Polubiłam wroga czyli GDPR i RODO z perspektywy Project Managera
GDPR (ang. Global Data Protection Regulation) w Polsce szerzej znany jako RODO (Rozporządzenie o ochronie danych osobowych), tak czy siak wróg numer jeden, mający pokazać swoje pełne oblicze 25 maja 2018 r. Na tydzień przed premierą nadeszła chwila spokoju i refleksji, czuję się trochę jak przed maturą.
Droga była kręta, emocje na najwyższych obrotach, chwile załamania, ale też i pozytywnej energii zespołu…razem damy radę! I tak właśnie doszłam do punktu, w którym polubiłam projekt GDPR. Praca Project Managera nie zawsze jest doceniana, przecież to tylko Forward Manager, a ja chcę pokazać, że w przypadku GDPR to tytaniczna praca. Ukłony dla kolegów i koleżanek. Poznajcie moją drogę.
Przychodzi PM do Sponsora projektu, RODO i GDPR
No i tutaj zaczynają się schody. Kto w dużej firmie przyjmie ten gorący kartofel. To pierwsza trudna decyzja. GDPR dotyka całą organizację, potencjalni faworyci to w zależności od organizacji departamenty prawny, compliance, bezpieczeństwa, IT, na kogo wypadnie na tego bęc. Widziałam kiedyś w sieci doskonały obrazek. Przedstawiał GDPR jako słonia i reprezentantów różnych departamentów dotykających poszczególnych części, co miało obrazować to, jak rozumieją GDPR.
Cała prawda…Każdy rozumie GDPR na swój sposób, bo przyzwyczailiśmy się ,,ogarniać” tylko swoje podwórko. To moje, a to Twoje zmartwienie, ja swoje zrobiłem/am. GDPR pokazał, że taka taktyka w tym przypadku nie zadziała. Jedziemy na tym samym wózku, albo razem, albo wcale.
No dobrze, ustaliliśmy, że ktoś musi być Sponsorem i być twarzą projektu. Kwestia kompromisu, wszyscy ważni, ale ktoś najważniejszy. Pierwszy sukces odhaczony, mamy to! Dla mnie to departament compliance. No więc idę zdobyć tzw. background projektu i zebrać wymagania. Mam swój kwestionariusz i zadaję standardowe pytania, czyli jakie są wymagania, co trzeba zrobić, jakie są mierniki sukcesu projektu, jaki mamy budżet ;), deadline znany, więc pomijam pytanie. Cel projektu, musimy być GDPR compliant, tylko co to tak naprawdę oznacza?
RODO i GDPR
Nie zliczę godzin spędzonych na szukaniu rozwiązania, najlepszych praktyk podejścia do tematu i dostępnych materiałów. Internet podpowiada, że nie ma sprawdzonego podejścia, wszystko zależy od firmy, jej kultury, struktury organizacyjnej, itp. Sprawdzam proponowane podejścia, waterfall nie, agile nie, to co? W tym przypadku potrzebne jest rozwiązanie szyte na miarę. Mamy rozporządzenie, ale wymagań wprost brak. Kolejne spotkania nie posuwają nas do przodu, a ja przecież muszę opracować plan, zdefiniować konkretne zadania i odpowiedzieć na pytanie kiedy konkretnie będziemy GDPR compliant. Zaproponowałam podejście top down, czyli zacznijmy od tego, co powinniśmy mieć 25 maja, żeby udowodnić audytorom compliance.
To nie było trudne, ponieważ takie materiały zostały już opracowane przez największe kancelarie prawne, stowarzyszenia, itp. W dalszym ciągu nie był to konkretny plan, ale dobry początek. Bazowy dokument nazwałam listą kontrolną (ang. checklist), został on odpowiednio przepracowany przy udziale sponsora i dostosowany do firmy. Teraz byłam już w stanie przypisać konkretne punkty odpowiednim departamentom. Udało mi się przekonać Zarząd do niestandardowego podejścia, ponieważ szczegółowy plan miał wyłaniać się w kolejnych miesiącach pracy, kiedy będziemy wiedzieć czym tak naprawdę jest GDPR.
Analizując 250 aktywności z checklisty zrozumiałam, że wykonanie każdej z nich wiąże się ze współpracą różnych specjalistów. To takie małe projekty. Powołuję tzw. GDPR Working Group, czyli grupę roboczą składająca się z przedstawicieli poszczególnych departamentów, które uznałam za kluczowe. Zaprosiłam reprezentantów IT (architekci, data governance, IT security), compliance, prawnika, HR, ryzyka, finansów, marketingu, customer care, etc. Ustalamy, że będziemy spotykać się w tym gronie co 2 tygodnie w celu wymiany informacji i szukania wspólnych rozwiązań.
RODO i GDPR grupa robocza – zróbmy to razem
Spotykamy się, rozmawiamy, wymieniamy spostrzeżenia, radzimy, wspieramy się. Pierwsze spotkanie raczej niezbyt satysfakcjonujące. Ludzie są zamknięci, wciąż myślą schematycznie i interesują się tylko własnym zadaniem. Podczas kolejnych spotkań zauważyłam wyraźną zmianę. Mój zespół zrozumiał, że potrzebuje siebie nawzajem. Organizują się w podgrupy, spotykają, testują różne rozwiązania. Już nie potrzebują mnie w roli organizatora czasu, przychodzą z gotowym rozwiązaniem i propozycją, które uprzednio uzgodnili. Pełen sukces, udało mi się stworzyć samoorganizującą się grupę. Wniosek? Zadaniem PMa jest stworzenie odpowiedniej przestrzeni do wymiany informacji, wsparcie zespołu i przekazanie najlepszych praktyk komunikacji. Przykład powinien iść od góry, więc zawsze staram się dzielić wszystkimi informacjami z zespołem, niezależnie od tego czy są to dobre, czy złe wiadomości.
Większość dyskusji toczy się na poziomie grupy roboczej, ale pojawią się też tematy, które wymagają podjęcia decyzji na poziomie strategicznym. Tutaj z pomocą przychodzi Komitet Sterujący projektu, w którym w przypadku GDPR zasiadają członkowie Zarządu. To pozwala na sprawne podejmowanie decyzji. Spotykamy się co 2 tygodnie, ale jeśli jest taka potrzeba, mogę zwołać nadzwyczajne zebranie. Członkowie komitetu nie zostali wybrani przypadkowo, stąd też są to osoby żywo zainteresowane sukcesem projektu. Być może zabrzmi to niewiarygodnie, ale nie zawsze PM może mieć taki komfort. Polityka rządzi się swoimi prawami, a nie ma nic gorszego niż personalne niesnaski, które mogą skutecznie sparaliżować projekt. Na szczęście tym razem to nie był mój przypadek J Razem udaje nam się sprawnie pchać tematy do przodu.
Wewnętrzny PR, RODO i GDPR – ludzie źródłem wiedzy
W przypadku dużej organizacji, nie ma nic bardziej cennego niż wiedza ludzi pracujących ,,on the ground”. Na poziome HQ nie zawsze wszystko widzimy, możemy też nie mieć pełnej wiedzy o procesach, których znajomość szczególnie w zakresie wymiany danych osobowych jest szczególnie ważna. I tutaj pojawia się pewna myśl. Skoro jako PM nie mogę porozmawiać ze wszystkimi (nie ma też czasu na analizę stanu obecnego, która zajęłaby pewnie 2 lata) to spróbuję zachęcić ludzi do dzielenia się wiedzą ze mną. Stąd też duża kampania GDPR i samego projektu wewnątrz organizacji. Stworzyliśmy dedykowaną stronę w intranecie, newsletter, zorganizowaliśmy spotkania, prezentacje podczas tzw. townhall (cykliczne spotkanie Zarządu z pracownikami), wydrukowaliśmy plakaty, które zostały rozwieszone w lokalnych biurach. W ten sposób wszyscy pracownicy usłyszeli o GDPR i kojarzą mnie z projektem. Wiem, bo zaczepiają mnie nieznajomi w biurze, pytając jak tam GDPR J
Kampania przyniosła zamierzony efekt. Pracownicy sami zaczęli zgłaszać wątpliwości, pytania, opisywać swoje procesy prosząc o konsultacje w zakresie GDPR. Są ciekawi czy w związku z nową regulacją czekają ich jakieś zmiany. Dzięki temu krok po kroku zdobywaliśmy cenną wiedzę o obszarach, którym powinniśmy się przyjrzeć.
Nie bez znaczenia jest też pełne wsparcie Zarządu. GDPR rewolucjonizuje biznes, szczególnie ten digitalowy. W perspektywie oznacza ukrócenie pewnych praktyk, które w wielu przypadkach mogą negatywnie odbić się na wyniku finansowym. GDPR to projekt, którego nie robimy w celu rozwijania biznesu, nie przyniesie zysku finansowego, ani nie ograniczy kosztów, wręcz przeciwnie.
Czego nauczył mnie RODO i GDPR jako Project Managera
Jest to na pewno jeden z najważniejszych projektów w mojej karierze i traktuję go jako coś niepowtarzalnego. W pewnym sensie na moich oczach dzieje się historia.
- GDPR to nie jest projekt, który zakończy się 25 maja (nie powinien być zatem projektem, bo ten powinien mieć określony koniec). Możemy mówić o projekcie jako przygotowaniu do GDPR. Ja traktuję GDPR jako pewnego rodzaju mindset. Firmy będą ciągle dostosowywały się do GDPR i wprowadzały zmiany zgodnie z rozwojem sytuacji.
- Nie ma na świecie firmy, która z ręką na sercu może powiedzieć, że jest GDPR compliant, ponieważ nikt tak naprawdę nie wie co to oznacza w praktyce. Bycie compliant jest niemierzalne. Nie umiem dzisiaj odpowiedzieć, czy jestem 50% czy 80% compliant.
- Firmy będą uczyły się na błędach innych, a wymagania poznamy w miarę nakładanych kar i publikowanych interpretacji.
- Ilu prawników czy innych specjalistów, tyle interpretacji GDPR. Nie wiemy, które są na 100% prawidłowe.
- GDPR zrewolucjonizuje biznes w świecie digital. Nie do końca możemy określić jakie będą skutki. Jedyne co jest pewne to ciągła zmiana.
- GDPR dotyka absolutnie wszystkie komórki w firmie oraz jej pracowników. Nie ma takiego obszaru, który jest poza nim.
- Odpowiedzialność za bycie GDPR compliant spoczywa na każdym pracowniku firmy (szczególnie tym, który przetwarza dane osobowe). Podejrzane praktyki powinny być niezwłocznie zgłaszane odpowiednim osobom.
- Współpraca ludzi z różnych obszarów to klucz do sukcesu przy wdrożeniu GDPR.
- GDPR wymaga zrozumienia procesów i technologii wykorzystywanych w danej organizacji. Nie każdego z osobna, ale całego ekosystemu.
- Nie ma jednego i słusznego podejścia projektowego do GDPR. To co zadziałało w jednej firmie, niekoniecznie mogłoby się sprawdzić w innej.
- To ten typ projektu, w którym wewnętrzny Project Manager sprawdzi się lepiej niż zewnętrzny. Przede wszystkim dlatego, że dobrze zna organizację, ludzi i ma bezpośredni dostęp do Zarządu.
Czas pokaże czy moje podejście do tematu było słuszne. Projekt GDPR się nie kończy, on dopiero się zaczyna…
Artykuł uaktualniony 2 lata