli wybieramy audyt wewnętrzny – zdecydowanie niezbędna będzie znajomość prawa.
W praktyce podjęcie decyzji dotyczącej audytu wdrażającego RODO trwa minimum miesiąc.
Najpierw należy rozważyć za i przeciw dla każdego z rozwiązań, sprawdzić koszty zewnętrznej usługi doradczej lub znaleźć wewnątrz zespół, który podejmie się realizacji audytu.
(czas: 1 miesiąc)
2. Na jakich warunkach?
Jeśli już wybierzemy osobę, która wdroży u nas RODO, to musimy ustalić jej wynagrodzenie. Powierzając realizację firmie zewnętrznej, zawsze trochę czasu zajmą formalności i przeprowadzenie przetargu i ustalaniem szczegółów umowy.
Jeśli zlecimy audyt RODO wewnętrznie powołanemu zespołowi, to też będziemy musieli ustalić wysokość wynagrodzenia za dodatkową pracę, bądź zdjąć z audytorów inne obowiązki. Może pojawić się konieczność dodatkowych szkoleń czy podniesienia kwalifikacji naszego zespołu.
(czas: 1 miesiąc)
3. Realizacja audytu
W praktyce czas potrzebny na realizację audytu to minimum 1-2 miesiące.
Ustawa o ochronie danych osobowych liczy sobie 62 artykuły.
RODO liczy sobie 99 artykułów i 173 motywy preambuły!
Nawet jeśli jesteśmy na bieżąco z obecnymi przepisami to pamiętajmy o tym, że wdrożenie RODO to zupełnie inny rodzaj pracy.
Musimy precyzyjnie przeanalizować wpływ RODO na różne obszary działania naszej organizacji. Nawet jeśli paragrafy RODO znamy na pamięć, to odniesienie ich do każdego modyfikowanego obszaru, może zająć wielokrotnie więcej czasu niż zwykły audyt danych osobowych.
Do tego dochodzą urlopy, konieczność zbierania informacji od innych działów, podwykonawców, czy innych podmiotów z Grupy Kapitałowej oraz samo oczekiwanie na informacje.
(czas: 2 miesiące)
4. Omówienie wyników audytu i podjęcie decyzji
Sam raport pokaże prawdę o naszej zgodności z RODO. Bardzo możliwe, że będzie trzeba podjąć pewne trudne decyzje.
Na przykład wdrożyć system szkoleń. Zmienić proces marketingowy czy zastanowić się nad dodaniem nowej funkcjonalności do systemu informatycznego. Niektóre z tych decyzji mogą wiązać się z dodatkowymi kosztami. Inne mogą mieć wpływa na skuteczność procesów marketingowych.
Sam proces decyzyjny potrwa kolejne dwa miesiące. Minimum. Jeśli nasza organizacja działa w ramach międzynarodowej grupy kapitałowej to śmiało możemy doliczyć kolejne dwa miesiące do naszej kalkulacji.
(czas: 3 miesiące)
5. Wdrożenie postanowień poaudytowych
Jeśli mamy gotowe wnioski z audytu, mamy raport. I podjęliśmy ważne decyzje co do formy wdrożenia RODO, to nadszedł czas na praktyczne działania.
Będziemy musieli przygotować klauzule informacyjne, zmodyfikować dokumentację ochrony danych osobowych, przeredagować treści klauzul etc.
Te działania potrwają kolejne miesiące.
(czas: 3 miesiące)
6. Nieprzewidziane sytuacje
Powinniśmy przygotować się również na pewne niestandardowe sytuacje związane z wdrożeniem. Może okazać się, że np. pierwotnie desygnowany do wdrożenia pracownik, zmieni miejsce pracy lub przestraszy się odpowiedzialności. Mogą przeciągnąć się również formalności związane z podpisaniem umowy z firmą doradczą. Może okazać się, że grupa kapitałowa w ramach której działamy, wyda swoje wytyczne, które będziemy musieli dodatkowo uwzględnić w trakcie audytu.
(czas: 2 miesiące rezerwy)
Profesjonalne wsparcie
Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli nie masz czasu na tworzenie procedur RODO, albo chcesz zweryfikować te, które opracowałeś, zapraszamy do skorzystania z naszej pomocy.
Zobacz, w jaki sposób możemy Ci pomóc:
Podsumowanie
Jeśli zaczniemy wdrożenie RODO już dzisiaj, to zostanie nam jedynie bardzo krótka rezerwa czasowa w razie nieprzewidzianych sytuacji i wydarzeń.
Pamiętajmy też o tym, że wdrażając RODO bliżej 25 maja 2018 roku, ryzykujemy brak miejsc na szkoleniach, wysokie ceny usług doradczych. Zostanie nam wtedy skorzystanie z pomocy firm i audytorów, którzy ochrony danych osobowych uczą się na RODO.
W kontekście kar do 20 mln EURO lub nawet 4% rocznego globalnego obrotu, o których mówi RODO, takie ryzyko się po prostu nie opłaca.
2 Responses
Leave a Reply
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam,
Czy w świetle RODO dane dotyczące procesu pracy (np. ile dany pracownik wyprodukował elementów, ile zrobił błędów, ile przejechał km itd.), połączone z imieniem i nazwiskiem, to dane osobowe?
Witamy 🙂
Z przekazanych informacji wynika, że dane o których Pani pisze dotyczą efektywności pracy konkretnego pracownika wymienionego z imienia i nazwiska. W tym przypadku można uznać, że mamy do czynienia z danymi osobowymi oraz z ich przetwarzaniem (zbieranie i przechowywanie).pozdrawiamy