HARMONOGRAM RODO – jak wykorzystać czas po 25 maja 2018?

/HARMONOGRAM RODO – jak wykorzystać czas po 25 maja 2018?

HARMONOGRAM RODO – jak wykorzystać czas po 25 maja 2018?

[Maciej Kaczyński]

Czy na wdrożenie procesów RODO w terminie do 25.05.2018 jest już za późno?

Jesteśmy wszyscy optymistami. Ci, którzy jeszcze nie zaczęli się przygotowywać, z całą pewnością nie zdążą. Lepiej mają Ci, którzy do tej pory mieli wdrożone procedury ochrony danych osobowych, choćby na papierze, a nie w rzeczywistości. Najtrudniej będą miały te podmioty, które do tej pory specjalnie nie przykładały wagi do ochrony danych (nie tylko osobowych). Po wejściu w życie rozporządzenia ochroną danych osobowych będą musiały się zająć – czyli szkoły, placówki edukacyjne, małe podmioty gospodarcze, mniejsze urzędy miast i gmin. RODO dotyczy praktycznie wszystkich.

Sprawdźmy, czy faktycznie nie przygotowywaliśmy się wcześniej. Google Trends mówi, że… niestety nie. Nagłe zainteresowanie RODO zaczyna się … w styczniu tego roku, czyli – o minimum rok za późno. Co ciekawe – wg analizy zapytań kierowanych do Google – nie interesujemy się specjalnie ochroną danych osobowych, lecz samym rozporządzeniem. Czyżby to oznaczało, ze ochrona danych pozostanie na niezmiennym poziomie, a dostosujemy się tylko „na papierze” do wytycznych rozporządzenia?

 Analiza zainteresowania RODO. Ochrona danych. Giodo.

Motywacja. O tym, co nas nie motywowało…

To najistotniejszy element w RODO. Jak nas zmotywowano do tej pory? Słabo. Nasze wewnętrzne „JA” mówiło: nie ma kar finansowych, nie ma innych sankcji – znaczy, że nie jest to istotny problem. W latach 2002 – 2015 zapadły 262 wyroki skazujące, w tym 104 wyroki z art. 51 ust. 1 UODO („kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat 2”), 66 wyroków z art. 52 UODO („kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku)”,  42 wyroki z art. 49 ust. 1 UODO („kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”). Nikt nie został pozbawiony wolności. W większości wyroków to grzywna do kilku tysięcy złotych.

Inaczej – o czym wszyscy piszą, co wykorzystują również w kampaniach reklamowych swoich produktów – będą się sprawy miały po 25 maja 2018 roku. Zostaniemy zmotywowani. Nic tak nie motywuje jak wysoka sankcja.

Inne motywatory. O tym, co nas zmotywuje…

Ważne wskazać, że te inne motywatory to w rzeczywistości inni motywatorzy – nasza konkurencja, byli pracownicy, obecnie zresztą też (bo dlaczego by nie), niezadowoleni klienci, odbiorcy mailingów, z których trudno się wypisać, instytucje zajmujące się ochroną danych osobowych czy wreszcie zwykli ludzie (nazwani mądrze podmiotami danych). No i kancelarie prawne.

Kluczem do wewnętrznej motywacji – naszej samosterowności – jest faktyczny stan ochrony naszych danych. Wydaje się, że jesteśmy już bardzo blisko krawędzi, za którą nie ma już żadnej kontroli. Dlatego, wg mnie, rozporządzenie przyszło w dobrym momencie.  Myśląc o pływaniu naszych danych w krwioobiegu informatycznym, warto spojrzeć na materiał udostępniony w internecie, zatytułowany „Kochane Google troszczy się o Ciebie non stop” (wystarczy wpisać hasło w wyszukiwarkę i przełączyć się na wyszukiwanie grafiki) – to oczywiście przenośnia, bo nie chodzi o firmę Google Inc., lecz dość dosadnie – nieco humorystycznie – przedstawiony przykład ruchu naszych danych osobowych. Sami oceńmy, czy nie jesteśmy już jedną nogą w takim scenariuszu.

[Źródło: obrazki.jeja.pl] RODO. Wdrożenie RODO. Harmonogram RODO. Ochrona danych.

RODO – przyczynkiem do zmian

Czy RODO zmieni cokolwiek? Co zmienia RODO już dziś? Zmian jest wiele, tak wiele, że z dnia na dzień pojawiają się nowe.

Zmiana pierwsza

To zmiana sposobu myślenia. Do tej pory myśleliśmy przeważnie lokalnie, w odniesieniu do nas samych, podmiotu, w którym pracujemy, czasami nieco szerzej. RODO wymaga znacznie większej perspektywy – musimy myśleć globalnie, patrząc również na otoczenie, konkurencję, inne podmioty czy też inne osoby (do tej pory nie było to wymagane).

Zmiana druga

W zdaniu poprzednim użyłem słowa „musimy” – to zdecydowanie nieadekwatne. Lepiej byłoby „chcemy”. Tak, „chcemy”, gdyż rozumiemy potrzebę (a nie pytamy „po co to RODO?”). To druga istotna zmiana – słownictwo, jakże ważne w realizacji takiego projektu jak wdrożenie RODO. Słownictwo, którym będziemy komunikować to, co chcemy osiągnąć. A od słów zależy postrzeganie projektu przez innych. Idealnie widać to przy wdrożeniach systemów zarządzania infrastrukturą i bezpieczeństwem, jakie prowadzimy –gdy mówimy instalujemy agenta (taki mały, niewidoczny programik realizujący pewne zadania na każdym komputerze), to spotykamy się z barierą pracowników. „Dla mnie? Agenta?”. Wystarczy zmiana słowa „agent” na „program do zapewnienia bezpieczeństwa” i po sprawie.

Zmiana trzecia

Gotowce – uwielbiamy z nich korzystać – najlepiej jakby Ministerstwo Cyfryzacji wydało komplet dokumentów do podpisania i po sprawie. RODO wymaga kreatywności. Wszelkie działania wpływające pozytywnie na kreatywność są dla Polski zbawieniem, gdyż nie jesteśmy lwem (lwicą – są bardziej skłonne do ruchu niż lwy) kreatywności. Indeks „Design and Creativity Index (DCI) 58” dla Polski nie napawa optymizmem. A pamiętajmy, że innowacyjność jest pochodną kreatywności. Chcemy (nie musimy) opracować system ochrony danych – nasz, własny, indywidualny. System ochrony danych to nie lista czynności (oczywiście można sobie wyobrazić mechanizmy weryfikacji za pomocą takiej listy) tylko system procesów i procedur.

Zmiana czwarta

Bardzo istotna z punktu widzenia rynku pracy. Rynku pracy dla specjalistów IT oczywiście. Przeprowadziliśmy wdrożenia systemów zarządzania i bezpieczeństwa IT w ponad tysiącu podmiotów – od małych, takich po 50-100 komputerów, po dość duże – powyżej 5 tysięcy komputerów w jednej organizacji, rozproszonych w Europie, często z ponad trzystoma fizycznymi lokalizacjami, w dość złożonych środowiskach sieciowych. W większości tych podmiotów świadomość roli IT w organizacji jest na średnim poziomie – IT odgrywa bowiem rolę głównie usługową (świadczenie usług dla innych pracowników, wydziałów, podmiotów zależnych). I w większości przypadków budżety na IT były obcinane – bo nie teraz, bo nie potrzeba, bo są ważniejsze inwestycje. Ekspertka, z którą miałem okazję współpracować budując zespół sprzedaży, powiedziała, że problem w tym, że te podmioty nie mają budżetów na wybrane (te konkretnie) projekty, na inne mają (przecież wydają gigantyczne środki – wystarczy spojrzeć na BIP). I tak, jeden z urzędów powiedział mi, że nie mają środków na utrzymanie serwisowe systemu zarządzania infrastrukturą IT, a w tym czasie remontowali własną siedzibę. Po prostu środki były, ale przeznaczone na inne cele. Czemu tak? Bo  IT, co obserwuję od lat, nie potrafi powiedzieć własnego „ja”, przekonać biznesowo dyrekcji, przedstawić możliwych zagrożeń itp. Bo IT pełni funkcję usługową, operacyjną zamiast „innowacyjnej” czy „strategiczne”. Oczywiście, nie można generalizować. Są podmioty doskonale zarządzane, gdzie IT pełni jak nie kluczową to istotną rolę, każda strategia jest z IT konsultowana, a pracownicy doceniani. Czemu ma się to teraz zmienić? Z przyczyny bardzo błahej – specjalistów od bezpieczeństwa jest jak na lekarstwo, a zapotrzebowanie na nich rośnie z dnia na dzień – tak jak na przedstawionym wcześniej wykresie zainteresowania RODO. Myślący logicznie specjalista nie będzie odpowiadał za obszar, na który nie ma wpływu i na który nie ma środków w budżecie.

Tanio – czyli ile?

Pytanie, ile kosztuje wdrożenie RODO jest źle postawione. Lepiej byłoby spytać, ile będzie kosztowało wdrożenie i utrzymanie systemu spełniającego wymagania RODO? Gotowce, o których wspomniałem, kosztują kilkaset złotych. Można skorzystać, ale nie polecam. Gazeta Wyborcza przygotowała przykładową symulację kosztów dla średniego podmiotu.

RODO. Wdrożenie RODO. Koszt wdrożenia RODO.

Analizując tylko wybrane pozycje:

  • oszacowanie ryzyka wycieku za 6 tysięcy – nie jest możliwe do wykonania,
  • inwentaryzacja danych za 20 tysięcy – również (tyle kosztuje zakup licencji na system do inwentaryzacji zasobów),
  • szkolenia pracowników za 20 tysięcy – są szanse, jednak szkolenia muszą być prowadzone regularnie,
  • zmiana dotychczasowych umów za 1 tysiąc – życzę powodzenia,
  • system zapobiegania wyciekom za 100 tys. – może tak, tyle że prawdopodobnie rocznie. Systemy zapobiegania wyciekom udostępniane są w większości w subskrypcji. Ich cena zależy od liczby stanowisk (w omawianym przykładzie nie mamy podanej liczby komputerów).

Kilku pozycji brakuje – np. systemu do wsparcia procesów RODO – a taki musi być (w arkuszu kalkulacyjnym nie da się tego zrealizować). Wdrażając RODO należy pamiętać, że to nie jest wdrożenie czyjegoś wymysłu, czy konieczność jednorazowego dostosowania się do przepisów, lecz otwarcie procesów ochrony danych równoznaczne z otwarciem na każdy kolejny rok pozycji w budżecie (nie dla RODO ale dla ochrony danych).

Etapy wdrożenia RODO

Rozpoczynając w marcu 2018 r., kończymy wdrożenie RODO we wrześniu 2019 roku. Kończymy i jednocześnie zaczynamy utrzymanie systemu ochrony danych. Przedstawiony harmonogram można oczywiście skrócić, kilka etapów realizować jednocześnie itp. Co jest najważniejsze, kluczowymi w projekcie RODO (tak go nazwijmy) są zdecydowanie: zbudowanie świadomości, wsparcie kierownictwa i zbudowanie zespołu projektowego.

Harmonogram RODO. eAuditor RODO. eAuditor LMS. eAuditor. Hyprovison DLP

A co ja (np. jako ADO) z tego mam?

Lista jest krótka, a odpowiedzialność wielka – zrealizowany z sukcesem bardzo trudny, organizacyjno-informatycznie projekt, wzrost autorytetu, roli w podmiocie, uznanie, pewność siebie, uzyskanie strategicznej pozycji. Nowy punkt w CV. Gratyfikacje finansowe. OBY!

Wdrożenie RODO to LUDZIE, narzędzia i komputery

Proporcje takie jak na schemacie.

Wdrożenie RODO to ludzie, narzędzia, komputery

Celem wdrożenia RODO winno być uzyskanie takiego zarządzania systemem ochrony danych, aby była to tzw. nieświadoma kompetencja (wg Noela Burcha).

Czego sobie i wszystkim życzę.

Polecamy program do RODO!
2018-11-21T15:07:01+00:00
Menu
Kontakt
RODO
Nowości v6
Filmy instruktażowe
Demo on-line