Omawiałem już zadania inspektora ochrony danych. IOD musi mieć odpowiednie warunki, aby swoje zadania realizować prawidłowo. Obowiązkiem administrator (danych osobowych) jest zapewnić odpowiedni status inspektora ochrony danych. Sprawić, że ma zasoby, warunki i odpowiednią pozycję w firmie. Inspektor również musi dołożyć do tego swoją cegiełkę.
Jaka jest rola administratora w zapewnieniu inspektorowi odpowiedniego statusu? Co IOD ma do zrobienia w tym zakresie? Odpowiedzi poszukamy w RODO.
Niezależność inspektora ochrony danych
Wymóg niezależności IOD jest podstawą do skutecznej i zgodnej z RODO realizacji jego zadań. Administrator może i musi spełnić ten wymóg. Wskazówki znajdziemy w Rozporządzeniu.1. IOD decyduje w jaki sposób działa
Administrator (lub podmiot przetwarzający u którego działa IOD) nie mogą wydawać inspektorowi instrukcji dotyczących wykonywania jego zadań.
Nie można narzucić inspektorowi ochrony danych tego, jakie decyzje i działanie ma w danej sprawie podjąć, jak ma interpretować przepisy RODO, itp.
Jest to bardzo istotna kwestia. RODO stawia IODa w dość specyficznej pozycji. Ma swoje obowiązki wobec firmy, ale też wobec Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dane dotyczą i wobec prawa. Jako ekspert sam musi oceniać jak się z tych obowiązków wywiązywać.
Doświadczony IOD w Twojej firmie? Mamy to!
Możesz mieć wykfalifikowanego IOD w swoje firmie od zaraz.
Nasz ekspert zrealizuje wszystkie wymagane przez RODO obowiązki Inspektora ochrony danych.
Wykona także dodatkowe ustalane indywidualnie zadania.
2. Inspektor ochrony danych (prawie) nietykalny
Wspomniałem już, że IOD sam decyduje o tym, jak realizuje swoje zadania. RODO mówi również, że nie można odwoływać ani karać inspektora za wypełnianie swoich zadań.
Przykład
W firmie zagubiono pendrive z danymi osobowymi. Inspektor ocenił tę sytuację, jako naruszenie ochrony danych osobowych, które należy zgłosić do PUODO. Administrator inaczej ocenił to naruszenie i ukarał IOD za „rozpętanie burzy w szklance wody” i odwołał go. Taka reakcja jest postępowaniem niezgodnym z RODO.
Nie oznacza to automatycznie, że inspektora ochrony danych nie można rozliczyć z wykonywanych zadań. Dokumentacja dotyczące ochrony danych osobowych (np. Polityka ochrony danych) i samo RODO wskazują jakie zadania ma IOD. W interesie firmy i samego IOD jest rozliczanie się z realizacji tych zadań. Jednak to IOD jako ekspert decyduje w jaki sposób je realizuje.
Przykład
Polityka ochrony danych w firmie mówi o tym, że IOD jest odpowiedzialny za podjęcie decyzji dotyczącej usunięcia danych osobowych na żądanie osoby, której te dane dotyczą. Audytor może zweryfikować, czy ten zapis jest realizowany. Nie powinien natomiast oceniać decyzji inspektora w tej kwestii pod kątem merytorycznym.
Uwaga
Powyższe nie oznacza, że IOD jest absolutnie bezkarny i poza kontrolą administratora / podmiotu przetwarzającego.
Inspektor jako pracownik podlega przepisom prawa pracy. Musi się wywiązywać ze swoich obowiązków pracowniczych jak każdy i ponosi również konsekwencje błędów.
Inspektor w outsourcingu związany jest zapisami umowy z administratorem. Warunki tego kontraktu również mogą stanowić podstawę do rozliczania IOD z wykonywania obowiązków.
Ponieważ nie ma jasnych kryteriów dotyczących tej kwestii, administrator powinien zawsze indywidualnie ocenić, czy ewentualne ukaranie lub odwołanie inspektora, nie jest jednocześnie naruszeniem RODO.
3. IOD jest jak wiceprezes do spraw RODO
Ponieważ IOD musi być niezależny, RODO jasno określa jego pozycję w firmie. Inspektor podlega najwyższemu kierownictwu. Można uznać, że jest „wiceprezesem do spraw ochrony danych osobowych”.
Wyznaczając IODa spośród pracowników firmy warto przyjrzeć się jego pozycji w organizacji. Jeśli zajmuje niezależne stanowisko, to łatwiej zapewnić, że nie będzie na niego nacisków.
Gorzej jeśli inspektor jest jednocześnie pracownikiem jakiegoś działu i ma swojego bezpośredniego przełożonego. Wtedy może zaistnieć konflikt interesów. RODO nie zabrania tego, by IOD miał inne obowiązki i zadania, nawet jeśli nie są one związane z RODO. Nie mogą one jednak generować takiego konfliktu.
Przykład
Administrator wyznaczył na inspektora ochrony danych, pracownika działu HR. Polityka ochrony danych mówi o tym, że IOD jest niezależny i podlega tylko najwyższemu kierownictwu.
Osoba wyznaczona na inspektora, podlega jednak (w zakresie swoich obowiązków związanych z HR) kierownikowi tego działu. Przez fakt podległości, może się zdarzyć, że kierownik HR wywiera wpływ na swojego podwładnego, również w zakresie ochrony danych osobowych.
Uwaga
Administrator powinien zbadać pozycję pracownika, nim wyznaczy go na inspektora ochrony danych. Warto przyjrzeć się temu zarówno od strony formalnej jak i nieformalnej. Zdarza się, że nieformalne relacje w firmie powodują, że dana osoba nie jest niezależna, ulega wpływom innych. W takiej sytuacji nie będzie w stanie skutecznie i zgodnie z RODO realizować zadań IOD.
Bardziej komfortową sytuacją jest, gdy w firmie działa IOD w ramach outsourcingu. W takim przypadku warunki umowy powinny zapewnić tej osobie odpowiednią pozycję w firmie. Zaletą tego rozwiązania jest również fakt, że inspektor z outsourcingu nie ma innych zadań, niż powiązane z rola IOD. To, że jest osobą z zewnątrz sprawia, że nie mają na niego wpływu nieformalne układy w przedsiębiorstwie.
Informacje kompletne i na czas
Inspektor ochrony danych osobowych musi być włączany we wszystkie sprawy związane z ochroną danych osobowych. Administrator musi podjąć działania w tym zakresie od chwili wyznaczenia IOD (a nawet przed).
1. (Przyszły) IOD musi wiedzieć w co się pakuje
Administrator powinien wprowadzić przyszłego IOD w sprawy związane z ochroną danych osobowych. RODO nie mówi o tym wprost, jednak tak nakazuje zdrowy rozsądek. IOD w momencie wyznaczenie go do tej funkcji, przyjmuje też pewną odpowiedzialność. Zanim podejmie się tego zadania, powinien wiedzieć z czym będzie się mierzył. Warto więc, aby zapoznał się z:- ogólnym stanem systemu ochrony danych,
- realizowanymi w firmie czynnościami przetwarzania i ryzykami, które są z nimi związane,
- dokumentacją ochrony danych osobowych. Dotyczy to również wszelkich rejestrów, bo na ich podstawie zbuduje sobie obraz tego, jakie działania są w toku (np. obsługa naruszeń),
- aktualnymi projektami, które wiążą się z przetwarzaniem danych osobowych.
2. Pracownicy muszą wiedzieć o inspektorze ochrony danych
Fakt wyznaczenia inspektora ochrony danych powinien być jasno zakomunikowany.
Wszyscy pracownicy muszą wiedzieć kto jest IODem, jaka jest jego rola i pozycja w firmie.
3. Inspektor musi wiedzieć co się dzieje
Informacja jest jednym z filarów skutecznej pracy IOD. Dlatego trzeba zapewnić, że inspektor otrzyma wszystkie potrzebne mu informacje na czas.
Nie istnieje szczegółowy katalog tego, o czym powinien być informowany IOD. Pewne kwestie możemy uznać za niezbędne. Są też takie, które są opcjonalne, bo w niektórych firmach ich fizyczną realizacją IOD się po prostu nie zajmuje.
Przykład
W firmie X istnieje obowiązek informowania IOD o każdym nowo zatrudnionym pracowniku. Inspektor odpowiada bowiem za wstępne przeszkolenie pracownika i wystawienie mu upoważnienia do przetwarzania danych osobowych.
W firmie Y IOD nie musi być informowany o przyjęciu do pracy nowej osoby. Za proces szkolenia odpowiada dział kadr, który udostępnia pracownikowi szkolenie e-learning z RODO, a po jego zaliczeniu, wystawia upoważnienie do przetwarzania danych osobowych.
Poniżej podajemy kilka przykładów informacji, które powinny docierać do IOD. Są to informacje o:
- nowoprojektowanych procesach,
- zmianach w aktualnie występujących procesach,
- wystąpieniu incydentu lub naruszenia ochrony danych osobowych,
- rozważanej współpracy z nowym kontrahentem (szczególnie jeśli mamy na myśli dostawców usług, które wiążą się z przetwarzanie danych osobowych (np. księgowość, hosting, szkolenia),
- pojawieniu się nowych lokalizacji firmy (np. otwarcie oddziału, zmiana biura, itp.),
- wdrożeniu nowego oprogramowania w firmie lub zmiany w używanym,
- planowanych fuzjach, przejęciach innych firm / przez inne firmy,
- żądaniu lub skardze osób, których dane dotyczą,
- zapytaniach i kontrolach z UODO.
Uwaga
Samo dostarczanie informacji inspektowi ochrony danych jest równie ważne, jak czas ich dostarczenia.
Inspektor musi być informowany o sprawach związanych z ochroną danych osobowych w takim czasie, aby mógł się wywiązać ze swoich obowiązków.
Przykład
W firmie X inspektor ochrony danych otrzymał informację, że do systemu CRM będzie wprowadzona duża ilość danych osobowych. Zadano mu też pytanie, jakie trzeba podjąć dodatkowe kroki związane z RODO.
Dociekliwy inspektor ustalił, że są to dane klientów konkurencyjnej firmy, którą firma X właśnie przejęła.
W tym przykładzie inspektor otrzymał informacje. Jednak nastąpiło to zdecydowanie zbyt późno.
IOD powinien być poinformowany o przejęciu innej firmy na etapie jego planowania. Mógłby wtedy uczestniczyć w projektowaniu tego procesu i stworzyć wytyczne do bezpiecznego przejęcia danych osobowych klientów i pracowników przejmowanego przedsiębiorstwa.
Administratorze musisz wspierać IOD
Wsparcie dla inspektora ze strony administratora, to niezbędny element skuteczności IODa.
1. Administrator zapewnia zasoby
„Z pustego i Salomon nie naleje”, a IOD bez zasobów nie wykona dobrze swojej pracy. Dlatego RODO wymaga od administratora, by zapewnił inspektorowi odpowiednie zasoby.
IOD musi otrzymać odpowiednie środki organizacyjne, techniczne, technologiczne i finansowe, niezbędne do realizacji jego zadań.
Inspektor powinien mieć więc stanowisko pracy, komputer wraz z niezbędnym oprogramowaniem.
Należy mu zapewnić także zasoby ludzkie. Tu wiele zależy od potrzeb w danej firmie. Zazwyczaj wystarczy, że wybrane zadania związane z ochroną danych osobowych są oddelegowane do poszczególnych działów lub pracowników.
Przykład
Wystawianie upoważnień do przetwarzania danych osobowych, to czynność ściśle związana z ochroną danych osobowych. Jednocześnie nie jest czynnością, która wymaga szczególnej wiedzy. Wystarczą dobrze opracowane reguły. Taka czynność może być w firmie oddelegowana np. do działu HR.
W niektórych firmach do realizacji zadań związanych z ochroną danych osobowych potrzebny jest większy zespół. Wtedy warto rozważyć stworzenie zespołu IOD.
Jeśli kompetencje tego zespołu nie są wystarczające (zdarza się – to żadna ujma), to administrator powinien zapewnić budżet na specjalistyczne konsultacje z prawnikami, specjalistami IT (np. z dziedziny IT security) itp.
Inspektor musi monitorować przestrzegania zasad ochrony danych osobowych. W tym zakresie powinien otrzymać dostęp do pomieszczeń, systemów informatycznych, nośników danych.
Ponieważ IOD będzie reprezentował administratora (np. w sytuacji kontaktu z UODO), trzeba zapewnić mu odpowiednie pełnomocnictwa.
2. IOD musi mieć dostęp do danych osobowych i operacji przetwarzania
Dostęp do danych osobowych i operacji przetwarzania powinny być oczywistością. Taki dostęp jest niezbędny, aby prawidłowo realizować zadania [Opisujemy je w artykule „Zadania IOD. Jakie obowiązki ma inspektor ochrony danych?„]
3. Administrator musi zadbać o rozwój kompetencji inspektora
Żaden inspektor nie jest alfą i omegą. Wiedza i kompetencje IOD wymagają ciągłego rozwoju. Tu znowu pojawi się kwestia budżetu, który inspektor może przeznaczyć na udział w szkoleniach, konferencjach, studiach podyplomowych, stowarzyszeniach, zakup literatury czy czasopism.
Uwaga
To wymagania najczęściej omija administratorów, którzy decydują się na przejęcie funkcji IOD, przez eksperta z poza firmy.
Dobry zewnętrzny IOD sam zadba o to, by rozwijać swoje kompetencje inwestując w to odpowiednie środki.
Administrator, który szuka inspektora w ramach outsourcingu powinien jednak wprost o to zapytać. Na rynku funkcjonuje sporo profesjonalnych podmiotów, które dbają o rozwój swoje kadry wykonującej obowiązki inspektora. Nie należy jednak oczekiwać takiego zaangażowania od firmy, które oferują „IOD za 200 zł”.
Kontakt z inspektorem ochrony danych
RODO wymaga, aby zapewnić kontakt z inspektorem osobom, których dane dotyczą. Ta kwestia mogłaby być równie dobrze poruszona w rozdziale RODO dotyczącym zadań inspektora ochrony danych, ale umieszczono ją w rozdziale dotyczącym statusu. Myślę, że nie bez przyczyny.
Administrator, spełniając obowiązek informacyjny, powinien podać dane kontaktowe IODa (wystarczy adres email). Adres email to jednak tylko narzędzie. Administrator musi więc zapewnić, że taki kontakt będzie fizycznie możliwy. Wracamy więc do kwestii zasobów dla IODa (np. dostęp do wspomnianego konta email lub konto w systemie ticketowym i przede wszystkim zapewnienie, że IOD będzie miał czas, by komunikować się z osobami) .
Dostępność IOD w dużej mierze zależy od administratora. Inspektor nie jest niezbędny do każdego kontaktu z osobą, której dane dotyczą. Na przykład dobrze zaprojektowane rozpatrywanie żądań, można oddelegować innym osobom. Inspektor posłuży tu wsparciem.
Jednak są sytuacje niestandardowe. Są też takie w których osoba domaga się kontaktu z IODem.
Przykład
Administrator wyznaczył na IOD pracownika księgowości. Na początku miesiąca nastąpiło naruszenie, o którym poinformowano osoby, których dane dotyczą.
Wiele z tych osób próbowało się skontaktować z IODem, aby otrzymać dodatkowe wyjaśnienia. Niestety początek miesiąca, był czasem intensywnych prac w księgowości. Osoba pełniąca rolę IODa nie była w stanie odpowiedzieć na wszystkie wiadomości. Nie zapewniono im więc kontaktu z inspektorem, wbrew przepisom RODO.
Przykład
Dyrektor szkoły skorzystał z outsourcingu IOD, wybierając najtańszą ofertę jaką otrzymał. W jej ramach IOD odwiedzał szkołę raz w miesiącu na 1 godzinę. Po wyczerpaniu się miesięcznego budżetu godzin, IOD nie wykonywał dalszych usług na rzecz szkoły, a na maile osób, których dane dotyczą odpowiadał dopiero w kolejnym miesiącu. Kontakt z inspektorem nie był zapewniony w prawidłowy sposób.
IOD przestrzega tajemnicy i poufności
W rozdziale opisującym status inspektora ochrony danych, RODO mówi o tym, że IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Z mojej perspektywy jest to sprawa tak oczywista, że nie wymaga regulacji w RODO. Jedna skoro Rozporządzenie o tym wspomniało, to nie wypada mi tej kwestii pominąć.
Status IOD, czyli filary działania
Status inspektora ochrony danych to kwestia, której poświęcono cały rozdział w RODO. Zapewnienie tego statusu IODowi jest niezwykle ważne. Spełnienie wymagań, które opisałem jest warunkiem skutecznego działania inspektora w firmie. Ich niespełnienie jest dowodem na to, że firma nie przykłada wagi do wymagań RODO.
Wiele napisałem o tym co „administrator musi”. Nie zapominaj jednak, że inspektor ma swoje zadania. Wśród nich jest informowanie o obowiązkach wynikających z RODO i monitorowanie ich realizacji. Jeśli w zakresie statusu IOD są jakieś niedociągnięcia, to inspektor powinien natychmiast reagować i mobilizować administratora do poprawy.
Dodatkową motywacją dla administratora powinno być to, że za niezapewnienie IODowi odpowiedniego statusu, UODO może nałożyć karę RODO w wysokości do 10 milionów euro lub 2% światowego rocznego obrotu. Wierzę jednak, że główną motywacją będzie zapewnienie ochrony danych osobowych przetwarzanych w firmie.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.
Poszukuję informacji o tym czy IOD powinien mieć dostęp administracyjny do systemów informatycznych w rodzaju serwer plików czy UTM w celu monitorowania przetwarzania danych osobowych
Role administratora w różnych systemach teleinformatycznych, różnią się od siebie poziomem uprawnień i zakresem dostępu. Na to pytanie nie ma więc jednoznacznej odpowiedzi.
IOD powinien mieć taki dostęp, który zapewni mu możliwość realizacji jego zadań.