Koncepcja liczenia zyskowności inwestycji w bezpieczeństwo, która jest podstawą maksymalizacji zysku, nie jest niczym nowym. Nasz Trener, a jednocześnie autor przełomowego w tej dziedzinie szkolenia przedstawił tę koncepcję jako kompletny model na konferencji w kwietniu 2010 roku. Od tego czasu skutecznie wykorzystuje ją z zespołem m.in. do liczenia kosztów incydentów i obliczania wartości finansowej inwestycji w bezpieczeństwo, a w efekcie do maksymalizacji każdego z projektów czy przedsięwzięć w tym obszarze (w jednej z organizacji finansowych koncepcja była podstawą do wyodrębnienia wszelkich działań w obszarze bezpieczeństwa jako centrum kosztów).

Praktyka

Teoria szczególnie oparta na wzorach i modelach analizy finansowej bywa męcząca i trudna w rozumieniu. Dlatego jako przykład posłuży nam informacja z Decyzji Prezesa Urzędu Ochrony Danych Osobowych. Zgodnie z nią spółka wyceniła dopełnienie obowiązku informacyjnego do 6.490.226 osób na kwotę 33.749.175 PLN.

Jeśli podzielimy kwotę przez ilość osób, staje się jasne, iż wyliczony został tylko koszt nadania listu poleconego, czyli 5,20.

Czynniki pominięte

Poniżej krótka lista przykładowych czynników pomijanych w szacowaniu kosztów (ograniczona ze względu na objętość artykułu):

1. Czasochłonność (najczęściej pomijane),
2. Zużycie materiałów,
3. Zużycie sprzętu.

Ta krótka lista wystarczy do zobrazowania realnych kosztów realizacji obowiązku w modelu sugerowanym przez PUODO

Czasochłonność

Dysponujemy w zespole czasochłonnością przygotowania np. wysyłek. Dla 1,5 tys. listów jest to średnio 48 godzin (dane uzyskane na podstawie trzyletniej obserwacji działań związanych z obsługą wysyłki PIT). Dla pozostałych działań został wykonany test.

UWAGA: Pomocą przy kalkulacji czasochłonności w innych działaniach mogą być tzw. katalogi nakładów roboczych.

Czasochłonność przygotowania wysyłki (druk, kopertowanie, wprowadzenie zapisu w książkę podawczą, naklejenie znaczka): około 32 listy na godzinę. Przygotowanie 6,5 miliona przesyłek to czas: 202.819,60 godzin

• Stawka minimalna 14,70 brutto (założenie minimalne, tylko koszt godziny pracy, bez kosztów pracodawcy jako): 2.981.448,57
• Czasochłonność nadania listów (około 100 listów na godzinę, optymistycznie): 954.063,20

Czasochłonność razem: 3.935.510,79

Koszty bezpośrednie

Koszty bezpośrednie w obsłudze korespondencji to materiały i urządzenia. Dla przejrzystości obliczeń przyjęliśmy 100% prawidłowości wydruku, choć w praktyce ilość pomyłek waha się od 8% do 12 % w zależności od stopnia wysłużenia sprzętu, rodzaju personelu, etc.

• Koperty to koszt około 12 groszy za sztukę (ceny internetowe): 778.827,12
• Papier to około 2 grosze (ceny internetowe): 194.706,78
• Wydruk (zużycie sprzętu) około 40 gr (ceny serwisu, bez rozbicia na toner, bęben, konserwację, itp.) : 2.596.090,40

Łącznie koszty bezpośrednie: 3.569.624,30 zł

Podsumowanie kosztów

Łączny koszt obsługi wysyłki to: 7.505.135,09, a więc aż 22% kosztu podanego do PUODO. A łącznie uzupełniony tylko o te dwa parametry to już nie prawie 34 miliony, a ponad 41 milionów (41.254.310,09).

Ujęcie biznesowe ryzyka

W ujęciu ryzyka biznesowego decyzja o niepodjęciu działań jest jak pozornie akceptowalna. Kara, czyli ryzyko finansowe to 943.470,00 PLN, czyli … 2,30% nakładów na wypełnienie obowiązku informacyjnego.

Co do kwestii nakazania wykonania działań można założyć, że będzie to przedmiotem odwołania do sądu administracyjnego. I co do zasady nie jest to przesądzone.

Pułapka, czyli de-maksymalizacja zysku z zaniechania?

Biorąc pod uwagę, że wysokość kary jest śmiesznie niska do nakładów, często organizacje popadają w swoisty marazm decyzyjny. Skoro kara to tylko 2,3% kosztów, jakie należałoby ponieść, to jest to akceptowalne. Nawet jeśli prawdopodobieństwo będzie istotne, czyli np. będą to dwa zdarzenia w roku, to nadal jest to tylko 5% nakładów, które należy ponieść.

Jeśli jednak wrócimy do wcześniejszych wyliczeń, to nie jest to takie oczywiste. Incydenty generują bardzo dużo kosztów, które niestety są pomijane w wyliczeniu. M.in. są to:

• Reputacja – liczona jako odpływ stałego klienta, np. w wyniku obawy, że uzyskane raporty są wytworzone niezgodnie z prawem. A więc “rykoszet” może uderzyć w firmę zamawiającą,
• Obsługa prawna – liczona nie tylko jako faktura. Przygotowanie do rozprawy (dane z ostatniego kryzysu) to około 5 godzin zespołu sześciu osób oraz 4 osoby na rozprawie, po 2 godziny. Łącznie 38 godzin,
• Opinie prawne, ekspertyzy – liczone odrębnie,
• “Media Scrutiny” – to termin ze standardu BS 11200 (podstawa szkolenia – Zarządzanie Kryzysowe). Termin oznacza może nie tyle kontrolę mediów, co śledzenie wpisów i postów w social media i mediach tradycyjnych. Koszty są zależne od formy realizacji (nawet do 40 tys. miesięcznie na konkretne frazy, hasła czy aktywność).

To już powoduje, że stosunek zysku do nakładu nie jest korzystny. I pamiętajmy, nadal mówimy o ryzyku z punktu widzenia biznesu. Analizy i oceny w ujęciu RODO powinny odnosić się do ryzyka dla osoby, której dane są przetwarzane. Poświęcimy temu odrębny artykuł.

Prewencja

Trudno nie odnieść się do decyzji PUODO w artykule związanym z ryzykiem i jego finansowym wymiarem. Oczywistym jest, że spółka posiadająca przychód netto na poziomie poniżej 30 milionów (dane za 2018) nie zaakceptuje konieczności wydania 34 milionów (wyliczenie spółki plus kara) czy według naszych wyliczeń – prawie 42 milionów złotych.

Wydaje się prawie pewne, że decyzja zostanie uchylona lub w znacznym stopniu złagodzona, pamiętając o treści art. 14.5 RODO, na który spółka się powołała (temu  poświęcimy odrębny artykuł).

Dla kwestii prewencji, na której również opieramy działania w obszarze bezpieczeństwa w firmach i organizacjach, ważne są jednak dwie kwestie:

1. Nieuchronność kary,
2. Dotkliwość kary.

Wydaje się, że PUODO w swojej decyzji pominął pierwszy z elementów. Łączenie w jednej decyzji kary i nakazania wydania kilkudziesięciu milionów odwleka w procedurze zastosowanie kary wobec spółki do momentu rozstrzygnięcia postępowania przez sąd administracyjny. A do tego czasu, wszyscy zapomną.