Obowiązki Inspektora Ochrony Danych Osobowych

Można odnieść wrażenie, że na temat RODO powiedziano już wszystko. Nie oznacza to jednak, że wszystko i dla wszystkich jest równie jasne i oczywiste. Nowe przepisy w ochronie danych osobowych wprowadziły bowiem sporo nowych regulacji, a jak pokazują bieżące wydarzenia – niektóre można interpretować w różny sposób.

Jedną z ważnych zmian jakie pojawiły się wraz z RODO, dotyczą roli Administratora Bezpieczeństwa Informacji (ABI), który teraz określany jest jako IOD, czyli Inspektor Ochrony Danych. Jak można się domyślać, zmiana nazwy to nie wszystko. Dlatego dziś podsumujemy najważniejsze informacje, różnice i obowiązki IOD.

IOD – czym różni się od ABI?

Jeśli śledzicie naszego bloga to wiecie, że nie jest to nasz pierwszy wpis na temat Inspektora Ochrony Danych. Wcześniej skupiliśmy się na bardziej praktycznej stronie, podpowiadaliśmy kiedy i jak należy powołać IOD. A dziś trochę więcej na temat samych obowiązków i funkcji jaką ma pełnić. Zacznijmy od tego czym zajmował się Inspektor Ochrony Danych zanim został Inspektorem?

Obowiązki ABI p.e.r. (przed erą rodo) określało Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

Administrator zapewniał przestrzeganie przepisów w ochronie danych osobowych, w szczególności poprzez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i sporządzanie sprawozdań dla administratora danych,
• nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych,
• zapewnianie aktualnej wiedzy dotyczącej przetwarzania danych i przepisów w tym zakresie osobom upoważnionym
• prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Oczywiście to dość ogólne sformułowania. Ale dziś nie chcemy się szczególnie mocno skupiać na tym co było, a bardziej na stanie obecnym. Jak zatem wyglądają obowiązki nowego ABI, czyli Inspektora Ochrony Danych w świetle przepisów RODO?

Obowiązki i zadania IOD zostały określone w artykule 39 RODO i należy do nich:

• doradzanie i informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych
• monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty
• współpraca z organem nadzorczym
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD – obowiązki i wyzwania 

Sam spis obowiązków bez dodatkowego omówienia nie daje pełnej wiedzy na ten temat. Chcielibyśmy zwrócić Waszą uwagę na kilka szczegółów, które mają tu duże znaczenie.

Po pierwsze, ważne jest aby zgodnie z art. 38 ust. 3, administrator oraz podmiot przetwarzający dane zapewnili, aby IOD był właściwie i niezwłocznie włączany we wszystkie sprawy związane z ochroną danych. Ważne też aby poza samą informacją zarówno administrator, jak i podmiot przetwarzający wspierali w działania IODa. Wspierali, czyli zapewniali nie tylko wiedzę, ale też wszelkie niezbędne zasoby i dostępy do danych i operacji przetwarzania. To podstawowa kwestia, od której uzależniona jest skuteczność działań Inspektora Ochrony Danych.

Warto pamiętać, że za analizę ryzyka odpowiedzialny jest Administrator Danych Osobowych (ADO). Podobnie jeśli chodzi o ocenę skutków. IOD jest włączany na żądanie ADO. Zatem od administratora zależeć będzie jaki zakres będą miały też poszczególne obowiązki IOD. W końcu ma on być realnym i profesjonalnym wsparciem dla administratora, a żeby tak się stało dochodzą często indywidualne potrzeby danej firmy. W różnych środowiskach i bazach ta pomoc może mieć różną formę i zakres.  Administrator może nie mieć pełnej wiedzy w zakresie przetwarzania danych, co nie zwalnia go z odpowiedzialności. Zatem im lepiej zorganizowana współpraca na linii ADO -IOD, tym skuteczniejsza ochrona. Duże znaczenie ma tu właściwe i niezwłoczne włączanie IOD w procesy przetwarzania. Czasami konieczne jest wdrożenie odpowiednich procedur, które pozwolą w zautomatyzowany sposób, w czasie rzeczywistym, wdrażać inspektora we wszystkie istotne czynności i projekty. Działa to też w drugą stronę.

Inspektor Danych powinien być wdrażany we wszystkie istotne procesy, ale też musi zadbać, aby wdrażać w niektóre procesy pracowników firmy. Pracownicy muszą mieć świadomość, że mają możliwość zwracać się do niego ze wszelkiego rodzaju problemami lub wątpliwościami związanym z przetwarzaniem danych. Rolą inspektora jest przekładanie przepisów na „ludzki język”. Jeśli IOD dowie się od pracowników o nieprawidłowościach, musi niezwłocznie poinformować o tym fakcie ADO. Komunikacja i związane z nią rozwiązania mają zatem decydujące znaczenie. W kontekście pracowników kolejnym obowiązkiem IOD wydaje się zatem przeprowadzenie szkoleń – zarówno wstępnych, jak i okresowych.

Inną ważną kwestią, o której często się zapomina jest fakt, że Inspektor Ochrony Danych nie jest wykonawcą swoich zaleceń. Mogłoby dochodzić do konfliktu interesów. Dlatego też, do obowiązków Inspektora nie należy wdrażanie rozwiązań. Głównym zadaniem jest udzielanie konkretnych zaleceń i nadzór nad ich realizacją. A to spora różnica. IOD musi mieć zapewnioną pełną niezależność, aby właściwie pełnić swoją funkcję.

Innym kluczowym zadaniem jest przeprowadzanie audytów. Monitorowanie przestrzegania wytycznych, wiąże z oceną ryzyka przetwarzania i wolności osób, których dane dotyczą.

Inspektor jest też punktem kontaktowym dla Prezesa UODO oraz osób, których dane dotyczą. To zdecydowanie usprawnia komunikację i daje dodatkową gwarancję, że będzie ona przeprowadzona profesjonalnie.

Pamiętajcie! Inspektorem może być osoba spoza (outsourcing) lub z danej organizacji, ale nie powinien być nim: wspólnik zarządzający, członek zarządu, główna księgowa, główny prawnik, aby nie dochodziło do konfliktu interesów!

Obsługa informatyczna firm

Trudno dokładnie opisać i rozgraniczyć wszystkie obowiązki IOD i funkcje jakie powinien pełnić w danej firmie. Oczywiście są one jasno określone, ale w różnych warunkach, mogą przybierać nieco innych charakter. Wiele zależy bowiem od kwestii organizacyjnych, potrzeb, baz danych, sposobów przetwarzania, skali biznesu itd. W grę wchodzi szereg indywidualnych czynników, które trzeba wziąć pod uwagę jeśli działania Inspektora Ochrony Danych mają być skuteczne.

Dlatego też najlepszą opcją jest wypracowanie własnych, indywidualnych procesów i rozwiązań, które będą zgodne z RODO a jednocześnie dopasowane do rzeczywistych założeń i warunków danej firmy. Jako WBT-IT z powodzeniem pełnimy rolę IOD i z doświadczenia potwierdzamy, że to najlepsze rozwiązanie. Dzięki temu, nasza obsługa informatyczna firm zapewnia realną ochronę i bezpieczeństwo i jest w stanie przynosić założone korzyści.

Przypominamy, że nie musicie zatrudniać samodzielnego specjalisty do swojej firmy. Obowiązki IOD można pełnić na zasadach outsourcingu. Zapraszamy zatem do skorzystania z naszych usług i doświadczenia. Jeśli szukasz sprawdzonego w boju partnera w tym zakresie, lub w przypadku innych usług RODO – zachęcamy do bezpośredniego kontaktu. Po omówieniu głównych wyzwań, potrzeb i warunków będziemy mogli zaproponować najlepsze rozwiązania, które zabezpieczą zarówno Administratorów Danych Osobowych, jak również osoby których te dane dotyczą.

Zapraszamy!