Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Jak co roku wielu z nas spędzać będzie Wielkanoc w różnych miejscach. Krótka chwila w jednym domu (rodzice/teściowie, rodzeństwo, znajomi, etc.), potem zmiana. Szczęśliwi Ci, co zmieniają miejsce raz: znani mi rekordziści przemierzą w te święta ponad 1.000 km goszcząc w 4 domach.
Tradycyjnie gospodarze nie wypuszczą gości bez spróbowania chociażby po kawałku mazurka, makowca, sernika, piernika, orzechowca, jabłecznika. Karpatki, murzynka, babki, sernika wegańskiego z awokado czy bezglutenowego brownie. Druga tura to zjedzenie co najmniej 3 porcji żurku/chrzanówki/białego barszczu/rosołu/niepotrzebne skreślić a potrzebne dopisać. Następnie należy to wszystko okrasić porcją tradycyjnej sałatki jarzynowej/ziemniaczanej/wiosennej/zwał jak zwał. W międzyczasie obowiązkowe podziwianie najpiękniejszych u gospodarza pisanek, koszyczków, stroików, etc.
Ci, co taki maraton przeżyją, wracają z uśmiechem na ustach do pracy, dojadając wiktuały otrzymane od gospodarzy na drogę i „na po świętach”, bo przecież – jak mawiała moja babcia – „w Warszawie nie masz przecież takiego dobrego”…
Jadąc kilkaset kilometrów w oczekiwaniu na nieuchronne uświadomiłem sobie, że tak naprawdę przez ostatnie pół roku ten sam scenariusz widzę na co dzień w życiu zawodowym. Przy czym nie przyjmuje on postaci „Wielkanoc”, ale postać „Wdrożenie RODO”. Gdzie się nie ruszyć, tam „gospodarze” zachwalają, że ich rozwiązania są najlepsze. Ich Rejestry Czynności najbardziej odpowiednie, ich procedury DPIA najdoskonalsze, a ankiety wyboru procesora najlepiej oddające istotę i sens tego wyboru.
W Kancelarii dostajemy szereg różnych zapytań o możliwość weryfikacji przygotowanych przez klientów wzorców, raportów z audytów, projektów umów, klauzul informacyjnych czy procedur przeprowadzania DPIA. Niejedno już widzieliśmy, od Exceli z 1000 wierszy i kilkuset kolumnami po procedury DPIA mieszczące się na 2 stronach A4 (z uwzględnieniem formularzy). Na bazie ostatnich 2 lat doświadczeń w RODO oraz trzydziestu kilku (w moim przypadku) doświadczeń wielkanocnych mogę pokusić się o trzy tezy, co wspólnego ma wdrożenie RODO z mazurkiem wielkanocnym.
1. Oba są bardzo słodkie.
W każdym domu mazurek wielkanocny jest najlepszy na świecie. Oczywiście sernik też jest najlepszy. O żurku i sałatce ziemniaczanej nie wspominając. (Niemal) nie ma takiego gospodarza, który z dumą przyznałby, że jego mazurek jest „taki średni, żeby tylko był”. Podobnie z wdrożeniami RODO, (niemal) każdy tzw. „ekspert od RODO” (czy to wewnętrzny, czy zewnętrzny) uważa, że jego metodyka, wzory, procedury są najlepsze. Najbardziej precyzyjne, najbardziej szczegółowe, najdłuższe, najkrótsze, najlepiej oddające RODO i opinie GR29, etc. Wszystko naj, podobnie jak z mazurkiem.
2. Użycie tych samych składników wcale nie oznacza, że wynik będzie ten sam.
W kuchni to oczywiste, co widać po różnych wynikach prac zarówno w Masterchefie, jak i każdej domowej kuchni. Gdyby dać 10 osobom takie same składniki w takich samych ilościach, i tak każdy mazurek/żurek/sernik/rosół będzie smakował inaczej. A przy RODO? Wszyscy mamy te same składniki (tekst RODO, projekty opinii GR29, komentarze, prasę, etc.), a i tak jeszcze nie widziałem dwóch takich samych wdrożeń RODO. Jedni w pierwszej kolejności definiują procesy, inni zabierają się za kategorie podmiotów danych, jeszcze inni za zbiory danych. Jedni DPIA robią na początku przy okazji inwentaryzacji, inni na końcu, jak już wdrożą wszystko „mniej więcej”, żeby nie trzeba było poprawiać i (nie daj Boże) konsultować z Prezesem Urzędu.
3. Gdzie kucharek sześć, tam nie ma co jeść.
W kuchni nie ma potrzeby wyjaśniać o co chodzi. We wdrożeniach RODO? Należy przyjąć własną drogę (może samodzielnie, może z pomocą doradcy). Dla wyjątkowo ostrożnych i starannych własną drogę można zaudytować. Ale jeśli jeden zespół/doradca przygotuje rejestr czynności przetwarzania, drugi napisze klauzule, trzeci przejrzy systemy IT i da rekomendacje do zmian, czwarty zajmie się analizą ryzyka, piąty przygotuje procedury, a szósty przeprowadzi szkolenia – to katastrofa murowana. Kontrola i audytowanie są ważne, ale konsekwencja w działaniu równie istotna. Pamiętając o tezie 1 i 2, nie da się z takiego patchworku zrobić czegoś dobrego. Nawet czegoś średniego się nie da.
PS: RODO naprawdę da się wdrożyć na wiele sposobów, nie wierzcie szarlatanom, którzy twierdzą że tylko oni posiedli patent na mądrość.
PS2: W odróżnieniu od mazurka wielkanocnego, który jutro musi być cały i skończony, RODO wdrażane będzie latami. 25 maja 2018 r. to tylko początek procesu, jakim jest „zgodność z RODO”. I często nie będzie wyjścia – trzeba zrobić rzeczy najważniejsze i najpilniejsze, odstawiając te z niższym priorytetem na później. I sztuką jest tylko umiejętnie dokonać priorytetyzacji. I tu właśnie przydaje się doświadczenie.
źródło: https://pl.linkedin.com/pulse/ograniczenie-prawa-audytu-w-umowach-powierzenia-marcin-serafin