Wdrożenie RODO – na czym polega i ile kosztuje?

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 21 maja 2020

21

maj
2020

W ostatnich miesiącach otrzymujemy coraz więcej zapytań dotyczących wdrożenia RODO (jak również audytu zgodności z RODO) oraz ceny takiej usługi. Z kilku powodów naturalne jest zainteresowanie tematem usługi wdrożenia RODO oraz jej ceną. Po pierwsze, jest jeszcze wiele osób, dla których przepisy RODO, a raczej obowiązki w nich określone są nieznane lub są nie do końca jasne. Po drugie, brak wcześniejszej wnikliwej analizy poszczególnych ofert wdrożenia RODO powoduje jeszcze większą dezorientację, gdyż nieznana jest ilość oraz złożoność zadań realizowanych w ramach wdrożenia RODO. Wreszcie po trzecie, −każdemu przedsiębiorcy zależy na optymalizacji kosztów przy jednoczesnym zachowaniu akceptowalnego poziomu jakości usługi, dlatego pożądane są wszelkiego rodzaju informacje na temat cen rynkowych wdrożenia przepisów RODO.

Ile kosztuje wdrożenie RODO?

Szanując czas wszystkich osób, które natrafiły na poniższy artykuł z zamiarem odnalezienia informacji wskazującej jakiej konkretnie ceny wdrożenia RODO mogą się spodziewać, z góry uprzedzam, że poniżej jej nie ma…

Wynika to z faktu, iż na proces wdrożenia RODO składają się zadania, które dotyczą trzech różnych obszarów organizacji:

  • zgodności z przepisami (compliance),
  • zarządzania ryzykiem (risk management),
  • zarządzanie procesami biznesowymi (governance).

Jak widać działania wchodzące w skład wdrożenia RODO przenikają przez różne obszary w organizacji i są całkowicie od niej zależne. Dlatego zakres zadań realizowanych w ramach projektu wdrożenia RODO jest kwestią indywidualną i wymaga każdorazowo zasięgnięcia informacji na temat organizacji w celu wyceny usługi.

Oczywiście w Internecie można natknąć się na tzw. cenniki wdrożenia RODO, które przedstawiają ceny w zależności np. od wielkości organizacji, rodzaju prowadzonej działalności, czy od rodzaju sektora gospodarki. Jednakże, firmy szablonowo wyceniające wdrożenie przepisów RODO, w analogiczny sposób jak do wyceny, mogą podchodzić do realizacji zamówionej usługi, tj. wdrażać RODO sztampowo, bez zagłębiania się w specyfikę organizacji, czy w szczególne przepisy prawa regulujące jej funkcjonowanie.

Co to jest wdrożenie RODO i z jakich etapów się składa?

Wdrożenie RODO wymaga od organizacji wykonania przeglądu realizowanych dotychczasowych działań. Wspomniany przegląd powinien pozwolić:

  1. rozpoznać wszystkie obszary, gdzie przetwarzana są dane osobowe;
  2. wskazać właściwe dla prowadzonej działalności przepisy prawa (to nie tylko przepisy RODO, ale również inne krajowe przepisy, np. Prawo Telekomunikacyjne, Kodeks pracy, czy Ustawa o zatrudnianiu pracowników tymczasowych, czy ostatnio popularna „specustawa o COVID-19” – takich szczególnych ustaw jest około 170);
  3. ocenić stopień (nie)bezpieczeństwa danych osobowych (podejście oparte na ryzyku – „risk based approach”);
  4. zidentyfikować wszelkie niezgodności dotyczące zarówno realizacji obowiązków wynikających z przepisów prawa, jak również błędy dotyczące naruszeń zasad bezpieczeństwa danych osobowych;
  5. określić działania naprawczo-korygujące dla wcześniej zidentyfikowanych nieprawidłowości, które będą stanowić kompromis pomiędzy prawem, a celami biznesowymi organizacji.

W ramach ostatniego punktu z powyższej listy należy podjąć m.in. takie działania jak:

  1. opracowanie stosownych, wymaganych prawem dokumentów lub wzorów, np. polityk, procedur, klauzul informacyjnych, oświadczeń zgody, regulaminów, czy rejestrów;
  2. zmiana praktyk biznesowych stojących w sprzeczności z przepisami prawa lub ze standardami bezpieczeństwa;
  3. zmiana stosowanych środków bezpieczeństwa lub wdrożenie dodatkowych;
  4. wymuszenie (pod groźbą zakończenia współpracy) na dostawcach usług dostosowania się do wymagań przepisów RODO lub do dobrych praktyk z zakresu bezpieczeństwa danych osobowych;
  5. szkolenie personelu, nie tylko z zakresu obowiązków wynikających z przepisów prawa, ale również z zakresu bezpieczeństwa danych osobowych.

Szukasz pomocy w dostosowaniu organizacji do wymagań przepisów RODO?

Czynniki mające wpływ na wysokość ceny wdrożenia RODO

Jak zostało wcześniej wspomniane, wdrożenie RODO to proces złożony i w dużej mierze uwarunkowany specyfiką organizacji. Wpływ na wysokość ceny wdrożenia RODO mają czynniki, które determinują ilość pracy jaką będzie musiała wykonać firma świadcząca usługi z zakresu wsparcia w obszarze ochrony danych osobowych. Dlatego na cenę wdrożenia może wpłynąć:

1) ilość oraz złożoność procesów przetwarzania danych osobowych

Procesy (czynności) przetwarzania danych osobowych składają się z operacji przetwarzania. Na przykład proces realizacji umów z dostawcami usług będzie składać się m.in z następujących operacji: zbierania danych dostawców lub ich przedstawicieli, przechowywanie dokumentów księgowych w związku z realizacją obowiązków podatkowych oraz przechowywanie maili dla celów związanych z ustalaniem, dochodzeniem lub obroną przed roszczeniami.

Każdy proces przetwarzania powinien zostać poddany wnikliwej analizie. Ocenie powinny m.in. zostać poddane:

  • zgodność przetwarzania z zasadami określonymi w art. 5 RODO (np. z zasadą minimalizacji danych, zasadą ograniczenia przechowywania, czy zasadą zgodności z prawem, np. polskimi szczególnymi przepisami prawa);
  • legalność przetwarzania (podstawa przetwarzania – art. 6 RODO);
  • legalność przetwarzania danych szczególnej kategorii (o ile występują – art . 9 oraz 10 RODO);
  • spełnienie obowiązków informacyjnych (art. 13 oraz 14 RODO);
  • powierzanie czynności przetwarzania zewnętrznym podmiotom;
  • możliwości realizacji praw podmiotów danych;
  • bezpieczeństwo przetwarzania danych.

2) mnogość systemów informatycznych oraz ich innowacyjność

Każdy wykorzystywany przez organizację do przetwarzania danych osobowych system informatyczny powinien podlegać ocenie, np. czy:

  • zakres przetwarzanych danych jest zgodny z zasadą minimalizacji danych;
  • czy istnieje możliwość trwałego usuwania danych (brak takiej opcji w ramach funkcjonalności systemu będzie stanowić zagrożenie dla zasady ograniczenia przechowywania oraz dla realizacji prawa do bycia zapomnianym);
  • kopie zapasowe są wykonywane zgodnie ze standardami bezpieczeństwa;
  • komunikacja na linii klient-serwer jest zabezpieczona;
  • zastosowano zgodnie ze standardami mechanizmy zapewniające ograniczenie dostępu do systemu informatycznego do osób uprawnionych;
  • odnotowywane są wszelkie wprowadzane zmiany w systemie i w danych.

3) liczba komórek organizacyjnych

Dobrą praktyką w przeprowadzaniu audytów zgodności z RODO jest odbywanie spotkań z przedstawicielami praktycznie wszystkich komórek w organizacji. Takie działanie pozwala lepiej ją poznać oraz daje większe prawdopodobieństwo identyfikacji wszystkich procesów przetwarzania oraz wyłapania większej ilości niezgodności z przepisami prawa, czy standardami bezpieczeństwa. Dlatego im więcej komórek organizacyjnych, tym więcej pracy dla audytorów.

4) liczba pracowników

Liczba pracowników będzie miała przełożenie na działania związane z podnoszeniem świadomości osób przetwarzających dane osobowe nt. obowiązków i dobrych praktyk przetwarzania i ochrony danych (np. szkolenia lub kampanie informacyjne).

5) liczba oddziałów lub placówek zamiejscowych

Liczba lokalizacji wpływa bezpośrednio na wysokość kosztów jakie firma świadcząca usługę wdrożenia RODO będzie musiała ponieść w związku z podróżami oraz oddelegowaniem swoich pracowników (audytorów, szkoleniowców). Ponadto w poszczególnych oddziałach / placówkach mogą występować różnice, które rzutować mogą na potrzebę przeprowadzenia dodatkowych analiz, np. inna infrastruktura, zabezpieczenia, czy inni dostawcy usług.

6) liczba utrzymywanych domen lub subdomen oraz stron internetowych

Wpłynie ona na ilość pracy potrzebnej do zweryfikowania zgodności serwisów internetowych z przepisami oraz ze standardami bezpieczeństwa.

7) liczba przypadków przekazywania danych poza organizację

Każdy przypadek przekazywania danych poza organizację wymaga zbadania, czy odbywa się to zgodnie z prawem. W przypadku, gdy przekazanie odbywa się w ramach powierzenia czynności przetwarzania należy sprawdzić występowanie zapisów umownych oraz czy spełniają one wymagania określone w art. 28 RODO.

Ponadto ocenie powinien zostać poddany proces wyboru podmiotu przetwarzającego przed podjęciem współpracy – kwestia weryfikacji czy potencjalny wykonawca daje gwarancje bezpiecznego przetwarzania danych osobowych i realizacji innych obowiązków wynikających z RODO.

Powierzenie przetwarzania to nie jedyna sytuacja, w której dane osobowe są przekazywane poza organizację. Istnieje również szereg procesów, w których dane należy udostępnić (np. właściwym urzędom lub organom na mocy przepisów prawa lub w sytuacji prawnie uzasadnionego interesu). Oczywiście zakres prac będzie się zwiększał wraz z liczbą przypadków przekazywania danych poza firmę.

8) przetwarzanie danych osobowych poza EOG

Sytuacja podobna do wyżej opisanej – każdy przypadek przekazywania danych poza EOG wymaga analizy legalności takiego działania, analizy ryzyka dla ochrony danych osobowych oraz oceny gwarancji realizacji praw podmiotów danych przez organizację funkcjonującą poza obszarem EOG. Im więcej takich przypadków tym więcej pracy dla audytorów.

Czas realizacji usługi wdrożenia RODO

Podobnie jak na wysokość ceny wdrożenia RODO, tak i na czas realizacji usługi będzie miała wpływ ilość oraz złożoność zadań związanych z wdrożeniem RODO. Oprócz wyżej wymienionych czynników, na czas realizacji będzie miał wpływ jeszcze przebieg współpracy między zamawiającym usługę a wykonawcą. Dostępność osób odpowiedzialnych za poszczególne procesy przetwarzania, sprawne dostarczanie dokumentów, terminowe udzielanie odpowiedzi na wszelkie zadawane przez audytorów pytania, zatwierdzanie przez kierownictwo poszczególnych etapów wdrożenia − te wszystkie czynniki będą dodatkowo determinowały czas potrzebny na wdrożenie RODO.

Warto tu podkreślić, że ostatecznie wdrożenia RODO nie dokona wykonawca. Akceptacji i zakomunikowania wszystkich rekomendowanych dokumentów i działań wewnątrz organizacji musi dokonać zamawiający.

Czego oczekuje się od zamawiającego (klienta) w celu sprawnego wdrożenia RODO?

1) Rzetelne kompletowanie dokumentacji – pierwszym etapem wdrożenia RODO powinna być analiza funkcjonującej w organizacji dokumentacji. Dobrze przeprowadzony audyt dokumentacji znacznie usprawnia późniejsze spotkania audytowe z przedstawicielami komórek organizacyjnych. Audytorzy poznają specyfikę organizacji, jej strukturę, obowiązujące regulacje wewnętrzne oraz treść umów z dostawcami usług, dzięki czemu łatwiej jest w trakcie audytu zadawać właściwe pytania, a co za tym idzie, zwiększa się skuteczność identyfikacji wszelkich nieprawidłowości. Poza tym, już na etapie przeglądu dokumentów identyfikuje się pierwsze niezgodności oraz spostrzeżenia.

2) Właściwe przygotowanie personelu do audytu – oprócz zapewnienia możliwości wzięcia udziału w spotkaniach audytowych, po stronie kierownictwa organizacji jest zadbanie o właściwe nastawienie pracowników. Każda osoba audytowana powinna być świadoma celu realizowanego audytu oraz powinna być pewna, iż w przypadku stwierdzenia nieprawidłowości dotyczących realizowanych obowiązków nie spotkają jej żadne negatywne konsekwencje. Audytowani muszą być maksymalnie skłonni do współpracy. W przeciwnym razie mogą swoją postawą utrudniać identyfikację niezgodności, co może przekładać się na gorsze (niepełne) wyniki realizowanych czynności audytowych.

3) Zapewnienie niezbędnych uprawnień – audytorzy, aby móc wykonać swoje czynności w sposób należyty, powinni mieć zapewniony dostęp do całego obszaru organizacji, gdzie przetwarzane są dane osobowe (oczywiście w obecności i pod nadzorem pracowników zamawiającego). Dotyczy to zarówno miejsc, jak i również dokumentów, czy systemów informatycznych. Podobnie z resztą jakby to miało miejsce w przypadku kontroli realizowanej przez urzędników Urzędu Ochrony Danych Osobowych, z tą „małą” różnicą, że zamówiony audyt nie skończy się negatywnymi konsekwencjami dla organizacji. Wręcz przeciwnie – lepiej, aby wszelkie niezgodności zostały wykryte przez zamówionych audytorów niż przez nieoczekiwanych kontrolerów z organu nadzorczego.

Podsumowanie

Zarówno przebieg usługi wdrożenia RODO, jak i jej cena oraz czas potrzebny na realizację jest kwestią całkowicie indywidualną. Każda firma świadcząca „usługi RODO”, która planuje rzetelnie wywiązywać się ze swoich obowiązków, nim poda konkretną cenę wdrożenia, najpierw przeprowadzi rekonesans działań, które należałoby zrealizować w ramach świadczonej usługi. W przeciwnym razie (przy zaproponowaniu wyceny szablonowej i przedwczesnym osiągnięciu przyjętej, standardowej liczby roboczogodzin) może dojść do sytuacji, w której firma wdrażająca RODO, aby nie przekroczyć założonych kosztów, będzie realizowała swoje usługi poniżej oczekiwanej jakości.

Zaufaj naszemu 12 letniemu doświadczeniu i zapoznaj się z naszą ofertą wdrożenia RODO

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.