Inspektor Ochrony Danych jest niezależny i powinien mieć pełne wsparcie kierownictwa organizacji. Zatem, jeżeli chcesz zostać IOD w swojej organizacji, to wiedz, że masz wachlarz narzędzi, które Ci w tej pracy pomogą! Ta niezależność Inspektora Ochrony Danych przejawia się w kilku aspektach, o których piszę w tym artykule.

RODO wprowadziło nową rolę, która zastąpiła dotychczasowego Administratora Bezpieczeństwa Informacji. Jest nim Inspektor Ochrony Danych. Jak wiadomo, oprócz instytucji publicznych, także niektóre przedsiębiorstwa i organizacje są zobowiązane wyznaczyć taką osobę w swoich szeregach. Na jakich warunkach zatem Inspektor może działać? Komu podlega?

Zgodnie z RODO, Inspektor Ochrony Danych – bez względu czy jest pracownikiem Administratora czy też nie – musi być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.

By wyjść naprzeciw tej żelaznej zasadzie działania Inspektora Ochrony Danych, RODO wprowadziło kilka szczegółowych rozwiązań. To dzięki nim ma zostać zachowana niezależność Inspektora Ochrony Danych.

Inspektor Ochrony Danych – bez względu czy jest pracownikiem Administratora czy też nie – musi być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.

Bezpośrednie raportowanie najwyższemu kierownictwu.

Jedną z zasad jest umieszczenie Inspektor Ochrony Danych w hierarchii bezpośrednio pod najwyższym kierownictwem. IOD powinien więc raportować w zakresie swoich działań wyłącznie do osób reprezentujących administratora danych, np. zarządu lub kierownika jednostki organizacyjnej. 

Właśnie taka podległość jest gwarancją niezależnej, wysokiej pozycji Inspektora Ochrony Danych w strukturze podmiotów publicznych i prywatnych. Oznacza ona także, że w ramach podejmowanych przez siebie czynności Inspektor nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym. 

Wspieranie IOD w wypełnianiu jego zadań.

Organizacja, która powoła Inspektora Ochrony Danych jest zobowiązana do wspierania go poprzez zapewnienie zasobów niezbędnych do wykonywania czynności związanych z pełnieniem tej funkcji.

Wsparcie Inspektora Ochrony Danych może polegać, np. na:

  •  zapewnieniu wymiaru czasu pracy,  który umożliwia IOD wykonywanie zadań. Będzie to szczególnie istotne, jeśli jest to pracownik organizacji, a funkcję tę pełni tylko w niewielkim wymiarze.
  • odpowiednim wsparciu finansowym, gdyż Inspektor Ochrony danych musi mieć możliwość ciągłego pogłębiania swojej wiedzy. Oprócz środków finansowych niezbędne będzie także przeznaczenie na to odpowiedniego zapasu czasu.
  • oficjalnym zakomunikowaniu wszystkim pracownikom faktu powołania IOD w organizacji i przedstawienie jego zadań. To z pewnością przyczyni się do umocnienia jego pozycji w organizacji i zwiększeniu świadomości pracowników o roli Inspektora.
  • wsparcie kadrowe, które może się okazać konieczne, np. podczas prowadzonych sprawdzeń. Takie wsparcie będzie szczególnie ważne, jeśli organizacja działa na dużą skal. Inspektor Ochrony Danych często nie miałby wtedy realnej możliwości samodzielnego wykonania tych czynności.

Zapewnienie IOD udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych.

Inspektor Ochrony Danych musi być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych w organizacji.

Zasada ta ma zapobiegać próbom ograniczania Inspektorowi dostępu do informacji niezbędnych do realizacji jego zadań. Niezwykle istotne jest, aby IOD był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z przetwarzaniem danych.

To działanie wymuszają takie zasady, jak privacy by design oraz privacy by default. Wymagają, aby już na etapie projektowania nowych rozwiązań w organizacji uwzględnić ochronę danych i zapewnienie zgodności z RODO. Warto o tym pamiętać, np. podczas projektowania nowych funkcjonalności systemu.

 

Zapewnienie niezależności Inspektora Ochrony Danych.

Kierownik jednostki organizacyjnej, ani zarząd nie może wydawać instrukcji Inspektorowi Ochrony Danych. Dotyczy to między innymi poleceń w temacie sposobu i zakresu wykonywana swojej funkcji. Nawet administrator danych nie może wpływać na to, jak często Inspektor Ochrony Danych prowadzi swoje kontrole wewnętrzne, czy to jakie obszary będą audytowane.

Oznacza to, że nikt w organizacji nie może mówić Inspektorowi, jak ma wykonać swoje zadania, jakich środków czy metod użyć, by je osiągnąć.

Unikanie konfliktu interesów.

Inspektor Ochrony Danych nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych. To organizacja, która go powołała musi zadbać o całkowitą niezależność Inspektora Ochrony Danych.

IOD może wykonywać inne, niezwiązane z ochroną danych osobowych zadania, jednak należy pamiętać, by nie wchodziły one w konflikt interesów z jego obowiązkami. Oznacza to, między innymi, że Inspektor nie może zajmować w organizacji stanowiska odpowiadające za ustalanie celów i sposob przetwarzania. Takim stanowiskiem może być, np. kierownik jednostki organizacyjnej, administrator systemu informatycznego, czy kierownik działu HR.  Szerzej na ten temat pisałam w artykule pt. “Kto może zostać Inspektorem Ochrony Danych.”

Zakaz odwoływania i karania IOD.

Organizacja nie może odwołać ani ukarać Inspektora Ochrony Danych za wykonywanie przez niego zadań. Rzecz jasna, mowa tu o prawidłowym wykonywaniu przez niego swoich obowiązków.  Najczęściej chodzi o sytuacje, gdy zalecenie IOD, mimo że zgodne z RODO, nie podobają się administratorowi danych z subiektywnych, często biznesowych powodów.

Organizacja nie może odwołać ani ukarać Inspektora Ochrony Danych za wykonywanie przez niego zadań

Sytuacje, które można tu potencjalnie wymienić to, np. odwołanie Inspektora Ochrony Danych za:

  • raportowanie o naruszeniu danych, które organizacja wolałaby ukryć,
  • prowadzenie szkoleń wewnętrznych dla pracowników, które organizacji wydają się zbyt angażujące pracowników,
  • prowadzenie audytów wewnętrznych, które organizacji wydają się za często,
  • rekomendacje i zalecenia dla poprawy systemu bezpieczeństwa danych tej organizacji.

Takie działanie ze strony organizacji jest karygodne i Inspektorowi Ochrony Danych przysługują uprawnienia związane z dochodzeniem roszczeń. IOD pracującey na podstawie na umowy o pracę z tego powodu może się odwołać do sądu pracy. Tym sposobem Inspektor Ochrony Danych ma stać się całkowicie niezależny od administratora.

Natomiast jeżeli Inspektor nie wywiązuje się ze swoich zobowiązań należycie, odwołanie go jest jak najbardziej możliwe.

Obowiązek zachowania tajemnicy i poufności.

Inspektor Ochrony Danych zobowiązany jest do zachowania tajemnicy i poufności co do zadań, które wykonuje. Charakterystyka jego roli daje mu dostęp do różnych kategorii danych, w tym wrażliwych. Obowiązują go także wszystkie przepisy prawa Unii Europejskiej i kraju członkowskiego, w którym pełni swoją rolę.

error: Nie kopiujemy!