Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Dzień dobry,

Dziś byłem na konferencji organizowanej przez Krajową Izbę Radców Prawnych, na które omówiony został raport przygotowany przez niezawodnego prof. Sowińskiego na temat „Strategie konkurowania indywidualnych kancelarii radców prawnych – jak rozwijać swoje praktyki w konkurencyjnym otoczeni”. Od razu muszę powiedzieć, że zebrano w nim bardzo dużo „mięsistego” materiału.

Sugeruje każdemu prawnikowi pobranie tego raportu. Jeszcze nie wiem gdzie i kiedy będzie dostępny, ale naprawdę warto, bo zawiera on instrukcje budowania kancelarii. Muszę przyznać, że dawno nie byłem na tak doskonałym i merytorycznym spotkaniu.

Na początek kilka myśli, które zapamiętałem (bez urazy, czasem mogą być wyciągnięte z kontekstu):

„zarządzanie prawnikami, to jak zarządzanie kotami”

„uczyć się mikro kompetencji”

„sądownictwo wyspecjalizowane”

Od ponad roku zastanawiałem się jaka jest misja mojej firmy. Jadąc na konferencje napisałem do Przemka taką oto odpowiedź na moje „The Why?”

Misja naszej firmy to zmieniać świat na lepsze poprzez dostarczanie narzędzia lub raportu z analizy ryzyka dzięki którym można zmniejszyć ryzyko dla organizacji i jej otoczenia.

To powyższe zdanie to jedna z ważniejszych części tej konferencji. A teraz opiszę krótko co ja powiedziałem jako komentarz do raportu:

Na wstępie zgodziłem się ze znakomitą większością tez opublikowanych w raporcie. Przez cały czas prezentacji przytakiwałem. Tak sobie myślę, że de facto to moja droga.

Moje doświadczenie pozwoliło mi spojrzeć na rynek z różnych perspektyw i uciec  do przodu.

Po pierwsze, pracując w jako dyrektor biura prawnego, zaobserwowałem trend spadku stawek wielkich firm prawniczych. Zatem na rynku mniejszych kancelarii pojawił się nowy konkurent – wielka firma prawnicza posiadająca znaczne zasoby ludzi, wiedzy (doświadczenia) i pieniędzy. Taka firma może łatwiej zaangażować w pozyskanie klienta, szybciej jego obsłużyć, a dodatkowo ma środki na wsparcie swojego procesu usługami IT, choćby na etapie testowania.

Drugim ważnym tematem jest specjalizacja małej kancelarii, by świadczyć najlepszą usługę na rynku w swojej specjalizacji. Co ma aspekt pozytywny: specjalizacja ułatwia promocje, konkretyzuje działania na rynku, daje szanse zbudowania przewagi konkurencyjnej. Ale też czasem negatywny, bo jak się źle wybierze to specjalizacja może stać się dość nużąca.

Trzeci to trend wzrostu zatrudnienia w przedsiębiorstwach prawników in-house. Z perspektywy prawnika przedsiębiorstwa odpowiedzialnego za budżet to świetnie rozwiązanie. bo ma stale określone koszty oraz ręce do pracy. Dzięki temu też unika problemu z przekroczonymi budżetami kancelarii zewnętrznych oraz chodzeniem do swoich przełożonych z prośbą o akceptacje dodatkowych kosztów kancelarii zewnętrznych.

Co my zrobiliśmy w DAPR? Skupiliśmy się na RODO i AML, bo tam łączy się wiedza IT i prawna, a nawet skupliśmy się na istotnym fragmencie tych regulacji tj. na aspekcie analizy ryzyka. Ogarnęliśmy zarządzanie Outlookiem jako miejscem przychodzenia zleceń, dzięki czemu zestawienie czasu pracy generuję wprost z zadań Outlook i kontroluje ustalone z klientami budżety. Zbudowaliśmy narzędzie do przygotowania analizy ryzyka pod kątem RODO – tak by raport ostateczny miał jak najwięcej korzyści dla klienta. Oba narzędzia zbudowaliśmy dla nas, ale postanowiliśmy je skomercjalizować! Mamy całą masę dalszych pomysłów, które dojrzewają w kolejce, bo – no właśnie – doby nie starcza.

Dalej kontynuowałem o tym, że doby nie starcza

To problem małych kancelarii, w której prawnik zarządzający musi postawić się we wszystkich lub przynajmniej wielu rolach tj. pozyskać klienta, dowieźć zlecenie na czas i jakościowo odpowiednie, rozliczyć, a przy tym pozyskać i zarządzić pracownikami, dostawcami, dokształcać się, pisać bloga, myśleć jak dalej uciekać do przodu, prowadzić księgowość, podatki i dokonywać płatności.

Nie wszystkie zadania nam leżą, ale pewnie wszyscy wiemy, że nie ma praktycznej możliwości rezygnacji z którejkolwiek z nich. Wszystkie te prace wymagają różnych cech, a muszą być wykonywane przez każdego przedsiębiorcę – każdego prawnika.

Co my robimy? Jedynym sposobem na rozwijanie firmy widzę w dzieleniu się zadaniami i delegowaniu pracy w dół. W tym celu muszę zatrudniać ludzi, którym mogę zaufać. Dlatego dla nas bardzo ważny jest proces rekrutacji. Kolejnym krokiem jest standaryzacja, standaryzacja, standaryzacja wszystkich czynności. Dzięki temu staramy się tworzyć usługi powtarzalne.

A jak mamy powtarzalną usługę, to możemy ją automatyzować. Do zakresu tych klasycznych czynności zarządcy, o których mówiłem wcześniej, dopisujemy zarządzanie procesowe organizacją.

I przeszedłem płynnie do punktu: automatyzuj co się da

To bardzo ważne, by móc konkurować lub współpracować z największymi kancelariami na naszym rynku nasza firma musi dowozić usługi w czasie i jakości przewidywalnej i ustalonej. A jak wiecie nie wszystko sam robię, więc znowu: ludzie, to podstawowy element, standaryzacja to ważny element i automatyzacja to kolejny ważny element.

Jak automatyzujemy? Czas pracy zlicza się niejako przy okazji wysyłania e-maili z Outlooka; podstawową dokumentację dla klientów tworzymy z automatu, analizę ryzyka bo z tego jesteśmy znani, mamy na wpół zautomatyzowaną, ale i to niebawem zautomatyzujemy. Po prostu musimy mieć większą bazę danych.

Na razie nie możemy odejść od niektórych eksperckich ocen – ale właśnie to chcę podkreślić, bo to jest miejsce dla prawnika – konsultanta – eksperta nawet w zautomatyzowanym świecie. Zawsze na jakimś etapie jest potrzebny zdrowy rozsądek. Nie wszystko jeszcze można zautomatyzować, ale z każdym dniem coraz więcej. Dlatego uważam, że prawnicy nie znikną z rynku, bo zawsze wiedza ekspercka będzie potrzebna, acz trzeba zachować czujność.

Co teraz planujemy:

  • Tworzymy platformę e-learning dla szkoleń z RODO i AML.
  • Tworzymy pierwszego naszego chat bota, na potrzeby konkursu Fundacji Legaltech.
  • Rozwijamy naszą aplikację do analizy ryzyka tak by można było analizować ryzyko wynikające z RODO.

Moja konstatacja nr 1 odnośnie najpopularniejszej obawy: „prawnicy znikną z rynku”. Prawnicy nie znikną z rynku, bo ilość tworzonego na świecie dokumentów na to nie pozwoli. Ale mam wrażenie, że znikać zaczną prawnicy, którzy w odpowiednim czasie nie wspierają się IT w swojej działalności.

Konstatacja nr 2 – warto śledzić fundację legaltech mec. Tomasza Zalewskiego, bo to miejsce dla wielu inspiracji.

Moja wypowiedź wpisywała się we wnioski z raportu, to o tyle cieszy, że wygląda na to, że moja kancelaria start up wpisuje się w trend rynkowy, więc może ma szanse na przeżycie, a może nawet jakieś sukces, prawda?

Pozdrawiam Was serdecznie

Mikołaj

***

Polecam mój poprzedni wpis o korzyściach z analizy ryzyka

Sprzedaż organizacji a analiza ryzyka

Mikołaj Otmianowski15 października 2019Komentarze (0)

Witajcie ponownie,

Ostatnio pisałem o korzyściach dla właścicieli/managerów jakie korzyści biznesowe przynosi przeprowadzenie analizy ryzyka. Teraz napiszę o korzyściach z wykonania analizy ryzyka związanych z rozwojem organizacji, a potem przygotowania spółki/biznesu do sprzedaży.

Natchnieniem dla tego wpisu było dzisiejsze spotkanie grupy roboczej ds. stworzenia kodeksu RODO dla centów handlowych, na którym padło pytania czy nie warto w kodeksie poruszyć kwestii związanych z przejściem własności centrum handlowego vs. przetwarzanie danych osobowych.

Temat wydaje się dość banalny, bo trzeba zrobić audyt. Tak, ale?

Marriott case – 99 mln funtów kary, o czym kiedyś czytałem, ale dopiero dziś dotarło do mnie za co kara!

Wiecie za co ICO (brytyjski organ ds. ochrony danych osobowych) nałożył tak wysoką karę na Marriott? Dla przypomnienia krótki rys historyczny. Marriott nabył spółkę, która miała wielki wyciek danych osobowych przed umową nabycia przez Marriott (trzeba przyznać solidna porcja wrażliwych danych). ICO nałożył wielomilionową karę na Marriott, bo jest właścicielem aktywa i po dowiedzeniu się o wycieku, który nastąpił ponad 2 lat, nic z tym nie zrobił. To robi wrażenia, prawda?! Sam nie wiem co bym doradził Marriottowi, bo w sumie jakie znaczenie ma informowanie ludzi o wycieku po dwóch latach albo więcej.

Korzyści z przeprowadzenia analizy ryzyka związanych z rozwojem organizacji

Ja upatruję największej korzyści dla organizacji w tym, że organizacja może dokonać autoanalizy. Sprawdzamy jakie mamy procesy, jakie dane w nich przetwarzamy, gdzie, jak długo, gdzie je przechowujemy komu udostępniamy lub powierzamy. W ramach audytu weryfikujemy jakie usługi mamy zamówione, sprawdzamy jak pracownicy pracują, robimy przegląd umów oraz ustalamy jakimi aktywami posługujemy się w ramach procesów zidentyfikowanych w organizacji.

Przegląd procesów w których przetwarzane są dane osobowe często definiuje 100 % procesów w organizacji. Niezależnie taka analiza często wspiera dział finansowy w zidentyfikowaniu zbędnych wydatków i ich eliminacje.

Tak zgromadzoną wiedzę można doskonale wykorzystać do zaplanowania budowy organizacji opartej na powtarzalnych procesach. Organizacji zbudowanej jako sprawny system do zarabiania pieniędzy, w którym każdy wie co ma robić.  Sprawna organizacji  zarządzana procesowo jest pożądaną inwestycją dla inwestora, czyli…

Korzyści z przeprowadzenia analizy ryzyka związane ze sprzedażą organizacji

W ramach due dilligence nabywca powinien zweryfikować nabywaną organizację. Każdy nabywca dąży do znalezienia jak największej ilości niedoskonałości organizacji, bo to obniża cenę którą musi zapłacić. Jednym z zasadniczych elementów badania mających wpływ na wysokość wyceny jest realizacja wdrożenia RODO.

Jeśli organizacja nie ma wdrożonego RODO lub wdrożyła RODO niedoskonale, to czkawką się jej to odbije w momencie  udostępnienia dokumentów nabywcy w data roomie. Jeśli jednak organizacja przedstawi potencjalnemu nabywcy analizę ryzyka, podstawowe rejestry, procedury i będzie w stanie udokumentować realizację wdrożonych procedur, to taka organizacja powinna zostać doceniona przez inwestora. Due dilligence to często zero jedynkowa odpowiedź na pytania “jest” lub “brak” lub “nie dotyczy”.

Poza tym taka analiza ryzyka i rejestr czynności może być doskonała mapą drogową dla nabywcy, który dzięki temu może poznać organizację szybko i dokładnie. Podobnie jak korzyści dla managera, o którym wpisałem we wcześniejszym wpisie.

Jak widzicie analiza ryzyka może być dla waszego biznesu trampoliną do rozwoju!

pozdrawiam

Mikołaj

***

Przeczytaj też: analiza ryzyka

Aplikacja – pierwsze uwagi z testów

Mikołaj Otmianowski14 października 2019Komentarze (0)

Witajcie,

W piątek dostaliśmy pierwszy feedback od współpracującej z nami kancelarii w zakresie praktycznych uwag do naszej aplikacji do analizy ryzyka. Dla nas to bardzo cenne, bo dzięki temu jesteśmy w stanie usprawniać aplikacje pod kątem UXowym.

Osobiście trochę się bałem tego momentu, bo różnie mogło być – na szczęście uwagi dotyczyły zmian, o których wcześniej myśleliśmy. Dlatego zmiany wdrożymy już wkrótce. Pewnie jeszcze w październiku, a część już wdrożyliśmy.

Aplikacja jest już gotowa do korzystania. Jeśli chcesz przetestować lub kupić licencje to zapisz się poprzez naszą stronę.

Po wprowadzeniu zmian UX się jeszcze poprawi.

Dlatego jeśli interesujesz się wykonaniem porządnej logicznie uzasadnionej analizy ryzyka RODO, to zapraszam do zapoznania się z naszą metodyką na szkoleniu oraz skorzystania z naszej aplikacji do przygotowania analizy ryzyka wraz z planami postępowania.

Pamiętaj, to teraz jest doskonały moment na prezentacje, bo pewnie tworzycie budżety na przyszły rok i to ten moment w którym możecie zaplanować w budżecie zakup aplikacji, która Ciebie wspomoże w pracy nad RODO w twojej organizacji. Przypominam najważniejsze funkcjonalności naszej aplikacja:

  1. kompleksowa analiza ryzyka, w tym DPIA,
  2. rejestr czynności
  3. rejestr kategorii
  4. upoważnienia dla osób uprawnionych do przetwarzania danych osobowych

Wszystko razem logicznie połączone i zintegrowane.

Jeszcze raz zapraszam do kontaktu!

Mikołaj

PS. nich ciebie nie odstrasza to, że ulepszamy aplikacje. W ramach licencji zapewnimy Tobie stałą aktualizację i migracje danych.

***

Przeczytaj też: Jakie korzyści uzyskasz z przeprowadzenia analizy ryzyka w Twojej organizacji?

 

Dziś do analizy ryzyka podejdę z innej strony. Mianowicie chciałbym nakreślić jakie korzyści możesz osiągnąć Ty – jako manager, zarządca, inspektor ochrony danych (tj. IOD, DPO) w swojej organizacji. Korzyści z przeprowadzenia analizy ryzyka RODO oczywiście.

W pierwszej kolejności zgodność z prawem (compliance), to korzyść sama w sobie, bo w przypadku kontroli UODO taka analiza może być niezbędna.

Pewnie myślisz, że “kontakt z urzędem mi nie grozi, dane które przetwarzam nie są “wrażliwe”, lub ”jestem za mały, kto by się mną interesował, urząd do mnie nie przyjdzie”.

Zwróć jednak uwagę, że wystarczy że “zgubisz” niezaszyfrowany telefon z danymi osobowymi, komputer lub pendrive (a kto takiego nie ma?!). Takie zdarzenie będzie prawdopodobnie kwalifikowało się do zgłoszenia do Prezesa UODO, jako naruszenie.

Korzyści z analizy ryzyka

I fakt, możliwe, że naruszenie nie będzie znaczne i urząd nie uzna tego zgłoszenia jako  przypadku, którym się warto zająć. Ale może być inaczej i urząd poprosi  o ocenęzabezpieczeń w Twojej organizacji. A taką oceną zabezpieczeń jest właśnie ocena ryzyka.

Skala problemu rośnie wraz z liczbą zatrudnionych pracowników i osób, które organizacja obsługuje. To proste – im skala jest większa, tym większa szansa na naruszenie podlegające zgłoszeniu do organu nadzorczego.

Drugi ważny aspekt, który dla mnie osobiście jest kluczowy i stanowi clue mojego zaangażowania w analizę ryzyka, to spojrzenie na firmę z góry. O co dokładnie mi chodzi.

Ano właśnie o to, aby wykonać prawidłowo analizę ryzyka w ramach, której będziesz mógł zastosować odpowiednie środki techniczne i organizacyjne do ryzyka związanego z przetwarzaniem.

W pierwszej kolejności  musisz zinwentaryzować (zmapować) organizację, tj. ustalić czynności przetwarzania – procesy (wraz z celami przetwarzania), w ramach procesów ustalić zakres danych przetwarzanych, jakich rodzajów osób te dane dotyczą, a ponadto zastanowić się jakich “narzędzi” używasz w celu przetwarzania tych danych.

Z doświadczenia wiemy, że często okazuje się, że co dział to obyczaj. Każdy ma narzędzia do tej samej czynności, za które organizacja  płaci, a one nie komunikują się między sobą (np. komunikatory, narzędzia do zarządzania zadaniami, do przechowania plików itp.).

To wszystko staje się widoczne kiedy przeprowadzasz audyt przetwarzania danych osobowych.Tak więc efekt dla twojej organizacji to między innymi oszczędności + lepsza organizacja procesów, w szczególności przechowywania i wymiany danych.

Trzecia korzyść dla ciebie wynikająca z analizy ryzyka, to … przegląd klientów

Tak. Nie pomyliłem się. W ramach analizy ryzyka “oglądasz” swoich klientów. Jakie dane dla nich przetwarzasz, jakie usługi dla nich świadczysz. Weryfikujesz, czy robisz to bezpiecznie.

Przeglądasz umowy z nimi zawarte. W efekcie przy okazji takiej analizy otwiera się masa szans sprzedażowych – dla nowych usług lub produktów, aktualizacji. Ze wszystkich szkoleń sprzedażowych w których uczestniczyłem wynika, że największy potencjał na sprzedaż tkwi w dotychczasowych klientach, którzy znają ciebie i twoje produkty.

Zatem przyjrzyj się procesowi sprzedaży i świadczenia usług, a następnie zastanów się, jak wykorzystać informacje zebrane o klientach w procesie analizy ryzyka.

Czwarta korzyść: CSR, czyli corporate social responsibility, tzw. społeczna odpowiedzialność biznesu

Dane osobowe to modny temat. Wszyscy chcą być zgodni z RODO, z moich doświadczeń wszyscy wdrożyli RODO, ale niektórzy ciągle nie rozumieją o co w tym chodzi.

Szacowanie ryzyka to projekt w którego orbitę można wciągnąć więcej osób w organizacji, dzięki temu organizacja może pokazać, że zależy jej na danych: danych klientów, danych pracowników, danych kontrahentów. I nie mówię tylko o danych osobowych, choć to bardzo ważne. Chodzi mi również o dane biznesowe. Twoi ludzie widząc, że dbasz o dane osobowe, też będą o nie dbali. W nowoczesnym świecie dane stają się najcenniejszą walutą.

Przy okazji wdrożeń RODO, zabezpieczenia przesyłu i przechowywania danych osobowych, zwiększamy także bezpieczeństwo obiegu informacji obejmujących tajemnice przedsiębiorstwa, know- how, a także innych informacji mających dla nas wartość.

Jak to się dzieje?

  • Po pierwsze pracownicy zaczynają zabezpieczać dane, na których pracują  np. szyfrować nośniki danych, zatem szyfrują nie tylko dane osobowe, ale też pozostałe informacje.
  • Po drugie efekt edukacji – na szkoleniach przypomina się pracownikom o tym, że nie powinni przekazywać danych osobowych obcym osobom, podświadomie tyczy się to też informacji firmowych, które często są ujawniane ot tak.
  • Po trzecie, tworzy się kultura organizacji, z którą pracownicy chcą się identyfikować.

Po czwarte: bezcenna wiedza dla Ciebie

Ocena ryzyka obnaża najsłabsze punkty Twojej organizacji. Po przeprowadzeniu analizy ryzyka powstaje lista najpilniejszych tematów do poprawienia. To cenna informacja na liście priorytetów.

Zwróć uwagę, że tymi słabymi punktami mogą wyciec nie tylko dane osobowe, ale twoje oferty, informacje o klientach, stosowane rozwiązania i wiele innych informacji, którymi nie chciałbyś się dzielić z konkurencją lub rynkiem, po prostu.

Po piąte: ISO27001

Czy interesuje Cię certyfikacja w zakresie bezpieczeństwa informacji na zgodność z normą ISO27001? Usługodawcy świadczący usługi na rzecz kontrahentów z za oceanu lub Zachodniej Europy,  banków czy administracji publicznej, często są weryfikowani czy posiadają taki certyfikat.

Wiedz, że jeśli przeprowadzisz analizę ryzyka RODO to znaczną część pracy będziesz miał wykonaną. W ramach normy ISO po prostu dokonujemy oceny tych samych aktywów, ale pod kątem negatywnych korzyści dla organizacji. Czyli jednym działaniem pieczesz dwie pieczenie.

Czy to nie jest istotna oszczędność?

Po szóste: masz jakiś pomysł? czy widzisz jeszcze jakieś inne korzyści dla siebie?

Jeśli tak to napisz do mnie lub zostaw komentarz. Uzupełnię swój wpis.

Czy warto robić ocenę ryzyka?

Trzeba, bo to obowiązek prawny. A jeśli się zrobi to z głową, to możesz otrzymać dodatkową wartość w postaci lepszej organizacji i wyższego poziomu bezpieczeństwa w Twojej firmie.

pozdrawiam

Mikołaj

Wiesz co najbardziej lubię?

Mikołaj Otmianowski07 września 2019Komentarze (0)

Najbardziej lubię patrzeć na minę zaskoczonych klientów po prezentacji naszej aplikacji.

Nasza aplikacja opiera się na Excelu co ma swoje plusy i minusy, jak to zwykle bywa. Wielkim plusem jest to, że to standard do którego wszyscy są przyzwyczajeni. A jeszcze większym plusem, że to standard umożliwiający prezentację danych w przejrzysty sposób. Minus to fakt, że praca na jednym pliku przez kilka osób jest uciążliwa i nie da się przypisać ról użytkownikom.

No, ale w większości organizacji są odpowiednie działy IT/Compliance/IOD, które radzą sobie z tymi “problemami” i korzystają z naszej aplikacji.

Natomiast największym zaskoczeniem po każdej prezentacji jest to, że nasz Excel to właściwie już nie Excel. Jak to Włodek, Manager IT z wieloletnim doświadczeniem, po naszej ostatniej prezentacji powiedział:

Jak Maciek nam powiedział, że macie super aplikacje w Excelu, to ja pomyślałem, że to sam napiszę. (…)

Ale teraz myślę, że to bezsensu. Wasze to już praktycznie nie Excel, tylko program.

– Włodek, manager IT u potencjalnego klienta.

No właśnie. Zaskoczenie Włodka było spore, zresztą jak wszystkich innych osób mających okazję poznać nasze rozwiązanie. Dlatego tak, mamy aplikacje opartą o Excela – nie Excela.

Aplikacja umożliwia w sposób zautomatyzowany stworzenie i aktualizowanie Rejestru czynności. Do tego w sposób na wpół zautomatyzowany umożliwia tworzenie oceny ryzyka w całej organizacji, a także analizy DPIA. Co równie ważne Aplikacja umożliwia automatyczne powiązanie upoważnień do przetwarzania danych z rejestrem czynności. Rejestr kategorii, proszę bardzo. Też zautomatyzowany.

Aha i wiecie dlaczego jestem dumny? Po każdym naszym szkoleniu lub prezentacji zadajemy fundamentalne pytanie:

Czy macie jakieś pytania? Czy wszystko jasne?

– Marcin, nasz konsultant.

Pada zawsze taka sama odpowiedź:

Wszystko jasne i przejrzyste. Naprawdę. Extra. Nie spodziewałem się. Dobra, a ile to kosztuje?

– Każdy uczestnik naszej prezentacji, w tym Włodek.

Jeśli chcesz poznać naszą aplikację od razu, to jesteśmy gotowi przyjechać do ciebie z naszą godzinną prezentacją. Po prezentacji odpowiesz na nasze pytanie jak wszyscy inni. Gwarantuje. A co dalej to zobaczymy.

Jeśli chcesz nas zaprosić, to skontaktuj się z nami poprzez formularz tutaj.

Natomiast jeśli chcesz poznać wpierw metodykę naszej analizy ryzyka,
to zapraszamy na nasze legendarne szkolenie z analizy ryzyka – aktualne terminy tutaj.

Do zobaczenia

Mikołaj