Przygotowanie do pełnienia funkcji Inspektora Ochrony Danych część I
Pełnienie funkcji IOD? Za „uścisk dłoni prezesa”, obietnicę wzrostu wynagrodzenia, otrzymania wsparcia i narzędzi, no i oczywiście zapewnienie „zdjęcia kilku podstawowych obowiązków” – znam przynajmniej kilku byłych ABI, którzy swoją „przygodę” z ochroną danych osobowych, rozpoczynali właśnie w ten sposób. Tak było kilkanaście lat temu – w zamierzchłych czasach początków stosowania starej ustawy o ochronie danych osobowych. Organizacje – administratorzy danych szukali wtedy odpowiednich osób do tej funkcji, ale nie do końca wiadomo było, czego od kandydata oczekiwać. Czy to funkcja potrzebna, poważna, czy tylko pozycja na liście płac?
Czasem o wyznaczeniu ABI decydowała potrzeba doraźna – organizacja musiała spełnić określone wymogi, aby móc realizować usługi i zadania dla swojego kontrahenta czy organu nadzorczego. Wtedy pojawiał się problem – jak w przypadku braku środków na zewnętrznego specjalistę wyłuskać takiego człowieka z własnej organizacji. Jeśli już udało się go wyłonić i „namówić” do przyjęcia obowiązków początki pewnie nie były łatwe. „Głośniej” o ABI zrobiło się na przełomie 2014 i 2015 roku, po wejściu w życie istotnej nowelizacji poprzedniej u.o.d.o.
Powstał prowadzony przez GIODO rejestr ABI a ci, którzy zostali do niego wpisani, stali się dla administratora danych wartością dodaną. Uzyskiwał on przesłankę do zwolnienia z rejestracji części zbiorów danych osobowych. To ABI przejmował na siebie większość obowiązków związanych z prowadzeniem rejestrów zbiorów danych osobowych. I w krótkim okresie czasu w rejestrze na stronie GIODO znalazło się około 30 tysięcy zarejestrowanych ABI. Z dniem 25 maja 2018 r. rejestr ABI wygasł a Administrator Bezpieczeństwa Informacji zastąpiony został przez Inspektora Ochrony Danych Czy to przypadek, że nie ma tam przymiotnika „osobowych” – nie sądzę. Sugerować to może, że rola i zadania IOD wykraczać będzie poza obszar ochrony danych osobowych. Dobrego fachowca zaangażować będzie można również w ochronę innych aktywów organizacji.
Gdzie potrzeba Inspektorów Ochrony Danych?
Dobrze jest być IODą, opłaca się wybrać tę drogę, czy warto w siebie zainwestować? Biorąc pod uwagę szacunkowe dane jakie podawało jakiś czas temu Ministerstwo Cyfryzacji, przed 25 maja 2018 jeszcze około 70 tysięcy, samych tylko podmiotów publicznych nie miało powołanego ABI a więc będzie musiało wyznaczyć IOD. Liczba ta wzrośnie o pozostałe podmioty zobowiązane do jego wyznaczenia zgodnie z art. 37 RODO, a więc te:
– których główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (operatorzy telekomunikacyjni, sektor bankowy);
– gdzie główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych,
o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 (placówki medyczne, sektor ubezpieczeń). Nawet jeżeli RODO bezpośrednio nie nakłada obowiązku powołania IOD, nie znaczy to, że dobrowolne wyznaczenie takiej osoby nie przyniesie korzyści dla organizacji. Być może pozwoli jej uniknąć odpowiedzialności i kar administracyjnych, o których mowa rozporządzeniu.
Cechy IOD, o których nie piszą w RODO
Jeśli dostałeś propozycję, lub planujesz zostać IOD w swojej organizacji musisz pamiętać o czymś, o czym ani stara ustawa ani RODO, wprost nie mówi. Bardzo istotna w pracy IOD jest umiejętność współpracy z ludźmi. Twoim zadaniem, jako „narzędzia” administratora danych, będzie przeprowadzanie między innymi szkoleń z zakresu ochrony danych dla pracowników organizacji a może i również pracowników podmiotów zewnętrznych. Załóżmy, że teraz masz poprawne relacje z kolegami/koleżankami z pracy, „jedziecie na jednym wózku” – gdy zostaniesz IOD może się okazać, że twoja rola i chęć rzetelnej realizacji zadań będzie nie w smak współpracownikom – bo ludzie z natury nie lubią zmian. A przecież twoim zadaniem będzie również nadzorowanie przestrzegania przepisów RODO i wewnętrznie obowiązujących polityk danych. Do tego jak przygotować się do realizacji tych i innych zadań jeszcze wrócę.
Różnie można nadzorować i egzekwować stosowanie wdrożonych zasad i reguł – prośbą albo groźbą, jeśli ta pierwsza nie działa. Na pewno jednak konieczna jest konsekwencja. Warto chyba jednak przygotować się na sytuację, w której zadziała zasada „w pracy nie chodzi o to aby wszyscy się lubili”. Aby IOD mógł rzeczywiście realizować swoje zadania i mieć wpływ na funkcjonowanie systemu ochrony danych musi odpowiednio ułożyć sobie relacje – zarówno z pracownikami jak i kierownictwem organizacji. Bo przecież art. 37 ust. 2 RODO mówi wyraźnie, że Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań. Wsparcie to nie tylko narzędzia, to też dawanie przykładu „z góry”, poważne traktowanie obszaru ochrony danych osobowych.
Może się zdarzyć tak, a właściwie zdarzy się prawie na pewno, że Twoja ocena sytuacji, mechanizmu ochrony, działania będzie odmienna od oceny szefa (administratora danych). I nie znaczy to, że racja jest tylko po jednej stronie. Twoją rolą będzie proponowanie rozwiązań i doskonalenia systemu. Administrator danych podejmie decyzję uzasadnioną dla niego ekonomicznie. Musisz się na to przygotować.
Pozycja w organizacji
Ta na starcie, w głównej mierze zależeć będzie od podejścia administratora danych. Jeśli IOD zostanie wyznaczony z pośród pracowników organizacji pozycję będzie musiał wypracować sobie „w boju”. Żeby jego, udzielane na bieżące porady oraz ustalenia i zalecenia z realizowanych audytów miałyby szanse zostać wdrożone, musi być traktowany poważnie. Tu niestety często działa dość dziwny i niezrozumiały mechanizm: część administratorów danych bardziej bierze sobie do serca ustalenia, porady i zalecenia „fachowców zewnętrznych”. Niezbyt poważnie traktując przy tym problemy i ryzyka sygnalizowane przez pracowników organizacji. Nie ma uniwersalnego rozwiązania i złotej porady jak IOD ma wypracować sobie pozycję na tyle silną, by jego wpływ na system ochrony danych w organizacji był realny.
Artykuł 38 RODO stanowi, iż administrator i podmiot przetwarzający zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
Właściwie i niezwłocznie oznacza, że IOD nie może funkcjonować na uboczu organizacji i dowiadywać się o istotnych zmianach w procesach, na samym końcu lub wcale (np. o istotnych zmianach kadrowych, zakupie nowych systemów czy też wyborze podmiotów przetwarzających). Przecież RODO wymaga privacy by design a więc uwzględnienia ochrony danych w fazie projektowania. A kto uwzględni ochronę danych lepiej niż IOD.
Grupa ds. art. 29 jednoznacznie sugeruje, że IOD powinien być postrzegany jako partner w dyskusji i włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji.
Obszarów, w których opinia IOD może okazać się istotna jest w organizacji wiele dlatego ważne jest, żeby uwzględnienie inspektora w procesach miało charakter systemowy – jako standardowa procedura w organizacji. Podstawą musi być wsparcie kierownictwa wyższego szczebla i jeśli konieczne uczestnictwo IOD w jego pracach. Istotne jest również oficjalne zakomunikowanie wszystkim pracownikom faktu wyznaczenia IOD i jego roli w organizacji a także wskazanie zakresu problemów i spraw z jakim pracownicy mogą się do niego zwrócić.
I tu dochodzimy do kolejnego dziwnego, ale dość powszechnego zjawiska, które dawno temu poznałem od podszewki. Wyraża się ono w następującym podejściu pracowników: „mamy IOD, więc my w temacie ochrony danych nic nie musimy”. Albo jeszcze ciekawsze: „jest IOD to co by się nie działo biegniemy do niego”. Światło zgasło – dzwoń do IOD, drukarka nie działa – dzwoń do IOD, woda w kranie nie leci… wiadomo do kogo zadzwonić. Przecież on siedzi pokój obok, a informatyk albo „pan administracyjny” nie wiadomo gdzie.
Oba podejścia mocno chybione. Wynikać mogą z głębokiego niezrozumienia odpowiedzialności pracowników za przypisane im aktywa i udostępnione informacje oraz niezrozumienia roli IOD. Jedyną drogą by stan taki zmienić jest stałe i cykliczne podnoszenie świadomości wszystkich członków organizacji. A to jedno z podstawowych zadań IOD.
