Rozumienie tego, jak powinień działać system ochrony danych jest podstawą do  wdrożenia prawidłowego i skutecznego systemu bezpieczeństwa informacji. Dlatego w tym artykule wyjaśniam role i zadania wg RODO. Pokazuję także wzajemne zależności pomiędzy wszystkimi osobami i podmiotami związanymi z ochroną danych osobowych. Wiedza ta przyda się nie tylko początkującym Inspektorom Ochrony Danych, ale także tym, którzy chcą uzyskać właściwą pozycję w organizacji.

Moim zdaniem organizacje zbyt często skupiają się wyłącznie na roli i zadaniach Inspektora Ochrony Danych czy administratora danych. Pozostałe postaci systemu ochrony danych są równie ważne. Każda z nich ma konkretne zadania do wykonania i funkcje wg RODO, o których nie można zapominać. Wszystkie razem tworzą system, w którym brak lub nieprawidłowe działanie jednego elementu może zaważyć na całym procesie wprowadzenia i utrzymania skutecznego systemu ochrony danych.

 

Odpowiedzialność administratora danych osobowych (ADO).

Administrator danych osobowych decyduje o celach i środkach przetwarzania danych osobowych. To po tym rozpoznajemy, czy dany podmiot jest administratorem danych, które przetwarza. Administratorem może być, np. osoba prowadząca działalność gospodarczą, spółka prawa handlowego (z o.o., S.A.), publiczna jednostka organizacyjna, szkoła, szpital, przychodnia, etc.

Główną rolą administratora danych wg RODO jest zapewnienie środków technicznych i organizacyjnych dla ochrony przetwarzanych danych osobowych. Środki te powinny być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, dlatego jednym z zadań ADO jest przeprowadzenie analizy ryzyka i opracowanie planu postępowania z ryzykiem. Wynikiem takiego planu jest wykaz procedur, instrukcji oraz środków technicznych, informatycznych czy fizycznych, które będą zapewniały ochronę danych. Analiza ryzyka jest tematem bardzo obszernym, dlatego przygotowałam artykuł, który jest dedykowany wyłącznie temu zagadnieniu. W nim również odnoszę się do roli osób uczestniczących w przygotowaniu i przeprowadzeniu takiej oceny. Przeczytasz o tym w artykule pt. “Analiza ryzyka zgodna z RODO. Od czego zacząć?”

Główną rolą administratora danych jest zapewnienie środków technicznych i organizacyjnych dla ochrony przetwarzanych danych osobowych.

Podsumowując, to administrator danych, a konkretnie osoba go reprezentująca, np. kierownik jednostki organizacyjnej, prezes zarządu, dyrektor szkoły, odpowiada za wprowadzenie wszystkich procedur i instrukcji dotyczących ochrony danych, jak i środków technicznych, np. zabezpieczeń materialnych typu sejf, alarm przeciwwłamaniowy, niszczarki odpowiedniej klasy, etc. Administrator danych może rzecz jasna zlecić wykonanie lub zakupienie tych środków innym osobom, np. kierownikowi ds. technicznych – zakup niszczarki lub montaż alarmu, pracownikowi IT – instalację oprogramowania antywirusowego, etc. Ale to zawsze administrator danych odpowiada ostatecznie za brak tych środków lub ich niewłaściwe wdrożenie, np. wbrew zaleceniom Inspektora Ochrony Danych nie wdrożono polityki czystego biurka, etc. Przykładów może być wiele, jednak sprowadzają się do jednego – to ADO jest odpowiedzialny za prawidłowe działanie systemu ochrony danych.

 

Zadania administratora danych osobowych wg RODO.

Do poszczególnych zadań administratora danych należy, np.

  • wdrażanie odpowiedniej polityki ochrony danych w organizacji (polityki wewnętrzne),
  • uwzględnienie ochrony danych w fazie projektowania i domyślną ochronę danych (privacy by design, privacy by default),
  • powołanie Inspektora Ochrony Danych (jeśli organizacja ma taki obowiązek),
  • zgłaszanie naruszenia ochrony danych do PUODO w ciągu 72h od chwili jego stwierdzenia, a także osoby, której dane dotyczą (jeśli naruszone zostaną jej prawa i wolności),
  • kontrolowanie dostępu do danych,
  • spełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą,
  • respektowanie praw osób, których dane dotyczą,
  • inne obowiązki wskazane w RODO lub przepisach krajowych.

Sprawdź, czy w Twojej organizacji role i zadania wg RODO zostały właściciwie zaplanowane i opisane.

 

Rys. Role i zadania w systemie ochrony danych. Opracowanie własne.

 

Status Inspektora Ochrony Danych (IOD).

Inspektor Ochrony Danych raportuje bezpośrednio do administratora danych lub podmiotu przetwarzającego, który go powołał. W zakresie swego działania nie może otrzymywać poleceń, ani zadań od innych osób w podmiocie.

Rola i zadania Inspektora Ochrony Danych wg RODO sprowadzają się do monitorowania przestrzegania Rozporządzenia, innych przepisów UE lub ustaw krajowych w zakresie ochrony danych. W tym przejawia się przede wszystkim jego funkcja nadzorcza i kontrolna. Inspektor Ochrony Danych jest wewnętrznym audytorem RODO i bezpieczeństwa informacji. Dzięki temu organizacja może wykazać nie tylko przestrzeganie RODO, ale także to, czy zastosowane środki organizacyjne i techniczne są skuteczne. Zadania Inspektora Ochrony Danych omawiam bliżej wraz z przykładami w artykule pt. “Jakie są zadania Inspektora Ochrony Danych”. Dlatego w tym miejscu nie będę już powielać tego wątku, a skupię się na pozostałych podmiotach i osobach istotnych z punktu widzenia prawidłowego funkcjonowania systemu ochrony danych.

Inspektor Ochrony Danych jest wewnętrznym audytorem RODO i bezpieczeństwa informacji.

Powołanie Administratora Systemu Informatycznego (ASI).

Jedną z osób, o których pod względem systemu ochrony danych się niestety nadal zapomina jest Administrator Systemu Informatycznego. Odpowiada on w organizacji za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych. Jego rola nie jest wymieniona bezpośrednio w RODO.

Powołanie Administratora Systemu Informatycznego jest dobrowolne, ale bardzo ważne, szczególnie w dużych podmiotach, gdzie mamy do czynienia z wieloma systemami, w których przetwarzane są dane osobowe. Nad działaniami ASI rolę nadzorczą pełni Inspektor Ochrony Danych. Nie jest to bezpośrednia podległość, ale IOD jest uprawniony do weryfikowania zastosowanych zabezpieczeń i procedur, których funkcjonowanie dotyczy systemów informatycznych. Chociażby więc z tego względu nie wolno łączyć funkcji Inspektora Ochrony Danych z rolą Administratora Systemu Informatycznego.

Zadania Administratora Systemu Informatycznego wg RODO.

Zadania Administratora Systemu Informatycznego obejmują, np.:

  • zapewnienie bezawaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych,
  • nadzór nad naprawami, konserwacją i likwidacją urządzeń komputerowych, na których przetwarzane są dane osobowe,
  • kontrolę nad przesyłaniem danych osobowych drogą teletransmisji i ich prawidłowe zabezpieczenie,
  • przeciwdzianie dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe, np. poprzez nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych,
  • podejmowanie niezwłocznych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu danych lub systemu.

 

Rola kierownika komórki organizacyjnej wg RODO.

O ile rola Administratora Systemu Informatycznego jest jasna i organizacje coraz częściej decydują się na powołanie go, to w przypadku kierowników komórek organizacyjnych jest znacznie gorzej.

Organizacje zdają się zapominać o kierownikach działów, departamentów lub biur, które funkcjonują w jej strukturach. A to ich postawa i zaangażowanie ma duże znaczenie w tym, czy system, który wdrożymy będzie sprawnie funkcjonował. Im bardziej organizacja zadba o podniesienie świadomości kierowników, tym większe prawdopodobieństwo uniknięcia zdarzeń niepożądanych, wywoływanych, np. niewiedzą lub ignorancją zasad przez personel.

To kierownicy komórek mają za zadanie monitorować cel i zakres danych przetwarzanych pod ich kierownictwem. Inspektor Ochrony Danych mimo, że nie ma nad nimi bezpośredniego zwierzchnictwa, może wydawać kierownikom polecenia w zakresie swoich kompetencji, szkolić i w razie potrzeby, pouczać o przestrzeganiu procedur.

To kierownicy komórek mają za zadanie monitorować cel i zakres danych przetwarzanych pod ich kierownictwem.

 

Zadania kierownika komórki organizacyjnej.

Do zadań kierownika komórki organizacyjnej należą, np.:

  • sprawowanie w podległej komórce organizacyjnej nadzoru nad przetwarzaniem i obiegiem danych, które dotyczą zakresu ich działania,
  • umożliwienie odbycia szkoleń wewnętrznych, organizowanych przez Inspektora Ochrony Danych lub administratora danych,
  • dopilnowanie zapoznania się pracowników z udostępnioną im wprowadzoną dokumentacją przetwarzania danych w zakresie upoważnienia na danym stanowisku, np. nową procedurą,
  • umożliwienie przeprowadzenia czynności w toku sprawdzenia planowanego lub doraźnego przez Inspektora Ochrony Danych,
  • udzielanie Inspektorowi Ochrony Danych bieżących informacji na temat planowanych nowych czynności przetwarzania danych, zmiany dotychczasowych procedur postępowania, etc,
  • zgłoszenia naruszenia danych osobowych w podległych komórkach.

 

Rola i zadania osoby upoważnionej do przetwarzania danych wg RODO.

Nie wolno też zapominać o osobach, które przetwarzają dane. To one są na pierwszej lini kontaktu z osobami, których danymi organizacja administruje. Osoby te powinny mieć wysoką świadomość zasad dotyczących danych osobowych i polityki bezpieczeństwa informacji. Warto inwestować w ich wiedzę, by stali się największym gwarantem ochrony danych w organizacji.

Zadaniem osoby upoważnionej do przetwarzania jest:

  • przetwarzanie danych osobowych zgodnie z nadanym upoważnieniem,
  • zachowanie danych i sposobów ich zabezpieczenia w tajemnicy,
  • stosowanie się do instrukcji i procedur zawartych w dokumentacji przetwarzania danych, np. polityki bezpieczeństwa danych,
  • zgłaszania naruszenia ochrony danych, które są jej znane,
  • stosowanie środków organizacyjnych i technicznych, udostępnionych przez organizację dla zapewnienia ochrony przetwarzanych danych.

 

Rola i zadania podmiotu przetwarzającego.

W tym miejscu trzeba także wspomnieć o podmiocie przetwarzającym i jego roli w procesie ochrony danych. Jest to podmiot spoza organizacji, który przetwarza dane osobowe na zlecenie administratora danych w celu wykonania w jego imieniu zadania lub usługi. Klasycznym przykładem podmiotu przetwarzającego jest firma informatyczna, która utrzymuje lub serwisuje systemy informatyczne administratora danych, w których dane są przetwarzane. Przykładem może być tutaj szkoła, która jest administratorem danych osobowych jej uczniów. Szkoła gromadzi dane osobowe w celu prowadzenia nauczania. Wprowadza te dane, np. do dziennika elektronicznego. Dostęp do danych w systemie będzie miała firma informatyczna obsługująca to rozwiązanie. Dlatego szkoła powinna, zgodnie z art. 28 RODO zawrzeć z firmą informatyczną utrzymującą dziennik umowę powierzenia danych. Kolejny popularny przykład do outsourcing usług kadrowych lub księgowych. Administrator danych może zlecić w ramach usługi prowadzenie dokumentacji pracowniczej, rozliczenia księgowe, etc.

W obydwu wspomnianych przypadkach – zarówno firma informatyczna jak i biuro  księgowe – będziemy nazywać podmiotem przetwarzającym lub procesorem.

Zadaniem administratora danych jest wybranie takiego podmiotu przetwarzającego, który będzie zapewniał bezpieczeństwo danych, kierując się ich rzetelnością i fachową wiedzą. Natomiast podmiot przetwarzający, zgodnie z art. 28  ust. 3 lit. h) RODO, musi udostępniać administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków RODO oraz umożliwiać administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów.

 

Kontrolowanie podmiotu przetwarzającego.

Więcej o kwestii umowy powierzenia przetwarzania danych znajdziesz w artykule, pt. “Co powinna zawierać umowa powierzenia danych?”. Z moich doświadczeń wynika, że podmioty przetwarzające najczęściej chcą uniknąć odpowiedzialności związanej z przetwarzaniem danych, uniemożliwiając lub ograniczając w umowie powierzenia kwestię prowadzenia audytu przez administratora danych lub osoby przez niego do tego upoważnione. Tymczasem, udostępnienie informacji i umożliwienie przeprowadzenia takiego sprawdzenia (tylko w kwestii tego konkretnego procesu przetwarzania) nie jest dobrowolnością tylko obowiązkiem podmiotu przetwarzającego.

Z drugiej strony mam wrażenie, że administratorzy danych sami unikają tematu audytowania podmiotu przetwarzającego. Prawdopodobnie jest to spowodowane obawą przed zaangażowaniem zasobów do przeprowadzenia audytu, jak i poniesieniem kosztów finansowych, które mogą  być z tym związane. A w tym przypadku także przepisy prawa są jasne. Zweryfikowanie, czy podmiot przetwarzający spełnia gwarancje ochrony danych, które zostały mu powierzone, nie jest jego uprawnieniem, lecz wymogiem wynikającym z RODO. Administrator danych musi bowiem umieć udowodnić, że podmiot przetwarzający jest podmiotem godnym zaufania, zapewnia bezpieczne warunki przetwarzania. Dlatego warto ten aspekt wziąć również pod uwagę przy planowaniu audytów RODO w organizacji.

 

Urząd Ochrony Danych Osobowych (UODO). 

Na sam koniec zostawiłam Urząd Ochrony Danych Osobowych. Omówię teraz jego podstawowe zadania i  uprawnienia względem administratora danych i podmiotu przetwarzającego. Urząd Ochrony Danych Osobowych jest niezależnym organem nadzorczym nad ochroną danych osobowych w naszym kraju. Na jego czele stoi Prezes UODO  wraz z całym biurem, które w kilku departamentach pracuje nad przestrzeganiem przepisów w podmiotach publicznych, prywatnych, stowarzyszeniach i fundacjach.

PUODO może nakładać administracyjne kary pieniężne zarówno na podmioty publiczne, jak i prywatne, upomnienie lub nakazać zaprzestania przetwarzania danych.

UODO prowadzi kontrole przestrzegania przepisów o ochronie danych osobowych na podstawie planu kontroli, uzyskanych przez PUODO informacji, np. skargi osoby fizycznej, jak i w ramach monitorowania przestrzegania stosowania RODO.

UODO prowadzi kontrole przestrzegania przepisów o ochronie danych osobowych.

Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Przebieg czynności kontrolnych  kontrolujący przedstawia w protokole kontroli. Kontrola nie może trwać dłużej niż miesiąc od dnia podjęcia czynności. Nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu lub podpisanie i jego doręczenie.

Kontrolujący mają prawo wstępu w godzinach od 6.00 do 22.00, a także wglądu do wszelkich dokumentów i informacji mających bezpośredni związek z przedmiotem kontroli. Mogą przeprowadzać oględziny miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych, a także żądać złożenia wyjaśnień (pisemnych lub ustnych).

 

Współpraca z UODO.

Warto wiedzieć, że kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch! Urząd Ochrony Danych Osobowych jako jeden z aspektów przy ocenie wysokości kary administracyjnej w prowadzonych postępowaniach kontrolnych bierze pod uwagę także współpracę z organem nadzorczym. Jeśli podmiot utrudnia, zataja informacje i dokumenty niezbędne do przeprowadzenia kontroli to kara jest zwykle wyższa, a UODO informuje nawet o tym w uzasadnieniu swojej decyzji.

Współpraca z organem nadzorczym jest także jednym z zadań Inspektora Ochrony Danych. UODO może skontaktować się z IOD, np. w związku ze zgłoszonym przez organizację naruszeniem danych, jak i w trakcie konsultacji z organem nadzorczym związanych z oceną skutków.

Urząd Ochrony Danych Osobowych nie może być traktowany jak wróg administratora danych, podmiotu przetwarzającego czy Inspektora. System ochrony danych osobowych nie będzie działał w organizacji, jeśli na tej linii nie będzie zrozumienia i współpracy. Tymi słowami kończę i mam nadzieję, że będzie to także Twoja myśl przewodnia w pracy Inspektora Ochrony Danych.

error: Nie kopiujemy!