Inspektor ochrony danych (dalej: IOD) odgrywa kluczową rolę w systemie ochrony danych osobowych w organizacji. Ważne jest, aby rolę tę pełniła osoba posiadająca właściwe kompetencje i aby swoje zadania wykonywała w sposób niezależny od organizacji, w której funkcjonuje. Zrozumienie roli i statusu IOD, pozwala na wybór odpowiedniej osoby na to stanowisko. Niezbędne jest również odpowiednie umieszczenie IOD w strukturze organizacji.

Status IOD w organizacji

Inspektor ochrony danych pełni w organizacji kilka ważnych ról. Należą do nich:

  • IOD to niezależny specjalista, powinna cechować go fachowość. Jego niezależność powinna wynikać z dokumentacji wewnętrznej. Można przyjąć regulamin funkcjonowania IOD w organizacji.
  • IOD to profesjonalny doradca. Ma on świadomość uregulowań z zakresu RODO oraz zna uregulowania prawne dotyczącego sektora działania organizacji. IOD zna także praktyki, standardy w danej branży.
  • IOD to audytor, osoba która sprawdza, weryfikuje ustala stan faktyczny. Audyty powinny mieć charakter planowy. Audyty powinny być systematyczne, ADO i IOD powinni dokonać ustaleń w tym zakresie: kiedy, jakie i czym się będą kończyć.
  • IOD to szkoleniowiec. Rola szkoleniowca powinna być cykliczna, ustawiczna. Harmonogram szkoleń, zakres szkoleń, czy wszyscy pracownicy brali w nich udział?

Aby pełnić powyższe role, osoba będąca inspektorem powinna posiadać określony zbiór cech, które ułatwią wykonywanie zadań określonych w RODO. Inspektor powinien mieć swobodę w wyrażaniu własnego zdania, powinien posiadać umiejętność samodzielnego organizowania własnej pracy i jej planowania. Ponad to powinien być dociekliwy, asertywny i odporny na stres. IOD nie powinien ulegać wpływom, nawet ze strony najwyższego kierownictwa.

IOD dlatego, że pełni rolę niezależnego specjalisty powinien podlegać najwyższemu kierownictwu w organizacji. Pełnienie funkcji IOD nie powinno być dodatkiem do innych obowiązków pracowniczych. IOD może wykonywać inne obowiązki i zadania w organizacji, jednak nie powinny one powodować konfliktu interesów. Co do zasady, za powodujące konflikt interesów uważane są stanowiska kierownicze oraz niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Więcej o konflikcie interesów piszemy poniżej.

Przetwarzanie danych zgodnie z RODO jest obowiązkiem administratora i podmiotu przetwarzającego. IOD pełni funkcję doradczą. Zasady funkcjonowania, w tym nagradzania i karania IOD powinny być jasno wskazane w dokumentacji wewnętrznej. Ważnym aspektem w pracy IOD jest nieotrzymywanie instrukcji w zakresie wykonywanych zadań nawet od najwyższego kierownictwa.

Jak już wiemy, IOD jest specjalistą w swojej dziedzinie, więc RODO wymaga aby uczestniczył we wszystkich kwestiach związanych z ochroną danych osobowych w organizacji. IOD powinien być włączony w opiniowanie wszelkich procesów biznesowych w organizacji, wiążących się z przetwarzaniem danych osobowych od najwcześniejszego etapu. Takie działanie powinno być odzwierciedlone w dokumentacji wewnętrznej.

Skoro IOD pełni funkcje doradcze powinien być dostępny dla pracowników i administratora, aby mógł funkcjonować prawidłowo. Zgłaszanie wątpliwości bezpośrednio do IOD jest lepsze. Pomaga zaoszczędzić czas w przypadku incydentu, który trzeba zgłosić do Urzędu Ochrony Danych Osobowych (dalej:UODO). Ponadto bieżące konsultacje mogą zapobiegać popełnianiu błędów i nieprawidłowości w przetwarzaniu danych. Dzięki temu zmniejszymy prawdopodobieństwo wystąpienia incydentu lub naruszenia.

Elementem pozycji inspektora w organizacji oraz zapewnienia niezbędnych zasobów jest konieczność udzielania odpowiedzi na pytania IOD przez pracowników administratora (dalej: ADO). Pracownicy powinni odpowiadać na pytania inspektora, aby ten miał możliwość przekazania ADO jaki jest stan organizacji. Wszelkiego rodzaju ankiety, maile rozsyłane przez IOD mają mu pomóc w zebraniu informacji niezbędnych do ustalenia stanu faktycznego i wydania opinii oraz zaleceń dla administratora.

Kolejny ważny aspekt pracy IOD to brak samodzielnego podejmowania decyzji. Inspektor wydaje wyłącznie zalecenia, opinie, rekomendacje. IOD ustala stan, ale nie podejmuje decyzji w tym zakresie. Decyzje zawsze podejmuje administrator.

Kwalifikacje IOD

Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych wyznaczany jest na podstawie wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań określonych w RODO. Niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają przetwarzane dane osobowe. Problemem staje się określenie czy potencjalny kandydat na inspektora posiada odpowiednie kwalifikacje zawodowe. Co zatem może wskazywać, że IOD posiada niezbędne kwalifikacje?

Na pewno wykształcenie, najlepiej związane z bezpieczeństwem informacji. Ukończone studia i różnego rodzaju kursy z zakresu bezpieczeństwa informacji to wskazówka, że IOD ma niezbędne kwalifikacje. Kolejną wskazówką jest ukończenie studium, kursu dotyczącego ochrony danych osobowych. Również posiadanie certyfikatu znajomości norm ISO z grupy 27000 zapewnia IOD odpowiednie kwalifikacje. Jeśli IOD nie posiada wyżej wymienionych kursów, ale może udokumentować minimum dwa lata doświadczenia zawodowego w dziedzinie ochrony danych osobowych to również możemy uznać, że posiada kwalifikacje zawodowe. Panuje ogólne przekonanie, że IOD powinien być prawnikiem lub informatykiem. Oczywiście takie wykształcenie ułatwia wykonywanie zadań IOD, ale nie jest ono konieczne.

Należy pamiętać, że inspektor ochrony danych to nie może być osoba, która dopiero będzie się przyuczać. Już w momencie obejmowania funkcji musi być fachowcem w tej dziedzinie. Doświadczenie, jako aspekt oceny fachowości kandydata na IOD, nie musi dotyczyć wykonywania funkcji IOD. Doświadczenie kandydata na IOD może polegać na zajmowaniu wcześniej stanowisk związanych z ochroną danych osobowych lub wspierania IOD w wykonywaniu obowiązków. Takie doświadczenie może obejmować pracę w zespole IOD lub w kancelarii prawnej, firmie konsultingowej, które zapewniają obsługę podmiotów z zakresu ochrony danych osobowych.

Ważne jest, aby każdy administrator umiał wykazać dlaczego dana osoba ma jego zdaniem odpowiednie kwalifikacje, jeśli nie posiada wykształcenia w tym kierunku. Wybór IOD nie powinien być przypadkowy. To decyzja, którą należy podjąć rozważnie. Jak zatem administrator może sprawdzić kwalifikacje IOD? Oczywiście podczas procesu rekrutacji. Wykorzystać może kilka narzędzi, do których należą:

  • Kazus problemowy – czyli przypadek, zagadnienie będące przedmiotem rozstrzygnięcia. Jeśli jest jasny, prosty i nie będzie skłaniał do większej polemiki okaże się przydatnym narzędziem. Pomoże wykazać czy kandydat posiada odpowiednie przygotowanie.
  • Testy znajomości regulacji z zakresu ochrony danych osobowych. Oczywiście nie chodzi o sprawdzenie znajomości przepisów na pamięć, lecz o sprawdzenie, czy kandydat rozumie te przepisy i umie wykorzystać ich znajomość w praktyce.
  • Scenariusze dotyczące pozyskiwania informacji w ramach organizacji oraz hipotetyczne sytuacje. Czyli przestawiamy konkretną, hipotetyczna sytuację i sprawdzamy czy IOD wie w jaki sposób sobie poradzić w danej sytuacji, skąd wziąć informacje i jak zachował się w sytuacji stresowej.
  • Wyjaśnienie określonych zagadnień, np. czym jest podejście oparte na ryzyku, jak można szacować ryzyko, czym są dane biometryczne, czy wizerunek jest daną biometryczną.
  • Pomoc eksperta zewnętrznego.

Brak należytych kwalifikacji przekładających się na brak fachowości IOD może stanowić podstawę do rezygnacji z jego usług. Prezes Urzędu Ochrony Danych Osobowych mocno podkreśla ochronę inspektora jeśli wykonuje on swoje obowiązki. Jednak IOD nie jest nietykalny. Niezależność IOD dotyczy wykonywania zadań, ale nie terminowości czy porządku organizacyjnego.

Podstawy prawne wykonywania funkcji IOD

Po wybraniu odpowiedniego kandydata mamy możliwość skorzystania z dwóch form zatrudnienia go.

Pierwsza to umowa o pracę, z której wynika zakres obowiązków, podległość służbowa, konieczność zapewnienia narzędzi pracy. Przy umowie o pracę administrator może kierować IOD na szkolenia.

Druga forma to umowa cywilnoprawna – obowiązki IOD wyznaczają przepisy oraz treść umowy. W umowie powinno się zawrzeć więcej elementów niż w umowie o pracę, np. informacje jak IOD podnosi swoje kwalifikacje i jak informuje o tym ADO. Dobrze jest wskazać częstotliwość wykonywania audytów, cykliczność szkoleń itp.

Zadania i obowiązki IOD oraz ADO

Realizacja zadań i obowiązków przez IOD powinna mieć charakter zorganizowany i planowy oraz transparentny dla administratora. Bardzo ważna jest współpraca administratora z inspektorem. Muszą się komunikować i ustalać harmonogram pracy. Celem jest ustalenie m.in. zasad pracy, terminów wykonania zadań i sposobów raportowania z wykonania zadań.

Do głównych zadań IOD należą:

  • Informowanie administratora na temat obowiązków ochrony danych wynikających z RODO.
  • Doradzanie w zakresie wypełniania obowiązków wynikających z RODO, w tym: odpowiadanie na pytania, opiniowanie projektowanych procesów i dokumentów, opiniowanie zawieranych umów, udzielanie zaleceń z zakresu dokonywania oceny skutków dla ochrony danych osobowych oraz monitorowanie dokonywania tej oceny.
  • Monitorowanie przestrzegania przepisów RODO, w tym: prowadzenie audytu, sprawdzanie prawidłowości Rejestru Czynności Przetwarzania Danych, sprawdzanie prawidłowości i aktualności prowadzonej dokumentacji, prowadzenie szkoleń dla pracowników.
  • Współpraca z organem nadzorczym i pełnienie roli punktu kontaktowego dla organu nadzorczego.
  • Pełnienie roli punktu kontaktowego dla osób, których dane dotyczą.
  • Uczestnictwo we wszystkich kwestiach związanych z ochroną danych osobowych w organizacji, w tym: udział w postępowaniach dotyczących wyjaśnienia naruszeń dotyczących ochrony danych osobowych, udział w analizach przetwarzania danych osobowych w fazie projektowania, udział w okresowym szacowaniu ryzyka.

Precyzowanie zasad dotyczących wykonywania zadań IOD oraz rozliczanie wypełnienia tych obowiązków jest łatwiejsze przy umowie o pracę. Jednak, jak pisaliśmy powyżej, nie wyklucza to zwarcia umowy cywilnoprawnej. Warto zwrócić uwagę, aby zawierając inną umowę wprowadzić do niej dodatkowe zapisy precyzujące te czynności. Możemy określić w jaki sposób będziemy weryfikować pracę inspektora, w jaki sposób IOD powinien nam sygnalizować zakończenie zadania, jak często będzie przesyłał raporty, w jaki sposób IOD jest włączany w działania dotyczące ochrony danych w organizacji, np. procedura privacy by design.

Dodatkowe zadania, które może wykonywać IOD, niepowodujące konfliktu interesów:

  • prowadzenie Rejestru Czynności Przetwarzania Danych Osobowych,
  • prowadzenie rejestru kategorii czynności przetwarzania,
  • prowadzenie ewidencji naruszeń ochrony danych,
  • prowadzenie rejestru upoważnień – nie oznacza to nadawania upoważnień.

Obowiązki administratora względem IOD

Aby inspektor mógł wykonywać swoje zadania administrator musi zapewnić mu zasoby niezbędne do ich wykonywania. Współpraca ADO i IOD są niezmiernie ważne, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. W celu zapewnienia IOD możliwości wykonywania swoich zadań, ADO ma do wypełnienia następujące obowiązki:

Obowiązki ADO:

  • Włączanie IOD we wszystkie sprawy związane z RODO.
  • Dostępność dla IOD. W jaki sposób komunikują się ze sobą, w jaki sposób IOD może zgłaszać uwagi i zalecenia.
  • Unikanie konfliktu interesów.
  • Odnotowywanie przyczyn niezastosowania się do rekomendacji IOD. Jeśli ADO stosuje się do wskazówek IOD to mamy efekt pracy IOD. Jeśli się nie zastosuje to organ w przypadku kontroli stwierdzić może brak komunikacji pomiędzy ADO a IOD.
  • Zapewnienie utrzymania wiedzy fachowej IOD, w tym: zapewnienie możliwości udziału w szkoleniach dedykowanych IOD, zapewnienie możliwości udziału w konferencjach dotyczących ochrony danych osobowych, dostęp do literatury fachowej, współfinansowanie studiów podyplomowych, zlecanie zewnętrznych ekspertyz, dostęp do programów wspomagających i ułatwiający prace IOD.
  • Zapewnienie odpowiednich narzędzi i zasobów: poinformowanie pracowników o konieczności współpracy z IOD, o jego wyznaczeniu i roli w organizacji, wymiar czasu pracy – IOD musi mieć faktyczną możliwość i czas na wyrażenie opinii, zapewnienie niezbędnych narzędzi technicznych do pracy, np. adres e-mail na serwerach podmiotu, a nie IOD, aby mieć dostęp do korespondencji i jej ciągłość, wsparcie kadrowe (zespół jeśli wskazane), nadanie upoważnienia do przetwarzania danych osobowych, nadanie dostępu do systemów informatycznych.

Weryfikacja pracy IOD

Niezależność IOD nie oznacza, że jego praca nie podlega sprawdzeniu i kontroli. Funkcjonowanie IOD w organizacji powinno podlegać weryfikacji, gdyż nieprawidłowe jego funkcjonowanie niesie ze sobą negatywne konsekwencje w postaci upomnienia lub kary administracyjnej. Do tej pory Prezes UODO nie wydał decyzji nakładającej karę w związku z nieprawidłowym funkcjonowaniem IOD, jednak nakładał już upomnienia w związku brakiem kontroli IOD.

Z racji na szczególny status IOD w organizacji weryfikacja jego pracy to tak naprawdę ustalenie zasad współpracy administratora i inspektora. Powinni oni wspólnie ustalić obowiązki o charakterze organizacyjnym i sprawozdawczym, do których należą:

  • ustalenie planu pracy,
  • terminowość wykonywania obowiązków,
  • raportowanie okresowe,
  • raportowanie wykonanych zdań,
  • częstotliwość i zakres szkoleń,
  • częstotliwość i zakres audytów,
  • zapewnienie zastępowalności – umowy cywilnoprawne,
  • Dostępność dla pracowników Ado oraz dla ADO – zasady i minimalna częstotliwość wymiany informacji/odbywania spotkań/sposobu zadawania pytań.

IOD powinien aktywnie informować o realizacji zadań, powinien chcieć chwalić się wynikami swojej pracy. Dokumentacja pracy IOD jest ważna, a wykonanie zdania powinno pozostawić ślad. Istotne jest aby powyższe elementy zostały określone w przypadku zawarcia z IOD umowy cywilnoprawnej.

Dokumentowanie pracy IOD może wynikać z dokumentów wewnętrznych. Przykłady rozliczalności funkcji IOD w dokumentacji wewnętrznej to:

  • Regulamin funkcjonowania IOD.
  • Polityka ochrony danych osobowych: obowiązek opracowania planu pracy IOD i jego wykonywania, harmonogram i zasady szkoleń, harmonogram i zasady audytów, usystematyzowanie spotkań i kontaktów IOD z kierownictwem, ustalenie zasad raportowania wykonanych zadań.
  • Zakres obowiązków.
  • Upoważnienie do przetwarzania danych osobowych.
  • Treść umowy cywilnoprawnej.

Do weryfikacji pracy IOD administrator może wykorzystać także następujące narzędzia:

  • Audyt zewnętrzny przez podmiot wyspecjalizowany.
  • Audyt wewnętrzny – np. check lista, ankieta.
  • Zapoznanie się z raportami przewidzianymi w dokumentacji wewnętrznej.
  • Sprawdzanie stanu wykonania prac zgodnie z ustalonym harmonogramem.
  • Kontakt bezpośredni z IOD.

Konflikt interesów

RODO dopuszcza wykonywanie przez IOD innych zadań niż wskazane w rozporządzeniu. Należy jednak pamiętać, że może to być źródło konfliktu interesów, o czym wspominaliśmy powyżej. Każde zadanie powierzone inspektorowi nie może ograniczać jego niezależności, wynikającej wprost z przepisów.

Rodzaje konfliktu interesów:

  • czasowy,
  • organizacyjny,
  • merytoryczny.

Jeśli IOD ma zbyt dużo zadań do wykonania w krótkim okresie czasu może to doprowadzić do konfliktu czasowego. W celu uniknięcia konfliktu czasowego należy współpracować z IOD w celu ustalenia, czy nie jest on nadmiernie przeciążony. Może się to wiązać z koniecznością zapewnienia dodatkowej osoby do pomocy IOD lub ze zwiększeniem wymiaru czasu pracy IOD.

Konflikt organizacyjny pojawia się np. gdy IOD pełni jednocześnie funkcje inspektora ds. kadrowych i w tym zakresie podlegać będzie kierownikowi jednego z działów w organizacji. Konflikt ten dotyczy też sytuacji gdy IOD może przekazać swoje uwagi zarządowi dopiero po uzyskaniu akceptacji radcy prawnego obsługującego spółkę. Potencjalnie kierownik działu może wpłynąć pośrednio na IOD w zakresie oceny funkcjonowania ochrony danych osobowych w tym dziale. IOD powinien podlegać wyłącznie najwyższemu kierownictwu – co do zasady nawet w zakresie wykonywania innych zadań. Podległość służbowa czy wydłużenie ścieżki dostępu do najwyższego kierownictwa powoduje konflikt interesów.

Natomiast ingerowanie w zadania IOD czy audytowanie własnego procesu przetwarzania będą prowadziły do konfliktu merytorycznego. Przykładami takiego konfliktu są sytuacje, w których:

  • IOD otrzymał polecenie od członka zarządu, ze przedstawiona mu umowa powierzenia przetwarzania danych ma zostać zaopiniowana przez niego pozytywnie.
  • IOD w przypadku naruszenia danych osobowych ma doradzać w taki sposób by nie było konieczności informowania o zdarzeniu Prezesa UODO.
  • IOD ma jednocześnie wykonywać zadania pracownika działu kadr w zakresie przygotowywania umów o prace oraz dokonania zgłoszeń do ZUS US.
  • IOD nie może otrzymywać poleceń ingerujących w dokonywania przez niego ocen.
  • IOD nie może wykonywać zadań które będą następnie podlegały sprawdzeniu przez niego, w ramach wykonywania obowiązków IOD.

Podsumowanie

Inspektor ochrony danych pełni funkcje doradcze w organizacji. Każdej organizacji powinno zależeć, żeby korzystać z usług doradczych osób będących specjalistami w swojej dziedzinie. IOD powinien posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. Istotna jest także współpraca pomiędzy administratorem a inspektorem ochrony danych.

W celu zapewnienia ochrony danych osobowych w Państwa placówce świadczymy usługi wsparcia w zakresie pełnienia funkcji IOD oraz konsultacji i audytów. Więcej informacji znajdą Państwo na stronie Ochrona danych osobowych oraz Audyty.

KATEGORIE WPISÓW