Przy wsparciu zewnętrznym całość prac zlecana jest podmiotowi wyspecjalizowanemu w tematyce ochrony danych osobowych. Wymaga to starannego wyboru dostawcy takiej usługi. Tego typu podmioty to nie tylko kancelarie prawne, lecz także firmy doradcze lub firmy świadczące usługi z zakresu szeroko rozumianego bezpieczeństwa informacji. Zdarza się, że takie firmy na różnych warunkach współpracują ze sobą, biorąc odpowiedzialność za wybraną część wdrożenia (np. prawną albo technologiczną). Wybór doradcy należy poprzedzić jednak dogłębną analizą rynku, a kluczowym czynnikiem przy tym powinno być doświadczenie przy podobnych projektach związanych z ochroną danych osobowych.

O wyborze dostawcy w tego typu projektach nie powinna natomiast decydować sama cena. Wynika to z tego, że akurat przy wdrożeniu RODO jakość usługi ma niebagatelne znaczenie i wpływ na bezpieczeństwo prawne administratora danych lub podmiotu przetwarzającego.

Model ten wiąże się z pewnym istotnym ryzykiem, o czym warto pamiętać szczególnie wtedy, kiedy dane osobowe mają doniosłą wartość dla przedsiębiorstwa. Ryzyko to polega na niewystarczającym przyswojeniu przez kadry administratora lub podmiotu przetwarzającego niezbędnej wiedzy wykorzystywanej przy wdrożeniu RODO, jak też zdobywaniu przez kluczowe osoby zaangażowane w przetwarzanie danych bardzo ograniczonego doświadczenia w przetwarzaniu danych osobowych zgodnie z wymogami RODO. Niewątpliwą jego zaletą jest natomiast znikome zaangażowanie zasobów podmiotu, u którego następuje wdrożenie.

W modelu samodzielnym przedsiębiorcy wdrażają wymagania RODO w całości we własnym zakresie. W takim przypadku osoby legitymujące się odpowiednią ekspertyzą oraz doświadczeniem (np. w zakresie bezpieczeństwa) same tworzą plan wdrożenia i konsekwentnie go realizują. Samodzielne wdrożenie RODO wymaga rozległej wiedzy, często zdobywanej podczas wielu szkoleń zewnętrznych. Zaletą tego modelu jest gruntowne poznanie wymagań RODO i doświadczenie, które pozostaną w danej organizacji. Model takiego działania pozwala ograniczyć możliwość wystąpienia sytuacji, w której po 25 maja 2018 r. przedsiębiorca będzie zmuszony do korzystania z usług podmiotu zewnętrznego, który będzie nadzorował zgodność przetwarzania danych z nowym prawem.

Stosowany jest także model pośredni (mieszany), w którym administrator lub podmiot przetwarzający, planując wdrożenie RODO, określają zadania, które ze względu na poziom ich skomplikowania zostaną powierzone do wykonania wyspecjalizowanemu podmiotowi, a pozostałe prace wykonują we własnym zakresie. Takie podejście pozwala na zdobycie wiedzy i doświadczenia przez pracowników administratora lub podmiotu przetwarzającego umożliwiających dalsze samodzielne wykonywanie zadań w zakresie ochrony danych osobowych. Zmniejsza też ryzyko popełnienia błędów w kluczowych elementach wdrożenia przez wykorzystanie znajomości organizacji i procesów przedsiębiorstwa przez jego własnych pracowników. Korzystanie z pomocy wyspecjalizowanych zewnętrznych doradców ułatwia zaś rozwiązanie najtrudniejszych problemów i zapewnia wsparcie w celu umożliwienia wdrożenia na czas wymagań RODO. Model ten jednak wymaga dobrej koordynacji działań po stronie administratora lub podmiotu przetwarzającego i zapewnienia sprawnej współpracy między własnymi kadrami i zespołem zewnętrznego doradcy.

Więcej w Dzienniku Gazecie Prawnej z 30 stycznia 2018 r.