Zbliżająca się data obowiązywania GDPR (25.05.2018 r.) spowodowała ogromne zamieszanie na rynku usług związanych z ochroną danych osobowych. Z jednej strony do gry włączyły się duże podmioty, które do tej pory nie zajmowały się tą tematyką, a z drugiej mamy do czynienia z pojawieniem się znikąd „specjalistów” oferujących wszelką pomoc w obszarze ochrony danych osobowych. Ci drudzy to niewielkie firmy, które także chcą uszczknąć nieco z tortu do podziału. Możemy niestety spodziewać się, że im bliżej magicznej daty wejścia w życie GDPR tym chaos będzie większy.

GDPR jest wyzwaniem dla ADO oraz okazją dla nierzetelnych firm

Jak wynika z moich doświadczeń, często pomoc oferowana przez wiele podmiotów to niestety oferowanie niemożliwego. Zachęcanie do dostosowanie do GDPR w obszarach, w których musimy się jeszcze wstrzymać z pracami ze względu na brak odpowiednich aktów prawnych, opinii organów nadzoru, Komisji Europejskiej czy organów doradczych. Krótko mówiąc, nie mamy jeszcze pojęcia jak odpowiednio przygotować administratora do GDPR. Tak więc nowe unijne rozporządzenie zmieniające zasady ochrony danych osobowych stało się nie tylko wyzwaniem dla administratorów danych, ale również sposobnością dla szeregu podmiotów działających na rynku usług z obszaru ochrony danych do zwabienia dużej liczby klientów przerażonych perspektywą obowiązku dostosowania się do bardziej restrykcyjnego prawa.

Aby pomóc Państwu rozeznać się i funkcjonować w tej coraz bardziej skomplikowanej, żeby nie powiedzieć brutalnej rzeczywistości, przygotowaliśmy kilka przydatnych wskazówek jak wybrać właściwego partnera w tej „podróży do GDPR” by na koniec nie tylko zdążyć na czas, ale też dotrzeć we właściwe miejsce.

reklama

Określ swoje potrzeby

Po pierwsze, kluczowym dla dokonania jakichkolwiek przedsięwzięć w zakresie ochrony danych osobowych jest zadanie sobie podstawowego pytania jakie są nasze potrzeby? Czy już na dziś potrzebujemy wsparcia we wprowadzaniu rozwiązań wymaganych przez GDPR? Czy wystarczy nam informacja z czym tak naprawdę mamy się zmierzyć, po to by w ciągu kilku najbliższych miesięcy zacząć planować prace? Jedno nie ulega wątpliwości, że prace powinny się rozpocząć, pytanie tylko jak intensywne? Jako wskazówkę potraktujemy twarde dane, takie jak wielkość administratora danych, skalę złożoności procesów przetwarzania danych, rodzaje danych jakie są przetwarzane itp., co z kolei określi nasze realne potrzeby.

Określ środki, które pomogą Ci zrealizować Twoje cele

Po drugie, jak już określimy nasze potrzeby, musimy zastanowić się jakimi środkami możemy, czy powinniśmy osiągnąć cel. Możemy zacząć od szkolenia, ogólnego lub specjalistycznego. Może być ono skierowane do ogółu zatrudnionych albo, co gorąco polecam, do osób zarządzających, które po szkoleniu (uświadomieniu) uruchomią proces przygotowań do GDPR.

Może to być wsparcie w formie doradztwa czy audytu, który pokaże nam jak chronimy dane osobowe. Może także okazać się, że najlepszym rozwiązaniem z naszego punktu widzenia jest przeniesienie całego projektu przygotowań do GDPR na ABI. Ale co do tego ostatniego rozwiązania, to trzeba rozważnie podejmować decyzję. GDPR zmienia bowiem diametralnie status ABI i zakres jego zadań, więc wyznaczenie ABI w tej chwili może okazać się działaniem na wyrost. Podkreślić należy, że zarówno przepisy unijnego rozporządzenia, jak i obecnie obowiązującej ustawy o ochronie danych osobowych nie statuują bezwzględnego obowiązku powołania administratora bezpieczeństwa informacji (zwanego w rozporządzeniu unijnym inspektorem danych osobowych), pozostawiając tę kwestię w większości przypadków do decyzji administratora danych. Co prawda, patrząc na to, ile i jacy administratorzy danych zgłosili ABI do rejestru GIODO, można odnieść wrażenie, że to absolutnie konieczne w przypadku każdego podmiotu, który chce być zgodny z ustawą o ochronie danych osobowych. Tak oczywiście nie jest. W szczególności wątpliwym jest, aby w każdej szkole, przedszkolu czy sklepie internetowym[1] istniała realna konieczność wyznaczenia ABI. W tym miejscu widać wyraźnie, że ktoś nie odpowiedział sobie na dwa pytania: co chce osiągnąć oraz przede wszystkim w jaki sposób. Trudno mieć zresztą pretensję do administratorów danych, którzy często byli ofiarami nagonki marketingowej, gdzie jako narzędzie wykorzystano informacje o rzekomych nieuchronnych karach nakładanych przez GIODO.

reklama

Miej świadomość zmiany i podejmij decyzję

Trzecia ważna kwestia przy wyborze usługi i usługodawcy to świadomość na jakim etapie są prace nad przechodzeniem z regulacji opartej na ustawodawstwie krajowym do regulacji unijnej. Innymi słowy na co w danym momencie powinniśmy wydać środki i poświęcić czas, czy na dostosowanie do ustawy o ochronie danych osobowych czy do GDPR? Taką ocenę sytuacji musimy przeprowadzić sami. Oczywiście należy pamiętać, e zgodność z ustawą jest wymagana w każdym momencie, ale należy przeprowadzić gradację potrzeb i ryzyka, by racjonalnie rozplanować działania związane z GDPR.

Jak wybrać odpowiednią firmę konsultingową?

Skoro określiliśmy już nasze potrzeby, możliwości i priorytety, czas na wybór wykonawcy. Bardzo ważna decyzja, bowiem wobec ogromu wyzwań jakie stoją przed nami, zła decyzja może nas drogo kosztować i to zarówno dosłownie (do 20 milinów euro), jak i w przenośni (czas, utrata renomy budowanej przez lata, a co za tym idzie i klientów).

Kryterium 1: Rzetelność

Pierwszy z ważnych czynników oceny wykonawcy to ocena jego rzetelności. Rozpalające wyobraźnię administratorów danych dotkliwe kary finansowe – 20 mln euro lub 4% globalnego rocznego obrotu z poprzedniego roku finansowego, stanowią pożywkę dla nieuczciwych firm, które bazując na strachu, próbują budować własny biznes i obiecują „optymalne” rozwiązania. Jak ocenić rzetelność? Jaką miarę przyłożyć? Odpowiedź nie jest prosta, gdybyśmy ją znali, to jako przedsiębiorcy uniknęlibyśmy wielu błędów. Ale spróbujmy dokonać oceny. I tak, pewnym miernikiem dla nas będzie chociażby treść informacji opisującej usługę.  Wielu wykonawców kusi klientów certyfikatami zgodności z zasadami ochrony danych osobowych, których obecne przepisy o ochronie danych w ogóle nie przewidują, a które w polskim porządku prawnym pojawią się dopiero wraz z wejściem w życie unijnego prawa. Co istotne, uprawnionymi do ich wydawania będą jedynie podmioty posiadające akredytację a ta z pewnością nie będzie osiągalna dla wszystkich. Podsumujmy zatem, przy wyborze wykonwcy kierujmy się kryterium rzetelności informacji i zdrowym rozsądkiem. Ta rzetelności i transparentność to chociażby pełny kontakt na stronie internetowej łącznie z adresem, numerem telefonu i informacją kto konkretnie wykonuje usługi.

reklama

Kryterium 2: Doświadczenie i specjalizacja

Tu przechodzimy do kolejnych elementów układanki, czyli doświadczenia i specjalizacji. Przyjrzyjmy się jak długo nasz potencjalny wykonawca działa na rynku, jakich ma  Klientów, jakie usługi oferuje i kogo zatrudnia. Przeczytajmy uważnie rekomendacje (jeśli je posiada), sprawdźmy co w nich jest napisane. Wystrzegać należy się firm tworzonych z potrzeby chwili, które nie mając żadnego doświadczenia oferują wysoko specjalistyczne usługi. Sprawdźmy, czy usługa nie jest tylko firmowana przez bardziej doświadczone osoby, a wykonywać ją będą osoby bez doświadczenia (studenci i praktykanci). Przy karach, o których wspominałem, nikt rozsądny nie powinien sobie pozwolić na takie ryzyko.

Kryterium 3: Wizja i misja firmy

Nie bez znaczenia pozostaje również ocena firmy pod kątem jej ogólnej filozofii działania – czy nastawiona jest ona wyłącznie na szybki zysk, czy też jej działalność cechuje orientacja na klienta i długotrwałą współpracę z nim. Czyli innymi słowy, czy usługa kończy się na jednorazowym „złotym strzale”, po którym klient zostaje pozostawiony sam sobie, czy też ma swój ciąg dalszy, gdzie wykonawca jest w stanie zadbać o klienta. Pytanie po czym to poznać? Po części po tym co wykonawca obiecuje (czy jest to działanie na zasadzie , że rzeczy niewykonalne robimy od ręki i niedrogo, a na cud trzeba nieco poczekać, czy jest to rozsądne podejście do usługi), a po części po jej stosunku do biznesu, etyki w biznesie, co może się przejawiać chociażby w tym czy np. prowadzi jakąkolwiek działalność charytatywną.

Nie jest to oczywiście wyczerpująca i kompletna lista wskazówek, każdy z nas musi sam dokonać oceny, ale mam nadzieję, że tych kilka wskazówek pomoże we właściwym i najlepszym z punktu widzenia administratora danych wyborze. Nasze działania w zakresie kształtowania polityki ochrony danych w firmie powinny być dostosowane do potrzeb, zakresu działalności i celów jakie chcemy osiągnąć. Pamiętać przy tym należy, iż inne będą potrzeby administratora danych będącego międzynarodową korporacją, a inne przedsiębiorcy prowadzącego sklep internetowy. Decyzje są i będą coraz trudniejsze. Z jednej strony mamy bowiem wysyp „profesjonalnych” firm oferujących wszelkie wsparcie w zakresie ochrony danych osobowych, a z drugiej strony poruszamy się w obszarze coraz większego ryzyka związanego z przetwarzaniem danych. Pozostaje na koniec mieć nadzieję, że dokonacie Państwo tylko dobrych wyborów przygotowując się do wdrożenia nowego unijnego prawa, czego Państwu i sobie życzymy.

Przeczytaj również:

UDOSTĘPNIJ
Poprzedni artykułZapraszamy na spotkanie „Nowe Zasady Ochrony Danych Osobowych Unijna Reforma (GDPR)”
Następny artykuł4 instrumenty ułatwiające wdrażanie wymogów GDPR
Radca Prawny, Europejski Rzecznik Patentowy - specjalista z zakresu ochrony danych osobowych oraz Prawa Własności Przemysłowej. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego oraz Podyplomowego Studium Prawa Własności Przemysłowej (Instytut Prawa Własności Intelektualnej) na Uniwersytecie Jagiellońskim. Przygodę z ochroną danych rozpoczął w 1998 roku od pracy w Departamencie Prawnym Biura Generalnego Inspektora Ochrony Danych Osobowych. Obecnie prowadzi własną Kancelarię www.kancelariaosiej.pl Współautor (redaktor) książek "Ochrona danych osobowych w praktyce - pytania i odpowiedzi", „Ochrona danych osobowych – wybór zagadnień”, opracowania "Ochrona danych osobowych po wejściu do Unii Europejskiej” oraz artykułów w prasie branżowej. Od 1999 r. przeprowadza audyty, prowadzi otwarte jak i zamknięte szkolenia, występuje na konferencjach.