Ze względu na interdyscyplinarny charakter RODO (połączenie wiedzy m.in. z dziedziny prawa, informatyki, ciągłości działania, zarządzania kryzysowego) często okazuje się, że posiadane zasoby ludzkie nie gwarantują sukcesu planowanego projektu. Organizacje stają wówczas przed trudnym pytaniem: kto może nam pomóc we wdrożeniu RODO?
Wybór rzetelnego partnera może nastręczać trudności, tym bardziej, że im bliżej do 25 maja 2018 r., tym więcej firm oferuje usługi z zakresu wsparcia we wdrożeniu przepisów RODO. Jak zatem wybrać skutecznego konsultanta (firmę doradczą)?
Kluczowe elementy które warto wziąć pod uwagę.
1. Doświadczenie w ochronie danych osobowych
RODO, inaczej niż obecne przepisy, nie zawiera gotowego katalogu obowiązków do „odhaczenia”. Po 25 maja 2018 r. każda organizacja samodzielnie będzie decydować m.in. jak często zmieniać hasła do systemów informatycznych, jakie procedury znajdą się w polityce bezpieczeństwa i jak należy zabezpieczyć służbowe urządzenia mobilne.
Skuteczną implementację wymagań RODO w organizacji gwarantuje wyspecjalizowany podmiot mający odpowiednie doświadczenie w projektowaniu, wdrażaniu oraz utrzymaniu systemów ochrony danych osobowych. Doświadczona firma doradcza jest w stanie zarekomendować adekwatne i racjonalne kosztowo środki ochrony danych.
2. Interdyscyplinarny zespół ekspertów
Projekt „RODO 2018” jest działaniem zespołowym, realizowanym na kilku płaszczyznach - zarządczej, prawnej oraz informatycznej. Wielopoziomowość zmian sprawia, że profesjonalna firma doradcza wpierająca proces wdrożenia RODO musi dysponować interdyscyplinarnym zespołem ekspertów posiadających kompetencje, potwierdzone certyfikatami, m.in. w dziedzinie prawa, zarządzania bezpieczeństwem informacji, usługami informatycznymi, ciągłością działania oraz zarządzania kryzysowego.
Nawet najlepszy specjalista w pojedynkę nie przygotuje organizacji do stosowania RODO.
3. Metodyka prac
Projekt „RODO 2018” to ogromna ilość ludzkiej pracy, dlatego niezwykle ważne jest jej dobre zaplanowanie. Profesjonalna firma doradcza mająca wspierać wdrożenie RODO musi dostarczyć uznaną metodykę zarządzania projektami (zgodną np. z PRINCE2, COBIT, SCRUM) niezbędną do przeprowadzenia terminowego i efektywnego wdrożenia.
Intuicyjne zarządzanie projektami prowadzi do wydłużenia czasu wdrożenia, zwiększenia kosztów projektu, często do zniechęcenia uczestników do pracy, a niejednokrotnie do niepowodzenia.
4. Zakres wsparcia podczas wdrożenia
RODO wymaga zaangażowania się organizacji w budowę własnego systemu ochrony danych osobowych, adekwatnego do profilu prowadzonej działalności. Implementację postanowień RODO można przyrównać do budowy systemu zarządzania bezpieczeństwem informacji zgodnego z ISO/IEC 27001. Profesjonalna firma doradcza zapewnia wsparcie na każdym z kolejnych etapów wdrożenia, tj.:
- wprowadzeniu kierownictwa w proces wdrożenia,
- warsztatach dla zespołu wdrożeniowego,
- ustaleniu gotowości organizacji do stosowania RODO (audyt otwarcia),
- przeprowadzeniu procesu szacowania ryzyka,
- przeprowadzeniu procesów analizy wpływu na prywatność (DPIA),
- dostosowaniu procesów biznesowych,
- zaplanowaniu dostosowania środowiska teleinformatycznego,
- opracowaniu dedykowanej dokumentacji ochrony danych osobowych,
- szkoleniu personelu,
- weryfikacji przygotowania organizacji do stosowania RODO (audyt zamknięcia).
5. Czas realizacji projektu
Przygotowanie organizacji do stosowania RODO wymaga czasu i zależy od szeregu czynników, m.in. od wielkości organizacji, podejmowanych wcześniej działań w zakresie ochrony danych osobowych oraz świadomości i zaangażowania najwyższego kierownictwa. Ze względu na stopień skomplikowania projektu wdrożenia RODO czas jego realizacji wynosi od kilku do kilkunastu miesięcy. Firma doradcza podejmując się pomocy przy wdrożeniu RODO powinna w sposób metodyczny oszacować czas potrzebny na realizację projektu (np. z wykorzystaniem metodyki PERT) oraz kontrolować postępy w jego realizacji (np. z wykorzystaniem wykresu Gantta).
6. Cena
Każda organizacja stara się osiągnąć maksymalny efekt przy minimalnym nakładzie środków, dlatego cena stanowi istotne kryterium wyboru firmy doradczej. Wybierając partnera należy jednak sprawdzić, jakie elementy wdrożenia objęte są zaproponowaną ceną oraz czy nie istnieją opłaty dodatkowe. Korzystana propozycja współpracy powinna obejmować dostosowanie wszystkich realizowanych przez organizację procesów przetwarzania danych osobowych, a nie jedynie ich część.