niedziela, 17 lipca 2022

Czy masz system ochrony danych osobowych, zgodnie z RODO, w swojej organizacji? A czy działa? A skąd to wiesz?



To było w ostatnią środę. Na linkedln napisał do mnie znajomy przedsiębiorca czy może przedzwonić?

Odpowiedziałem się, że nie ma problemu, po godzinie 17 może spokojnie do mnie zadzwonić i możemy chwilę porozmawiać.

I faktycznie, po 17, do mnie przedzwonił. Powiedział, że wie, że jestem ekspertem od RODO i ma drobne pytanko. 

Na takie pytania odpowiadam standardowo, że jak drobne to oczywiście niech pyta i postaram się pomóc ale jak to coś poważniejszego to uzyskanie odpowiedzi będzie go kosztować - w końcu zarabiam odpowiadając na pytania lub sam pytając, zapobiegając problemom, rozwiązując problemy i minimalizując straty czyli udzielając pomocy prawnej

Powiedział, że rozumie.  Wczoraj czytał jeden z moich artykułów i zrozumiał, że nie wie czy u niego w przedsiębiorstwie działa skuteczny system ochrony danych osobowych. Co prawda 4 lata kupił zestaw dokumentacji RODO od znajomej kancelarii i jakiś ekspert pomagał mu poprawić stronę 3 lata temu, ale po moim artykule nabrał wątpliwości czy to wystarczy.

Dopytałem, jak dużą ma firmę i czy przetwarza dużo danych osobowych?

Okazało się, że firma jest średnia, ma kilkadziesiąt pracowników i przetwarza "chyba" dużo danych osobowych.

Odpowiedziałem szczerze, że jakbym miał zgadywać, to system ochrony danych osobowych u niego jest pozorny i nieskuteczny. Jak chce wiedzieć co nie działa lub czego brak i co trzeba poprawić to trzeba zrobić audyt. Audyt średniego przedsiębiorstwa kosztuje u mnie od kilkunastu tysięcy w górę + VAT. Oczywiście po uzyskaniu odpowiedzi na parę dodatkowych pytań przedstawię konkretną ofertę. Audyt kończy się raportem z zaleceniami oraz moją ofertę - w czym mogę pomóc w działaniach naprawczych i ile to będzie kosztować. Oczywiście może działania korygujące lub naprawcze zlecić tak jak audyt mnie lub komuś innemu. Nawet mogę polecić parę kancelarii i ekspertów, którzy naprawdę się znają na ochronie danych osobowych, a nie tylko sprzedają dokumentację "podobno" zgodną z RODO.

Klient powiedział, że się zastanowi i się grzecznie pożegnał. Zobaczymy czy potraktuje ten wydatek jako inwestycję w bezpieczeństwo czy jako koszt. W sumie to "rozumiem". Na skuteczny system trzeba wydać od kilku do kilkaset tysięcy złotych (wdrożyć i utrzymać), a kary i odszkodowania to tylko od kilkudziesięciu tysięcy do kilku milionów złotych (tyle na razie maksymalnie nałożył PUODO), do tego koszty pomocy prawnej przed PUODO, WSA i NSA - kolejne kilkadziesiąt lub kilkaset tysięcy + utrata reputacji. No i co z tego, że coraz więcej kontrahentów wymaga bycia Compliance. No cóż przetrwanie czy rozwój nie są obowiązkowe jak mówi znajomy ekspert od zarządzania ryzykiem.

Jak obserwuję rynek, wykonują zlecenia audytów, aktualizacji lub naprawy systemu lub poprawy dokumentacji RODO to stwierdzam, że mimo tego, że prawo ochrony danych osobowych mamy w Polsce od ćwierć wieku, a RODO obowiązuje od 4 lat to:
1) nieliczni przedsiębiorcy i część sektora publicznego są świadomi swoich obowiązków z zakresu ochrony danych osobowych i utrzymują skuteczne i efektywne systemy ochrony danych osobowych,
2) spora część przedsiębiorców i sektora publicznego coś tam ma. Mniej lub bardziej pozornego lub nieskutecznego. Zwykle bardziej pozornego i mało skutecznego,
3) nadal spora część przedsiębiorców i sektora publicznego nie ma nic lub ma tylko półkownika - zakurzony i nieużywany segregator z niby dokumentacją RODO, której nikt nie czytał i nikt nie stosuje.

Dla mnie skuteczny i efektywny system ochrony danych osobowych to między innymi:
1) kwestia bezpieczeństwa organizacji i najwyższego kierownictwa,
2) kwestia przewagi konkurencyjnej,
3) kwestia odpowiedzialności - za brak, pozorność lub nieskuteczność systemu grozi odpowiedzialność administracyjna (finansowa), cywilna, karna,
4) kwestia kultury organizacyjnej.

Ludzie coraz bardziej są świadomi swoich praw i składają coraz więcej skarg do PUODO, a PUODO na nie reaguje.

PUODO prowadzi coraz więcej kontroli i nakłada coraz więcej kar.

Rośnie stres, zagrożenie cyberbezpieczeństwa itp - w każdym podmiocie w końcu dojdzie do naruszenia ochrony danych osobowych. Pytanie tylko kiedy i ile to będzie kosztować.

Mam teraz do ciebie trzy pytania:

1) Czy masz system ochrony danych osobowych w swojej organizacji? (bo jakieś dane osobowe na pewno przetwarzasz.
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 2.
 
2) Czy ten system działa skutecznie i efektywnie?
Jeżeli nie to masz problem. Jeżeli tak patrz pytanie nr 3.  

3) A skąd to wiesz?
Jeżeli robisz co rok audyty i kontrole (u różnych i sprawdzonych ekspertów) to super. Byle byś im płacić za to by naprawdę sprawdzili, a nie za certyfikat, że wszystko jest okey.
Jeżeli nie robisz audytów i kontroli to nie wiesz, a zgadujesz. I masz problem.
 
Niech moc RODO będzie z wami.
Ps a jak masz problem to wiesz jak się ze mną skontaktować :-) Wycenę robię indywidualnie pod klienta. Przy większych pracach montuję zespoły.