Przygotowanie do pełnienia funkcji Inspektora Ochrony Danych cz. II

Różne formy może przybierać współpraca pomiędzy Inspektorem ochrony danych (IOD, DPO) a Administratorem danych. Z perspektywy odpowiedzialności tego drugiego kluczowe jest właściwe określenie wymagań w stosunku do przyszłego IOD-y , oraz rozliczanie go z powierzonego zakresu zadań i obowiązków.

Jak zweryfikować jego wiedzę i umiejętności ?

Czego oczekiwać od Inspektora ochrony danych.

Art. 37 ust. 6 RODO wskazuje, że

Inspektor ochrony danych może być członkiem personelu administratora  (…) lub wykonywać zadania na podstawie umowy o świadczenie usług.

Obie koncepcje i formy współpracy mają niewątpliwie swoje wady i zalety i wymagają głębszego namysłu. Czy wytypowany do pełnienia funkcji IOD/DPO pracownik organizacji/ usługodawca będzie mógł z marszu, bez gruntownego przygotowania, rozpocząć proces wdrożenia nowych przepisów z zakresu ochrony danych w organizacji.

Żeby było to możliwe administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. Ale warto pamiętać, że pożądana wiedza nie powinna ograniczać się jedynie do specjalizacji z RODO.

Wiedza o działaniu firmy/jednostki.

Ten atrybut wydaje się być nie do przecenienia, szczególnie w kontekście szacowania ryzyka, znajomości głównych zagrożeń oraz słabości procesów przetwarzania danych osobowych w organizacji. Odpowiednio wybrany do pełnienia funkcji inspektora kandydat powinien znać również realia funkcjonowania organizacji. Wiedza specjalistyczna z zakresu sektora i branży, w której działa firma/podmiot może okazać się niezwykle istotna, szczególnie w kontekście spełnienia branżowych wymagań prawnych, które dość często ulegają zmianie. Tu trzeba trzymać rękę na pulsie równie uważnie jak w przypadku zmian przepisów dotyczących ochrony i przetwarzania danych osobowych. Zdarza się przecież niestety również, iż kontekst prawny funkcjonowania jednostki a właściwie jego niestabilność może generować ryzyka i zagrożenia w kontekście ochrony danych. Te elementy powinny być fundamentem i podbudową, do której dołączyć powinna wiedza specjalistyczna i praktyka z zakresu ustanawiania i wdrożenia mechanizmów ochrony danych wymaganych przez RODO.

Weryfikacja wiedzy i odpowiednia pozycja inspektora danych.

Rynek nie znosi próżni. O tym, że „RODO nadchodzi” było wiadomo mniej więcej od 2014 r. Zwiększone zainteresowanie tematem widać jest na każdym niemal kroku, chociażby po ilości ofert studiów podyplomowych czy szkoleń specjalistycznych dla przyszłych IOD/DPO.

Przeglądając oferty pracy lub treść specyfikacji postępowań dotyczących wyboru podmiotu realizującego usługę IOD w sektorze administracji publicznej, można dostrzec dysproporcję pomiędzy oczekiwaniami stawianymi kandydatom/oferentom o faktycznymi potrzebami jednostek.

Formułowane oczekiwania weryfikowane są zazwyczaj w oparciu o okazane przez kandydata certyfikaty ukończenia szkoleń, studiów czy kursów specjalistycznych, a warto pamiętać, że wymagania odnośnie wiedzy inspektora powinny być adekwatne do skali i procesów przetwarzania, czyli operacji jakie realizuje organizacja na danych osobowych.

RODO stawia w art. 35 ust. 5 wymóg odpowiedniego fachowego przygotowania inspektora ochrony danych, co zostało dość istotnie podkreślone. W przywołanym powyżej artykule skazano jednoznacznie, że

Inspektor ochrony danych osobowych ma być wyznaczany na podstawie kwalifikacji zawodowych – a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych.

IOD DPO

Warto pamiętać jednak o tym, że legitymowanie się certyfikatem potwierdzającym ukończenie szkolenia nie musi być równoznaczne z gwarancją odpowiedniego wykonywania obowiązków. Zawsze decyzja o wyborze należeć będzie do Administratora danych. Może on również zdecydować, że wspólnie z innymi przedsiębiorstwami, wchodzącymi w skład grupy wyznaczy jednego Inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Podobnie rzecz ma się w przypadku podmiotów publicznych, które chciałyby skorzystać z takiego rozwiązania. Oznacza, to że dla wykonywania powierzonej funkcji istotna może okazać się odpowiednia „dostępność czasowa”. Zarówno w przypadku  outsourcingu usług jak i łączenia różnych obowiązków przez pracownika organizacji.

Brak konfliktu interesów.

I tu dochodzimy do kluczowej kwestii, na którą, określając status IOD, zwraca uwagę RODO. Jest nią konieczność zapewnienia braku konfliktu interesów (art. 38 ust. 6 RODO). Może okazać się ona szczególnie istota w przypadku małych organizacji, w których dostępne zasoby kadrowe mogą znacznie ograniczać „pole manewru”. Na temat sytuacji, które prowadzić mogą do wystąpienia konfliktu interesów można by pisać dużo, bo katalog potencjalnych zagrożeń w tym zakresie jest w zasadzie nieograniczony. Podobnie jak zbiór sytuacji, które odebrać można by jako wpływanie bądź wydawania instrukcji Inspektorowi co do wykonywania przez niego zadań. Obu sytuacji zabrania RODO dość wyraźnie. Wystarczy spojrzeć na zapisy art. 38 ust. 3 i 6 rozporządzenia. Katalog stanowisk w organizacji, które, co do zasady uznane mogłyby zostać za generujące konflikt interesów określiła w swoich wytycznych Gr. ds. art. 29[1].

Odpowiedni status IOD/DPO.

O potrzebie zapewnienia odpowiedniego wymiaru czasu, umożliwiającego IOD realizację powierzonych mu zadań już powyżej wspominałem. Równie istotne jest też odpowiednie wsparcie finansowe, oraz sprzętowe a więc zapewnienie lub wymaganie posiadania narzędzi umożliwiających wywiązanie się z obowiązków.

W przypadku realizowania przez Inspektora zadań w kilku przedsiębiorstwach w ramach jednej grupy kapitałowej istotne może okazać się również odpowiednie wsparcie kadrowe np. poprzez wyznaczenie zespołu wspierającego. W szczególności, gdy przedsiębiorstwa w ramach grupy są od siebie znacznie oddalone lub ich wielkość, jeśli chodzi o liczbę pracowników, albo też zakres operacji przetwarzania pozycjonuje je w „dużej skali”.

Bardzo istotne będzie umożliwienie dostępu Inspektorowi ochrony danych do kluczowych działów organizacji: działu prawnego, kadrowego, oraz, co najważniejsze działu IT. To dobra współpraca na linii Inspektor ochrony danych – Administrator systemu informatycznego jest warunkiem koniecznym dla ustanowienia i wdrożenia skutecznych mechanizmów ochrony danych. Nie każdy przecież Inspektor ochrony danych będzie już na początku swojej „kariery” biegły w obszarze bezpieczeństwa teleinformatycznego. Co nie znaczy, że ten obszar powinien zupełnie  wyłączyć
z zakresu realizowanych przez siebie działań. Jakie zatem zadania przypisano Inspektorowi ochrony danych w myśl RODO?

Zadania IOD.

Po pierwsze uświadamianie.
Podstawowe zadanie jakie w swojej pracy wykonywać powinien przyszły IOD/DPO to informowanie odpowiednio szerokiego katalogu pracowników ADO, podmiotów z nim współpracujących ale i samego szefa, o tym

  • jakie są jego/ich obowiązki wynikające z przepisów prawa,
  • jakie są zasady przetwarzania i ochrony danych w organizacji,
  • jakie warunki powinien spełnić podmiot zewnętrzny przetwarzający dane osobowe na zlecenie Administratora.

IOD powinien, co równie ważne obalać mity związane z RODO – jak chociażby ten o potrzebie zakupu „szafek zgodnych z RODO”. Jego rolą będzie też budowanie świadomości pracowników co do potencjalnych ryzyk dla utrzymania atrybutów danych na ich stanowisku pracy. To właśnie szkolenie zmniejsza podatność  pracowników na socjotechnikę,

Po drugie nadzór i monitorowanie przestrzegania ustanowionych w organizacji zasad ochrony danych, również pod kątem ich aktualności i zgodność z przepisami prawa. Jak to realizować? Na przykład poprzez sprawdzenia i audyty obszaru. Sprawdzenia planowane i działania doraźne. Warto w tym miejscu wrócić do wskazówek, jakie w tym zakresie dawało między innymi

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

Nie trzeba wyważać otwartych drzwi, skoro dostępne są dobre praktyki, mimo że formalnie rozporządzenie już nie obowiązuje.

Po trzecie Inspektor będzie pełnił funkcję „zderzaka”.

To on będzie zobowiązany do ewentualnej współpracy z organem nadzorczym oraz stanie się dla niego punktem kontaktowym w kwestiach związanych z przetwarzaniem.

To do niego, w momencie upublicznienia danych kontaktowych IOD/DPO, będą mogły zgłaszać osoby, których dane osobowe są przetwarzane przez Administratora danych.
To podstawa działań Inspektorów ochrony danych. Oczywiście jest to katalog działań minimalnych, na których podstawie można budować dalej. Tak aby Inspektor ochrony danych

wypełniał swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

(art. 39 ust. 2 RODO).  Warto jednak pamiętać i uświadomić Administratora danych, że to nie Inspektorzy ochrony danych ponoszą odpowiedzialność w przypadku niezgodności z RODO. Z rozporządzenia jasno wynika, że to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i udowodnienia zgodności przetwarzania danych osobowych z przepisami prawa (art. 24 ust. 1).

Jak zostać dobrym IODą?

Niewątpliwie potrzebny jest czas. Czas i chęć doskonalenia i podnoszenia swoich kwalifikacji. Inspektor ochrony danych powinien mieć możliwość i potrzebę ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych. Ponadto trzeba mieć chyba również umiejętność przewidywania zagrożeń i podejmowania działań wyprzedzających ich materializację. Od ABI stara ustawa wymagała niekaralności za umyślne przestępstwo. Od IODy RODO ani nowa ustawa już tego wprost nie wymaga.

Pół żartem, pół serio można wysnuć z tego wniosek, że dobry Inspektor ochrony danych powinien być osobą doświadczoną, która zna zagrożenia od podszewkiJ

Część I artykułu o przygotowaniu do pełnenia funkcji IOD/DPO dostępna jest tutaj. Inne z serii #KierunekRODO.

[1] Wytyczne Grupy roboczej ds. art. 29 dotyczące Inspektorów Ochrony Danych (DPO) przyjęte w dniu 13 grudnia 2016 r. 16/EN WP 243 rew.01

Może Ci się również spodoba