Funkcja Inspektora Ochrony Danych wymaga posiadania fachowej wiedzy na temat ochrony danych i bezpieczeństwa informacji, która jednocześnie zmusza do stałego monitorowania wprowadzanych zmian przepisów czy międzynarodowych standardów w tej tematyce. Jednym słowem, musisz być na bieżąco. Nawet, jeśli już jesteś IOD, to i tak nie raz zdarzy Ci się mieć wątpliwości i poszukiwać potwierdzenia swojej tezy. W tym wpisie przedstawiam moje 5 sposobów na bycie na bieżąco przez Inspektora Ochrony Danych.

To, co w ochronie danych jest pewne to to, że prawie nigdy nie ma jednej i na 100% prawidłowej odpowiedzi. Wszystko zawsze zależy od celu, kontekstu i podstawy prawnej przetwarzania danych. Dlatego, tak ważne jest, aby systematycznie podnosić swoją wiedzę, być na bieżąco z aktualnymi problemami i wiedzieć jak i gdzie znaleźć podpowiedzi, które pomogą Ci w wykonywaniu obowiązków Inspektora Ochrony Danych.

Chciałabym podzielić się z Tobą moimi sprawdzonymi sposobami na ciągłe poszukiwanie wiedzy, podnoszenie kwalifikacji i zdobywanie doświadczenia w wykonywaniu funkcji Inspektora Ochrony Danych. Większość z nich jest bezpłatna. Będą jednak wymagały zaangażowania Twojego czasu. Dzielę się nimi również na kursach dla Inspektorów Ochrony Danych, które cyklicznie prowadzę. Możesz wybrać najlepiej Ci odpowiadające. Pamiętaj jednak, że najlepszym rozwiązaniem jest połączyć wszystkie te sposoby, aby osiągnąć najlepsze rezultaty w stosunkowo krótkim czasie.

Funkcja Inspektora Ochrony Danych wymaga posiadania fachowej wiedzy na temat ochrony danych.

Sposób nr 1. Czytaj RODO. Nie raz, nie dwa, a kilka razy.

Dla każdego Inspektora Ochrony Danych najważniejszym i głównym źródłem wiedzy jest RODO. Jeśli zamierzasz zajmować się zawodowo ochroną danych, nawet jeśli będziesz to robić tylko na jedną dziesiątą etatu, to podstawą jest zapoznanie się z dokumentem źródłowym. Wbrew pozorom ten pierwszy krok jest często pomijany. Tymczasem tekst RODO jest dostępny w języku polskim za darmo, do pobrania ze strony EUR-Lex, bazy aktów prawnych Unii Europejskiej. Moim zdaniem jest napisany przystępnym językiem, na ile o przystępności można mówić w kontekście przepisów prawa. Polecam szczególnie Twojej uwadze tzw. motywy. Są to kolejne wersy preambuły Rozporządzenia, oznaczone numerami w nawiasach od (1) do (173). Zanim przejdziesz do czytania kolejnych artykułów rozporządzania, warto zapoznać się właśnie z motywami, gdyż w ich treści można odnaleźć wiele wskazówek na temat stosowania RODO, interpretacji niektórych pojęć i definicji, etc.

Dla każdego Inspektora Ochrony Danych najważniejszym i głównym źródłem wiedzy jest RODO.

Oczywiście, za pierwszym razem możesz mieć mały mętlik w głowie, ale warto do tekstu wrócić i zaznaczyć sobie te kwestie, które zwrócą Twoją uwagę. I tak za każdym razem. Mój egzemplarz RODO, wydrukowany w 2016 roku, ledwie się trzyma. Plastikowa okładka odpada, a najważniejsze dla mnie kwestie są zaznaczone kolorowymi flamastrami i uwagami na marginesach.

Oczywiście RODO to nie wszystko. Dodatkowo, musisz zapoznać się z przepisami sektorowymi, które dotyczą przetwarzania danych w branży lub obszarze, w którym będziesz pracować jako Inspektor. Równie istotne jest śledzenie wszystkich zmian przepisów, które dotyczą prywatności, ochrony danych, gromadzenia, czy archiwizowania danych. I tak, wszystkim osobom pełniącym te funkcje przyda się znajomość Kodeksu Pracy, ale tylko niektórym Karta Nauczyciela, Prawo oświatowe, czy znajomość przepisów medycznych. Ważne jest, aby wybrać te akty prawne, które dotyczą obszaru, w którym działasz i na bieżąco śledzić zmiany, a tych w najbliższych latach z pewnością nie zabraknie.

Sposób nr 2.  Strony www i media społecznościowe.

Internet i jego zasoby to najczęstszy kierunek poszukiwania informacji, ale warto wiedzieć na których stronach poszukiwać rzetelnych treści, aby mieć pewność, że to, co czytasz jest nadal aktualne. Pamiętaj, że nie tylko przepisy się zmieniają, ale także ich interpretacje, dlatego to, co zostało zamieszczone rok temu dziś może już nie być adekwatne. Pierwsze wpisy, który dodawałam na swojej stronie już od 2017 roku, aktualizuję na bieżąco i to, co czytasz jest zawsze na czasie.

Nie tylko przepisy się zmieniają, ale także ich interpretacje!

Po pierwsze, zaglądaj cyklicznie na oficjalną stronę Urzędu Ochrony Danych Osobowych. Ja robię to co najmniej raz w tygodniu, aby śledzić publikowane komunikaty i aktualności. Możesz także obserwować strony innych europejskich odpowiedników PUODO. Szczególnie wiele przydatnych informacji zamieszcza brytyjski organ ochrony danych – ICO (Information Commissioner’s Office), a także francuski CNIL (Commission Nationale de l’Informatique et des Libertés ). Jeśli zamierzasz korzystać  z materiałów zagranicznych urzędów ochrony danych pamiętaj o tym, aby traktować je bardziej jako wskazówkę, inspirację. Nasz rodzimy PUODO może mieć nieco odmienne zdanie w niektórych kwestiach, więc trzeba zachować rozwagę.

Kolejną drogą są media społecznościowe. Są łatwo dostępne, cieszą się powszechnym zainteresowaniem i coraz więcej nie tylko firm, ale i instytucji zakłada konta na serwisach społecznościowych i promuje swoją działalność. Możliwości jest wiele. Osobiście polecam LinkedIn. Warto obserwować tam kluczowe osobistości w temacie ochrony danych danych. Dla mnie są to: dr Wojciech Wiewiórowski, GIODO w latach 2010 – 2014, a obecnie zastępca Europejskiego Inspektora Ochrony Danych (EDPS), adw. dr Paweł Litwiński, który wraz ze swoim wspólnikiem – radcą prawnym Pawłem Bartą, jest współautorem wielu komentarzy do ustawy o ochronie danych, jak i RODO, a tematyką ochrony prywatności zajmuje się od kilkunastu lat, dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator prac nad reformą ochrony danych w Polsce.

W mediach społecznościowych swoje konta posiada również wspomniany wyżej ICO, CNIL, czy EDPS. Bez trudu odnajdziesz je na LinkedInie.

Sposób nr 3. Opinie Grupy roboczej art. 29

Opinie Grupy roboczej art. 29 ds. ochrony danych osobowych były i nadal są nieocenionym źródłem wiedzy na temat aktualnych zaleceń i interpretacji dotyczących ochrony prywatności na arenie europejskiej. Grupa ta, to niezależny podmiot o charakterze doradczym, powołana na podstawie art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Obecnie, od dnia 25 maja 2018 r., zgodnie z RODO zastąpiona przez Europejską Radę Ochrony Danych. Członkami tego organu są przedstawiciele organów ochrony danych państw członkowskich, a zadaniem jest między innymi wydawanie opinii i zaleceń we wszystkich sprawach dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych w UE.

Opinie Grupy roboczej są nieocenionym źródłem wiedzy. Także te sprzed maja 2018 r., są nadal aktualne i dostępne w języku polskim na stronie PUODO.  Zwykle trzeba poświęcić trochę czasu na zapoznanie się z nimi i właściwe odniesienie do konkretnego przypadku, ale dają obraz kierunku interpretacji, którą prawdopodobnie będzie kierował się nasz Urząd Ochrony Danych Osobowych. Opinie grupy nie są wiążące, ale niemalże w każdym przypadku organy ochrony danych krajów członkowskich, w tym PUODO, uznają je i powołują się na nie w swoich opiniach. Warto więc je wcześniej znać.

Opinie Grupy roboczej są nieocenionym źródłem wiedzy.

Sposób nr 4. Sprawozdania PUODO i plan kontroli sektorowych.

Plan kontroli sektorowych pozwoli przygotować się do ewentualnej kontroli.

Zgodnie z art. 78 ust. 2 ustawy 10 maja 2018 r. o ochronie danych osobowych PUODO prowadzi kontrolę zgodnie z zatwierdzonym planem kontroli lub na podstawie informacji uzyskanych przez Prezesa Urzędu w kwestii przestrzegania stosowania RODO. Plan kontroli sektorowych w I Q roku jest zawsze dostępny na stronie organu. Co roku jest bardzo oczekiwany, ponieważ daje wskazówkę nie tylko o sektorach, które mogą spodziewać się kontroli, ale także często o zakresie lub, jak kto woli, temacie potencjalnej kontroli, np. w latach poprzednich prowadzone były kontrole w związku ze stosowaniem monitoringu pozwalającego na profilowaniu klientów, czy w związku z rejestracją pacjentów. A to daje już wskazówkę na temat tego, jakie zgłoszenia i skargi mogły trafiać do urzędu w roku poprzednim. Daje to dużą dawkę wiedzy na temat tego, czego się spodziewać, co sprawdzić, na co położyć nacisk podczas okresowych sprawdzeń prowadzonych przez Inspektora Ochrony Danych.

Kolejna opcja to sprawozdania, które organ ochrony danych zdaje do połowy roku za rok poprzedni ze swojej działalności. W sprawozdaniu, oprócz statystyk, ilości prowadzonych kontroli, etc., znajdziemy między innymi informacje o tym jakie były wyniki sprawdzeń w kontrolowanych podmiotach i na co szczególnie inspektorzy zwracali swoją uwagę. Tym sposobem będziesz na bieżąco z aktualnymi problemami, z którymi spotkali się inspektorzy organu. Otrzymasz bezpłatnie dużą wskazówkę, którą możesz wykorzystać w  swojej działalności.  Być może zainspiruje Cię to do rozwiązania podobnych problemów w podmiocie, w którym pełnisz funkcję Inspektora Ochrony Danych, wyprzedzisz pewne działania i od razu będziesz mógł skorygować niektóre z nich, o ile w okażą się nieprawidłowe.

Sposób nr 5. Szkolenia i kursy.

Jednym z najszybszych sposobów na zapoznanie się z przepisami i aktualizowanie ich wytycznych jest uczestniczenie w szeregu specjalistycznych kursów i szkoleń. Jest wiele płatnych opcji dostępnych na rynku. Jedno jest pewne – jednodniowe szkolenie ogólne o RODO jest dobre, ale dla osoby początkującej, by zapoznać się z przepisami. Natomiast dla Inspektora Ochrony Danych, czyli osoby mającej fachowo zajmować się ochroną danych, będzie to niewystarczające. Kolejnym etapem mogą być więc kursy dla Inspektora Ochrony Danych, dedykowane szkolenia z analizy ryzyka, prowadzenia audytu wewnętrznego, czy zarządzania bezpieczeństwem informacji wg ISO 27001. Wszystko zależy od tego, na jakim poziomie jest potrzebna wiedza i kompetencje Inspektora Ochrony Danych w podmiocie, w którym zamierzasz pracować.

Dobrym sposobem poszerzania wiedzy są także szkolenia organizowane przez Urząd Ochrony Danych Osobowych. Wcześniej były to szkolenia sektorowe dla Inspektorów Ochrony Danych, zgłoszonych do UODO przez administratorów danych z konkretnych obszarów działania. Teraz są to szkolenia tematyczne, często dostępne także online. Dlatego warto śledzić stronę PUODO cyklicznie, ponieważ umieszczane są na niej informacje o nadchodzących wydarzeniach. Zainteresowanie jest zwykle bardzo duże i decyduje kolejność zgłoszeń. Udział w szkoleniu jest bezpłatny.

Szkolenia i kursy były, są i będą jednym z najlepszych sposobów na poszerzenie swojej wiedzy.

Jeśli chcesz szybko, kompleksowo i skutecznie wdrożyć się w pracę Inspektora Ochrony Danych – sprawdź szkolenia i kursy online, które organizuję.

error: Nie kopiujemy!