Ile godzin outsourcingu IOD potrzebujesz? Szczera odpowiedź brzmi: nie wiesz.
Share
Każda firma która pyta mnie o wycenę outsourcingu IOD chce jednego: przewidywalności. Ile to będzie kosztować miesięcznie. Ile godzin. Ile dokumentów. Chcę im dać tę odpowiedź. Problem polega na tym że nikt jej nie zna – łącznie ze mną.
Jest takie pytanie które dostaję regularnie od potencjalnych klientów.
"Ile godzin miesięcznie potrzebujemy?"
Odpowiem szczerze: to zależy od rzeczy których nie wiem na początku współpracy i których często nie wie też sam klient.
Zależy od tego czy za trzy miesiące wyciekną dane pracowników. Od tego czy dział marketingu właśnie planuje kampanię której jeszcze mi nie pokazał. Od tego czy za pół roku przyjdzie kontrola UODO. Od tego czy ktoś złoży wniosek o dostęp do danych w tym samym tygodniu gdy będzie wdrożenie nowego systemu CRM.
Żadna z tych rzeczy nie jest widoczna z zewnątrz gdy podpisuję umowę.
I właśnie dlatego wycena outsourcingu IOD jest jedną z najtrudniejszych rozmów które prowadzę.
Skąd się bierze zapotrzebowanie na godziny IOD
Zanim przejdziemy do wyliczeń – warto rozumieć z czego składa się praca IOD w organizacji.
Jest praca planowa. Aktualizacja rejestru czynności przetwarzania. Przegląd i aktualizacja dokumentacji. Szkolenia pracowników. Opiniowanie nowych procesów i umów. Raporty dla zarządu. To jest część którą da się z grubsza zaplanować i wycenić.
I jest praca reaktywna. Incydenty bezpieczeństwa które trzeba obsłużyć w 72 godziny. Wnioski od osób których dane dotyczą – na odpowiedź masz miesiąc ale zebranie danych ze wszystkich systemów może zająć tydzień intensywnej pracy. Kontrole UODO. Skargi. Nowe wdrożenia które ktoś zaplanował bez wiedzy IOD i które trzeba zalegalizować na wczoraj.
Praca planowa jest przewidywalna. Praca reaktywna nie jest – i to ona decyduje o tym czy miesięczny pakiet godzin wystarczy.
Dlaczego firmy B2B wydają się prostsze – i dlaczego to złudzenie
"Jesteśmy firmą B2B. Nie mamy klientów indywidualnych. Przetwarzamy głównie dane kadrowe i dane kontrahentów. To chyba prostsze niż sklep internetowy z milionem klientów."
Częściowo mają rację.
Firma B2B która przetwarza dane wyłącznie własnych pracowników i reprezentantów kontrahentów ma faktycznie mniejszą powierzchnię ryzyka niż firma B2C z dużą bazą konsumentów. Mniej podmiotów danych. Mniej wniosków. Mniej skarg. Mniej incydentów wynikających z masowego przetwarzania.
Do tego działy kadr w wielu firmach B2B wykształciły przez lata własne procedury – wiedzą jak obsługiwać dokumentację pracowniczą, wiedzą co wolno przechowywać i jak długo. IOD w takim środowisku ma więcej czasu na proaktywną pracę a mniej na gaszenie pożarów.
Ale tu zaczyna się złudzenie.
Firma B2B która ma złą prasę. Która działa w regulowanej branży. Która prowadzi ryzykowne działania marketingowe wobec innych firm. Która ma spory z byłymi pracownikami. Która właśnie przechodzi fuzję albo restrukturyzację.
Ta firma może pochłonąć dwukrotnie więcej godzin IOD niż sklep internetowy z pięćdziesięcioma tysiącami klientów.
Bo incydenty nie mierzą się liczbą podmiotów danych. Mierzą się ich wagą i konsekwencjami.
Co widać z zewnątrz a czego nie widać
Gdy przychodzę do nowego klienta widzę to co mi pokazuje.
Widzę obecną dokumentację – rejestr czynności przetwarzania, politykę prywatności, umowy powierzenia. Widzę strukturę organizacyjną. Widzę systemy które deklarują że używają. Widzę liczbę pracowników i ogólny profil działalności.
Nie widzę planów marketingowych które są w głowie dyrektora sprzedaży. Nie widzę że za dwa miesiące firma wdroży system do monitorowania produktywności pracowników który będzie wymagał całkowicie nowej dokumentacji. Nie widzę że dział HR ma zwyczaj przechowywać CV kandydatów przez pięć lat bez żadnej podstawy prawnej. Nie widzę że prezes właśnie podpisał umowę z nowym dostawcą SaaS bez klauzul RODO.
Tego nie widzi nikt z zewnątrz. Czasem tego nie widzi nawet sam klient.
I właśnie te niewidoczne rzeczy decydują o tym ile pracy będzie.
Jak próbować to szacować
Nie ma wzoru który działa zawsze. Ale jest kilka czynników które pomagają zbudować realistyczne szacowanie.
- Liczba pracowników jako punkt wyjścia.
- Branża jako mnożnik ryzyka.
- Historia incydentów i postawa wobec compliance.
- Dynamika zmian w organizacji.
Dlaczego model "pakiet godzin" ma swoje granice
Popularnym rozwiązaniem w outsourcingu IOD jest pakiet stałej liczby godzin miesięcznie. Dziesięć godzin. Dwadzieścia. Trzydzieści.
To rozwiązanie jest wygodne dla obu stron. Klient wie ile płaci. IOD wie ile czasu planuje.
Problem pojawia się gdy w jednym miesiącu wpada incydent naruszenia danych wymagający pełnej obsługi.
Albo gdy UODO wszczyna postępowanie.
Albo gdy firma w ciągu jednego kwartału wdraża trzy nowe systemy IT i podpisuje pięćdziesiąt nowych umów z dostawcami które wymagają analizy pod kątem powierzenia danych.
W takich miesiącach dziesięć godzin to jak próba zgaszenia pożaru wiadrem wody.
Gotowe – poprawiona sekcja do wklejenia:
Jak podejść do rozmowy o wycenie
Najlepszym punktem wyjścia do rozmowy o stałej obsłudze jest audyt.
Nie dlatego że to wygodne dla mnie jako IOD. Dlatego że bez audytu każda wycena godzin jest wróżeniem z fusów. Audyt pokazuje stan dokumentacji, luki w procesach, liczbę i rodzaj systemów które przetwarzają dane, jakość istniejących umów powierzenia i ogólną kulturę compliance w organizacji. Dopiero z tym obrazem można powiedzieć cokolwiek sensownego o tym ile godzin miesięcznie będzie potrzebnych.
I tu jest rzecz której wiele firm się nie spodziewa: dziesięć godzin miesięcznie to całkiem sporo.
Brzmi mało. W praktyce – przy firmie która ma już jako taką dokumentację, ustabilizowane procesy i świadomych pracowników – dziesięć godzin miesięcznie w zupełności wystarczy na bieżące utrzymanie compliance, konsultacje i opiniowanie standardowych spraw. Większość spokojnych miesięcy nie wymaga więcej.
Problem pojawia się gdy organizacja generuje dużo pracy reaktywnej.
Jeśli pracownicy mają niską świadomość RODO i każda prosta decyzja wymaga tłumaczenia od podstaw – godziny znikają szybciej niż przy firmie gdzie kultura compliance jest zakorzeniona. Jeśli pojawia się dużo wniosków podmiotów danych – dostęp do danych, usunięcie, sprzeciw – każdy z nich wymaga zebrania informacji ze wszystkich systemów, przygotowania odpowiedzi i dokumentacji. Przy kilku wnioskach miesięcznie pakiet godzin kurczy się zauważalnie.
W takich przypadkach warto rozważyć nieco większy pakiet na start – i weryfikować go po trzech miesiącach gdy oboje wiemy już jak naprawdę wygląda zapotrzebowanie.
Audyt na wstępie pozwala to oszacować z sensem. Bez niego – zarówno klient jak i IOD strzelają w ciemno.
Realne pytania które dostaniesz pod tym artykułem:
Ile kosztuje audyt RODO i czy warto go robić przed podpisaniem umowy na stałą obsługę?
Warto – i to z perspektywy obu stron. Klient dostaje rzetelny obraz stanu compliance zamiast domysłów. IOD dostaje dane do uczciwej wyceny zamiast pakietu który może być za mały albo za duży. Koszt audytu dla małej firmy zaczyna się zazwyczaj od kilkuset złotych za przegląd dokumentacji i podstawowe wzory do kilku tysięcy przy pełnym wdrożeniu z zaleceniami. Często jest też wliczany w pierwszą fakturę stałej obsługi jeśli klient decyduje się na współpracę – to uczciwe rozwiązanie bo obie strony mają interes w tym żeby audyt był rzetelny.
Czy mogę samodzielnie wdrożyć RODO a IOD zatrudnić tylko do bieżących konsultacji?
Tak – i teoretycznie to jest model który powinien działać. Właściciel lub wyznaczony pracownik przeprowadza podstawowe wdrożenie korzystając z dostępnych materiałów i narzędzi. IOD zewnętrzny weryfikuje i pozostaje dostępny na kilka godzin miesięcznie.
W praktyce rzadko działa tak dobrze jak na papierze.
Nie dlatego że właściciel jest niestaranny. Dlatego że nikt nie lubi działać na cudzych wzorach i standardach których nie rozumie w pełni i z którymi nie czuje związku. Dokumentacja wdrożona samodzielnie na podstawie gotowych szablonów ma tendencję do leżenia w szufladzie i starzenia się – bo nikt nie czuje odpowiedzialności za jej aktualizację.
IOD który wchodzi do organizacji z taką dokumentacją ma dwa wyjścia. Albo pracuje na czymś co jest niedopasowane do rzeczywistości firmy i co będzie generować problemy. Albo małymi krokami wypiera zastany stan na własne standardy – co i tak kończy się de facto wdrożeniem, tylko rozciągniętym w czasie.
Dlatego lepszym rozwiązaniem jest gdy IOD lub firma obsługująca oferuje nie tylko outsourcing bieżący ale też wdrożenie jako osobną usługę. Dokumentacja zbudowana przez tego samego specjalistę który będzie ją później obsługiwał jest spójna, zrozumiała i żywa – bo IOD rozumie dlaczego ma taki a nie inny kształt. A klient dostaje system który naprawdę działa zamiast segregatora który spełnia tylko wymóg formalny.
Jak wygląda typowy spokojny miesiąc w outsourcingu IOD i co zjada te godziny?
W spokojnym miesiącu bez incydentów i bez dużych wdrożeń godziny schodzą na kilku rzeczach. Bieżące konsultacje mailowe i telefoniczne – pracownik pyta czy może wysłać dane kontrahentowi, dział marketingu pyta o zgodność nowej kampanii, HR pyta jak długo trzymać CV. Przegląd rejestru czynności przetwarzania gdy pojawia się nowy dostawca lub nowy proces. Opiniowanie umów z dostawcami pod kątem klauzul RODO. Może krótkie szkolenie dla nowego pracownika. W firmie z ustabilizowaną dokumentacją to spokojnie mieści się w sześciu do ośmiu godzin. Zostaje bufor na nieprzewidziane.
Co się dzieje gdy w jednym miesiącu wpadnie incydent i pakiet godzin jest niewystarczający?
Incydenty nie pytają czy masz wolne godziny w pakiecie.
Dlatego w mojej praktyce podchodzę do tego pragmatycznie. Spokojne miesiące w których nie wykorzystujemy pełnego pakietu traktuję jako bufor a nie jako nadpłatę do rozliczenia. Gdy wpada kryzys – naruszenie danych, pilny wniosek, nieoczekiwana kontrola – nie zaczyna się rozmowa o tym ile godzin zostało i co doliczyć do faktury. Zaczyna się praca.
To nie jest naiwność biznesowa. To jest logika długoterminowej współpracy.
IOD który zostawia klienta z problemem dlatego że skończyły się godziny w pakiecie nie jest partnerem w compliance. Jest dostawcą usługi która kończy się w połowie kryzysu. Takiego modelu nie chcę i klientom też nie polecam go szukać.
Z drugiej strony – ta elastyczność działa w obie strony. Klient który rozumie że spokojne miesiące finansują intensywne i który nie analizuje każdej godziny jak taksówkarz na liczniku – to klient z którym można zbudować sensowną relację na lata.
Kryzys w ochronie danych może przyjść zawsze. Jedyne co można zrobić to mieć kogoś kto będzie wtedy po Twojej stronie – zamiast sprawdzać paragraf umowy.
Czy mały sklep internetowy potrzebuje więcej godzin IOD niż firma B2B z pięćdziesięcioma pracownikami?
Niekoniecznie – ale z innych powodów. Sklep internetowy ma dużo podmiotów danych i potencjalnie dużo wniosków od klientów – prawo do usunięcia danych, prawo do dostępu, wycofanie zgody marketingowej. To generuje regularną pracę reaktywną. Firma B2B ma mniej podmiotów danych ale może mieć bardziej skomplikowane relacje z dostawcami i kontrahentami – więcej umów do analizy, więcej powierzeń do uregulowania. Który model jest bardziej wymagający zależy od konkretnej organizacji a nie od etykietki B2B czy B2C.
Jak sprawdzić czy IOD z zewnątrz naprawdę pracuje te godziny za które wystawia fakturę?
To uczciwe pytanie i warto je zadać przed podpisaniem umowy. Dobry IOD prowadzi ewidencję czasu pracy i powinien być gotowy przedstawić raport miesięczny z rozbiciem na zadania. Nie żeby rozliczać każde pięć minut – ale żebyś wiedział co było robione i miał możliwość oceny czy to ma sens. Jeśli IOD nie chce lub nie potrafi opisać co robił w danym miesiącu – to jest problem. Transparentność w tym modelu współpracy jest warunkiem koniecznym zaufania.
Czy warto zainwestować w szkolenia pracowników żeby zmniejszyć zapotrzebowanie na godziny IOD?
Zdecydowanie tak – i to jest jedna z najlepszych inwestycji w compliance jaką firma może zrobić. Pracownik który rozumie podstawy RODO generuje mniej pytań do IOD, rzadziej popełnia błędy które trzeba naprawiać i wcześniej zgłasza sytuacje które mogą być incydentami. W praktyce jedno dobrze przeprowadzone szkolenie dla zespołu może zmniejszyć zapotrzebowanie na godziny konsultacyjne o kilkanaście procent przez kolejne miesiące. To jest też obszar gdzie audyt wstępny jest pomocny – pokazuje poziom świadomości w organizacji i pozwala zaplanować szkolenie które trafia w rzeczywiste luki a nie jest ogólnym przeglądem przepisów.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.