Do rozpoczęcia obowiązywania GDPR pozostało jeszcze (albo tylko) 532 dni[1]. To dużo czasu, ale należy się zastanowić czy wystarczająco dużo by przygotować się do niego w 100%. Wszystko zależy od tego jak bardzo rozbudowana jest nasza organizacja oraz jak wiele procesów w niej zachodzi. Nie ulega wątpliwości, że im wcześniej rozpocznie się przygotowania, tym istnieje większe prawdopodobieństwo, że organizacji uda się wdrożyć wymogi GDPR na czas.

Należy pamiętać o tym, że po 25 maja 2018 r., gdy GDPR zacznie w pełni obowiązywać, nie będzie już taryfy ulgowej i dodatkowego czasu na dostosowanie się przez administratorów danych do jego wymogów. Dlatego właśnie teraz jest już odpowiedni czas by rozpocząć proces przygotowań do wdrożenia wymogów GDPR.

Przed samym rozpoczęciem wdrażania wymogów GDPR powinniśmy zastanowić się, jakie narzędzia ułatwią nam to zadanie. Poniżej prezentuję cztery instrumenty, które pomogą szybko i sprawnie dostosować organizację do nowego stanu prawnego.

Kierownik projektu

Pierwszym z instrumentów, o którym należy pomyśleć przy wdrażaniu GDPR, jest przygotowanie odpowiednich zasobów ludzkich do przeprowadzenia tego projektu.

Na czele każdego projektu powinien stać jego kierownik/manager. Także w przypadku wdrażania GDPR nad całością projektu musi czuwać osoba, która będzie odpowiedzialna za koordynację prac, tworzenie i realizację strategii dostosowania, uwzględniając przy tym cele biznesowe oraz specyfikę działalności administratora danych. W tej roli najlepiej sprawdzi się ABI. To on będzie idealnym sternikiem organizacji podążającej w stronę zgodności z GDPR. Zazwyczaj to on posiada dogłębną wiedzę na temat procesów przetwarzania danych osobowych. Posiada też niezbędną wiedzę merytoryczną by zmieniać organizację zgodnie z przepisami GDPR.

Jeżeli nie masz powołanego ABI to istnieją dwie możliwości. Pierwsza z nich to wyznaczenie, jako lidera projektu, jednego z pracowników (np. osoby odpowiedzialnej za zarządzanie projektami). W takim przypadku należy jednak liczyć się z tym, że osoba ta nie będzie posiadała wystarczającej wiedzy merytorycznej by przeprowadzić wdrożenie zgodnie z postanowieniami GDPR. Zawsze możesz jednak wesprzeć taką osobę doradztwem zewnętrznym lub umożliwić zdobycie potrzebnej wiedzy poprzez udział w szkoleniach.

Drugim rozwiązaniem jest skorzystanie z pomocy firm zewnętrznych. Wówczas na czele projektu stanie niezależna osoba zawodowo zajmująca się ochroną danych osobowych. Doradcy zewnętrzni posiadają praktykę w zarządzaniu projektami oraz doświadczenie we wdrażaniu zaleceń.

Zespół wdrożeniowy

Należy pamiętać także o tym, że wdrożenie GDPR nie jest zadaniem dla jednej osoby. Na dostosowanie przedsiębiorstwa do wymogów GDPR powinien pracować cały zespół osób reprezentujących różne działy w organizacji.

W skład zespołu wdrożeniowego powinny wchodzić następujące osoby: administrator systemów informatycznych lub informatyk oraz osoby odpowiedzialne za kadry i dział najbardziej zaangażowany w przetwarzanie danych osobowych w ramach podstawowej działalności organizacji (np. sprzedaż, marketing). W przypadku podmiotów, które występują w roli tzw. „procesorów” w pracach zespołu powinna brać również udział osoba odpowiedzialna za realizację usług wymagających przetwarzania powierzonych danych (np. usług polegających na prowadzeniu rekrutacji czy akcji marketingowych).

Tak zbudowany zespół umożliwi wieloaspektowe spojrzenie na organizację pod kątem należytego dostosowania przedsiębiorstwa do zmian w prawie.

Mapy procesów

Po zespole wdrożeniowym, kolejnym ważnym instrumentem, który ułatwi Ci wdrażanie GDPR jest znajomość procesów funkcjonujących w organizacji. Dużo łatwiej w tym wypadku jest organizacjom, które posiadają „zmapowane” oraz „poukładane” procesy. Jeżeli w organizacji występuje wiele procesów, które dodatkowo są mocno rozproszone, wówczas powinno pomyśleć się o audycie. Celem takiego audytu byłoby dokładne zinwentaryzowanie procesów funkcjonujących w organizacji oraz wsparcie organizacji w ich ocenie pod względem wpływu wywieranego na nie przez nowe regulacje. Dokładne opisanie procesów pozwoli ocenić ryzyka z nimi związane oraz przemodelować je w taki sposób by te procesy były zgodne z nowymi przepisami.

Technologia

Ostatnim środkiem, który ułatwi wdrażanie GDPR jest wsparcie technologiczne. Zespół wdrożeniowy powinien być wspierany narzędziami informatycznymi. Powinny one umożliwiać zarządzanie wdrożeniem, a w szczególności mierzenie stopnia realizacji wdrożenia i nadzór nad osiąganymi kamieniami milowymi oraz przydzielanie określonych zadań pracownikom. Narzędzia te powinny też ułatwiać przeprowadzanie audytu a w tym umożliwić pozyskiwanie i gromadzenie informacji niezbędnych do inwentaryzacji procesów, oceny ryzyka oraz mapowania procesów. Dobór odpowiedniego narzędzia informatycznego zależeć będzie od potrzeb administratora. Mniejszym jednostkom może wystarczyć prosty arkusz kalkulacyjny, większe organizacje mogą pomyśleć o systemie dedykowanym lub gotowym rozwiązaniu informatycznym.

Podsumowanie

Zmiana funkcjonowania oraz zapewnienie zgodności z unijnymi przepisami jest dużym wyzwaniem. Przed rozpoczęciem wdrożenia powinniśmy się zastanowić czy posiadamy odpowiednie zasoby do jego przeprowadzenia. Jeżeli odpowiedź na to pytanie będzie negatywna, zawsze istnieje możliwość wsparcia ze strony zewnętrznych specjalistów. Usługami mogącymi pomóc przy wdrożeniu GDPR są szkolenia dla personelu i kadry zarządzającej, przeprowadzenie audytu ochrony danych, a także doradztwo prawno-organizacyjne związane z wdrożeniem GDPR. Więcej na temat tego, jak wybrać odpowiednią usługę i jej wykonawcę znajdziesz w tym artykule.

Do rozpoczęcia obowiązywania przez GPDR jest co prawda jeszcze trochę czasu, jednak należy pamiętać o tym, że reorganizacja od dawna funkcjonujących procesów może również zabrać nam wiele cennego czasu. Początek nowego roku to zatem dobry czas by zastanowić się nad rozpoczęciem wdrożenia oraz wciągnięciem na listę postanowień noworocznych dążenia do zapewnienia zgodności z nowymi przepisami.

Jeżeli podjąłeś/ęłaś decyzję o rozpoczęciu wdrażania GDPR, w tym artykule znajdziesz wskazówki dot. pierwszych kroków jakie powinieneś/nnaś wykonać by zapewnić zgodność organizacji z GDPR.

Autor: Maciej Chodorowski

[1] Stan na dzień publikacji artykułu

Related Post

UDOSTĘPNIJ
Poprzedni artykułCzym się kierować przy wyborze usług z ochrony danych osobowych?
Następny artykułWP29 opublikowała poradnik dla DPO
m.chodorowski@omnimodo.com.pl'
Maciek jest prawnikiem- absolwentem WPiA UMCS w Lublinie. Doświadczenie zawodowe zdobywał w firmach konsultingowych zajmujących się bezpieczeństwem informacji. Specjalizacją Maćka jest legalizacja przetwarzania danych w Internecie oraz problematyka powiązań danych osobowych z tajemnicą przedsiębiorstwa. Obsługuje podmioty z szeroko pojętej branży produkcyjnej, e-commerce oraz kreatywnej. Poza pracą miłośnik biegów długodystansowych oraz marketingu prawniczego.