Chcesz zostać Inspektorem Ochrony Danych lub powołano Cię do pełnienia tej funkcji? Nie masz jednak pewności jaka jest rola IOD i co tak naprawdę powinien robić? Przeczytaj koniecznie jakie są zadania Inspektora Ochrony Danych. Dzięki temu unikniesz tych zadań, które nie należą do Twoich obowiązków.

Rola Inspektora Ochrony Danych.

Inspektor Ochrony Danych to osoba, która w imieniu administratora danych będzie nadzorowała przestrzeganie RODO oraz innych ustaw sektorowych związanych z przetwarzaniem danych w organizacji, w której zostanie powołana. Nadzorowanie to pojęcie bardzo obszerne, dlatego w kolejnym punkcie przybliżam konkretne zadania Inspektora Ochrony Danych i czynności za które jest odpowiedzialny.

W tym miejscu jednak trzeba wyraźnie zaznaczyć, że w RODO jest także wiele innych obowiązków, które niektórzy administratorzy danych próbują przenieść na Inspektora Ochrona Danych. Takie działanie wiąże się nie tylko ze zwiększeniem pracochłonności pełnienia tej roli, ale w niektórych sytuacjach nawet przeczy funkcji kontrolnej i nadzorczej, którą Inspektorom nadaje RODO. Dlatego przyjmując na siebie dodatkowe obowiązki, nieprzewidziane wprost w RODO, należy najpierw sprawdzić, czy ich wykonywanie nie będzie konfliktem interesów. Administrator lub podmiot przetwarzający, który powołał IOD, powinien zapewnić mu niezależność i odrębność organizacyjną.

 

Rola informacyjno-doradcza.

Zadania Inspektora Ochrony Danych zostały wskazane w art. 39 RODO z podziałem na trzy zasadnicze obszary kontroli i wsparcia administratora danych. Rozwinę jednak większość z nich poniżej, aż do konkretnych czynności, które w praktyce powinien wykonywać Inspektor Ochrony Danych.

Pierwsza grupa zadań jest związana z szerokopojętym informowaniem organizacji, która powołała Inspektora Ochrony Danych. Informowanie dotyczy wszelkich obowiązkach spoczywających na organizacji i jej pracownikach w związku z przetwarzaniem danych. Mowa tutaj zarówno o wymogach RODO, jak i innych przepisach prawa UE lub prawa krajowego, które dotyczą ochrony danych. Inspektor Ochrony Danych nie powinien jednak, zgodnie z tym przepisem, ograniczyć się wyłącznie do przekazania informacji o wymogach RODO, ale powinien także doradzić i rekomendować najlepsze rozwiązania dla tej konkretnej organizacji.

 

Jak informować i doradzać?

Jakie zatem czynności możemy zaliczyć to tej grupy zadań informacyjno – doradczych?

Inspektor Ochrony Danych, w mojej ocenie, powinien prowadzić wewnętrzne szkolenia dotyczące ochrony i bezpieczeństwa danych osobowych dla pracowników organizacji. Jeśli nie czuje się na siłach, aby samodzielnie przeprowadzić takie szkolenie może zwrócić się do administratora  o zapewnienie budżetu na ten cel. Szkolenia mogą mieć formę szkolenia wewnętrznego lub zleconego dla potrzeb organizacji.  Obie formy spełnią tę funkcję. Zamiast prowadzenia szkolenia można także dostarczyć pracownikom materiały informacyjne. Prezentacje lub filmy szkoleniowe również zapewnią dostęp do rzetelnej i aktualnej wiedzy. Warto podkreślić, że zgodnie z art. 38 ust. 2 RODO administrator ma wspierać Inspektora Ochrony Danych w wypełnianiu przez niego zadań, w tym zapewniając mu między innymi zasoby niezbędne do utrzymania jego wiedzy fachowej.

Ponadto Inspektor Ochrony Danych powinien regularnie spotykać się z administratorem danych i przekazywać bieżące informacje na temat zmieniających się przepisów prawa lub ich interpretacji. Drugim celem takiego spotkania jest jednoczesne wskazanie jakie zmiany są potrzebne w firmie lub instytucji. Częstotliwość takich spotkań należy jednak oceniać indywidualnie to skali działania i stopnia zmienności sektora, w którym ta organizacja działa.

Inspektor Ochrony Danych powinien regularnie spotykać się z administratorem danych.

Warto dokumentować wszelkie działania informacyjne, jak szkolenia i spotkania z administratorem. Można w tym celu sporządzić listę obecności na szkoleniu lub notatkę ze spotkania. Pomocny będzie także raport Inspektora Ochrony Danych z zaleceniami do wdrożenia. Dzięki temu potwierdzamy nie tylko wykonywanie zadań przez Inspektora Ochrony Danych, ale i administratora, który wykazuje tym sposobem swoje zaangażowanie.

Monitorowanie i kontrolowanie jako zadanie IOD.

Kolejny obszar zadań Inspektora Ochrony Danych sprowadza się do monitorowania i kontrolowania przestrzegania przepisów i wdrożenia odpowiednich środków organizacyjnych i technicznych przez administratora danych.

Inspektor Ochrony Danych powinien monitorować zgodność polityk wewnętrznych organizacji z przepisami UE i prawa krajowego w zakresie ochrony danych. IOD powinien więc nadzorować i kontrolować środki organizacyjne, jak np. procedury, instrukcje, zasady postępowania, dokumenty i formularze za pośrednictwem których następuje gromadzenie danych, etc.

W tym obszarze Inspektor Ochrony Danych ma za zadanie także nadzorować i kontrolować środki techniczne, informatyczne lub fizyczne, wdrożone przez organizację. Celem tej kontroli powinno być zweryfikowanie, czy  te zabezpieczenia zapewniają ochronę odpowiednią do zagrożeń oraz kategorii tych danych. W szczególności , czy zabezpieczają dane przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem.

Inspektor Ochrony Danych ma za zadanie także nadzorować i kontrolować środki techniczne, informatyczne lub fizyczne, zapewnione i wdrożone przez organizację.

Wyrazem monitorowania i kontrolowania będą audyty wewnętrzne, prowadzone przez Inspektora Ochrony Danych.  W ich wyniku IOD powinien ustalić stan faktyczny i ustalić ewentualne niezgodności z przepisami prawa lub wcześniejszymi zaleceniami.  Efektem tego będzie raport Inspektora, w którym powinny się znaleźć wszystkie zalecenia i rekomendacje rozwiązań zgodnych z RODO i dobrymi praktykami bezpieczeństwa informacji.

IOD nie odpowiada za decyzje administratora.

To, jakie środki organizacyjne i techniczne zostaną wdrożone zależy od kierownika jednostki organizacyjnej, czy też zarządu firmy.  Inspektor Ochrony Danych jest tą osobą, która ma kontrolować, czy są one na odpowiednim poziomie w stosunku do zagrożeń i ryzyka. Jeśli uzna, że są one niewystarczające – powinien o tym poinformować administratora danych. Ten jest zobowiązany do wdrożenia skutecznych metod. Czasami administrator danych nie jest świadomy, że nawet mała zmiana może przynieść duży efekt i zabezpieczyć zarówno siebie, jak i dane osobowe. To administrator danych odpowiada wyłącznie za podejmowane decyzje. Jeśli Inspektor Ochrony Danych wykaże, że rekomendował poprawę bezpieczeństwa, a administrator nie dostosował organizacji wbrew zaleceniom, to IOD nie odpowiada za skutki.

Pełnienie funkcji punktu kontaktowego przez IOD.

Ostatnia grupa zadań Inspektora Ochrony Danych to tzw. pełnienie funkcji punktu kontaktowego.

Inspektor Ochrony Danych może się spodziewać kontaktu i potrzeby współpracy z co najmniej czterech różnych stron. Przede wszystkim jest punktem styku pomiędzy osobami, których dane organizacja przetwarza, a administratorem danych. To ochrona praw i wolności tych osób jest jednym z zadań Inspektora Ochrony Danych. Każda osoba, której organizacja dane przetwarza może skontaktować się z Inspektorem. W niektórych sytuacjach może, np. poprosić o dostęp do danych, wnieść sprzeciw na przetwarzanie danych, zgłosić naruszenie, etc.

Kontakt IOD – UODO.

Drugie możliwe pole kontaktu to organ nadzorczy. Współpraca z Urzędem Ochrony Danych jest jednym z zadań bezpośrednio zapisanym w art. 39 RODO. W jakich zatem sytuacjach Inspektor może się spodziewać potrzeby pełnienia funkcji punktu kontaktowego dla UODO?

Można tutaj wyróżnić co najmniej 3 możliwe przypadki, w których taka współpraca ze strony IOD będzie niezbędna. Najczęściej będzie to związane z naruszeniem ochrony danych, które wystąpi w organizacji. Dane kontaktowe Inspektora są jedną z informacji, którą należy podać podczas wypełniania formularza zgłoszenia naruszenia. UODO z pewnością będzie się kontaktował z Inspektorem Ochrony Danych, aby uzyskać więcej informacji na temat zdarzenia.

Dane kontaktowe Inspektora są jedną z informacji, którą należy podać podczas wypełniania formularza zgłoszenia naruszenia.

Druga sytuacja, wskazana wprost w RODO, to uprzednie konsultacje, o których mowa w art. 36 RODO. Konsultacje te są związane z oceną skutków dla ochrony danych. Występują wyłącznie wtedy, gdy administrator danych w wyniku przeprowadzonej oceny nie będzie w stanie zapewnić odpowiedniej ochrony przetwarzanych danych. Jest to raczej rzadka sytuacja, ale nie można jej całkowicie wykluczyć.

Trzecia możliwość to pełnienie funkcji punktu kontaktowego dla organu nadzorczego we wszystkich pozostałych kwestiach związanych z przetwarzaniem. Tu warto wymieniać takie sytuacje, jak prowadzenie postępowania wyjaśniającego w związku ze zgłoszoną skargą lub w trakcie prowadzonej kontroli przez UODO.

Inne zadania Inspektora Ochrony Danych.

Inspektor Ochrony Danych może wykonywać także inne zadania, ale nie mogą one powodować konfliktu interesów z jego podstawową funkcją nadzorczą.

W praktyce wielu Inspektorów Ochrony Danych zmaga się z zadaniami, które należą do administratora danych lub podmiotu przetwarzającego. Poniżej wymieniam przykładowe obowiązki, które są cedowane na IOD, a także oceniam, na ile ich wypełnienie jest możliwe bez narażenia się na zarzut wystąpienia konfliktu interesów.

Inspektor Ochrony Danych może wykonywać także inne zadania, ale nie mogą one powodować konfliktu interesów z jego podstawową funkcją nadzorczą.

Jednym z najczęściej występujących ponadprogramowych zadań jest wydawanie upoważnień do przetwarzania danych i prowadzenie ewidencji osób upoważnionych. W mojej ocenie wykonywanie tych obowiązków leży w całkowitej sprzeczności z funkcją kontrolną. Inspektor Ochrony Danych byłby w takiej sytuacji zmuszony sam sprawdzać, czy wykonał należycie te zadania. O tym problemie piszę więcej w artykule poświęconym całkowicie kwestii wydawania upoważnień, pt. “Kto powinien wydawać upoważnienia do przetwarzania danych?”.

Kolejną kwestią sporną jest prowadzenie rejestru czynności przetwarzania lub rejestru kategorii przetwarzania. To zadanie nie jest przypisane do Inspektora Ochrony Danych. Wręcz przeciwnie. Zgodnie z art. 30 ust. 1 rejestr czynności powinien prowadzić administrator danych. Natomiast zgodnie z art. 30 ust. 2 RODO rejestr kategorii prowadzi podmiot przetwarzający. Skąd więc bierze się koncepcja nakładania tego obowiązku na IOD?

Moim zdaniem dzieje się tak dlatego, że wcześniej pozycja Administratora Bezpieczeństwa Informacji (poprzednika IOD) nie była tak silna, jak obecnie rola Inspektora. Dodatkowo, to Administrator Bezpieczeństwa Informacji prowadził wtedy wszelkie rejestry, jak np. rejestr zbiorów. Obecnie więc niektórzy administratorzy danych prawdopodobnie nie są świadomi różnic jakie wiążą się z tymi funkcjami.

Z drugiej strony – tu stanę po stronie administratora – ciężko sobie wyobrazić, aby kierownik jednostki lub prezes zarządu dużej organizacji samodzielnie prowadził takie rejestry. Prawdopodobnie taki wykaz w ogóle by nie powstał lub nie byłby na bieżąco aktualizowany. Dlatego w tym przypadku uważam, że Inspektor Ochrony Danych mógłby prowadzić i aktualizować rejestr czynności i rejestr kategorii. Warunkiem jednak jest wyraźnie określenie w politykach wewnętrznych, że robi to wyłącznie na podstawie informacji lub wniosków otrzymywanych od administratora danych lub kierowników jednostek organizacyjnych.

 

Podsumowanie.

Role i zadania w systemie ochrony danych muszą jasne i jednoznacznie przypisane. Dzięki temu organizacja sprawnie i prawidłowo funkcjonuje. Ma to także duże znaczenie w zarządzaniu bezpieczeństwem informacji. Administrator danych i Inspektor Ochrony Danych to nie jedyne osoby, których zadania powinny być ustalone i opisane. O organizacji systemu ochrony danych pisałam bliżej w artykule pt. “Role i zadania w systemie ochrony danych. Kto jest kim?”

Zajrzyj do tego tekstu, szczególnie jeśli jesteś na początku drogi do zostania pełnoetatowym Inspektorem Ochrony Danych. Zrozumienie tych zależności i roli poszczególnych osób pomoże Ci w przyszłości w ustaleniu prawidłowych zasad współpracy z innymi uczestnikami tego systemu.

error: Nie kopiujemy!