RODO to wielowątkowa i złożona regulacja, której wdrożenie wymaga zaangażowania praktycznie wszystkich komórek organizacyjnych.
Dlatego nie jest dla nas niespodzianką to, że działania dostosowawcze do RODO przerastają możliwości wielu firm. Aktualnie obserwujemy zmagania z krótkim czasem, jaki pozostał do daty wejścia przepisów w życie.
5 wyzwań w procesie wdrażania RODO, gdzie audyt wewnętrzny powinien pomóc
Wiele aspektów dostosowania w praktyce okazało się trudniejszych niż zakładano. Możemy wydzielić grupę wyzwań wynikających z materii rozporządzenia oraz grupę związaną z zarządzaniem projektem dostosowania. Pierwsze wynikają z jego rewolucyjnego charakteru – określenia celów bez podania sposobów ich osiągnięcia. Druga grupa to typowe zmagania z zarządzaniem zakresem, harmonogramem i budżetem prac.
1. Dobry plan projektu
Wdrożenie jest wieloetapowe i angażuje bardzo wiele osób. Kluczowe jest szczegółowe zdefiniowanie zadań, przypisanie odpowiedzialności i monitorowanie postępu prac. Wyzwaniem jest aktualizacja planu prac, gdyż pierwsze etapy mają charakter diagnozy i lista zadań tworzona jest w trakcie projektu. Pierwszy harmonogram jest z natury obarczony znacznym błędem i brak rezerwy czasowej na prace dodatkowe ma poważne konsekwencje dla terminowości dostosowania.
2. Przemyślane podejście i metodyka
Błędy i pominięcia kumulują się. Jeżeli wyniki prac mają spełniać wymogi jakościowe, konieczne będą uzupełnienia i poprawki. Dlatego nieprzemyślane podejście mści się wielokrotnie. Najpoważniejsze konsekwencje wynikają z niedostatecznego zakresu inwentaryzacji czynności przetwarzania.
3. Dobre narzędzia
Jak w każdym działaniu, dobre narzędzia zwiększają skuteczność działania. Dyscyplinują, gdyż każą podążać za metodyką. Ułatwiają również konsolidację informacji z wielu źródeł. Warto pójść za ciosem i na podstawie metodyki opracować narzędzia. To mogą być proste rozwiązania, jak tabele w arkuszach kalkulacyjnych.
4. Podejście procesowe
RODO posługuje się pojęciami celów i czynności przetwarzania danych osobowych. To domena zarządzania procesowego, ale zarządzanie procesowe nie jest domeną wielu firm. Wdrożenie wymogów RODO oznacza konieczność „odrobienia zaległej pracy domowej” z zakresu mapowania procesów i przepływu danych.
Ocena dostawców oraz ryzyka, jakie generują dla kupującego to część dobrych praktyk, ale tylko najlepsi je do tej pory stosowali. Przy przyjętej w RODO konstrukcji odpowiedzialności za naruszenie ochrony danych, proces ten musi być wdrożony w odniesieniu do dostawców, którzy są bezpośrednio zaangażowani lub mają wpływ na przetwarzanie danych osobowych.