Inspektor ochrony danych (IOD), czyli „człowiek od RODO” w firmie.
Ale czym właściwie IOD się zajmuje? Jakie są obowiązki inspektora ochrony danych według RODO?
Czy IOD może robić coś poza zadaniami wskazanymi w Rozporządzeniu?
Obowiązki inspektora ochrony danych – czego wymaga RODO?
Zadania inspektora ochrony danych są wymienione w art. 39 ust. 1 RODO. Zazwyczaj nie są to jedyne obowiązki IOD w firmie. Traktuj je jednak jako absolutne minimum tego, co inspektor robi.
1. Mentor, doradca, źródło informacji
Pierwszym z zadań jakie ma IOD jest informowanie administratora, podmiotów przetwarzających oraz pracowników przetwarzających dane osobowe o tym, jakie mają obowiązki wynikające z RODO i innych przepisów dotyczących danych osobowych.
Zadaniem IOD jest również doradzanie w tych kwestiach.
Udział IOD-doradcy jest szczególnie istotny przy ocenie skutków dla ochrony danych. Inspektor na żądanie administratora (choć polecam własną inicjatywę IOD) powinien podzielić się swoimi zaleceniami w tej kwestii.
Informowanie i doradzanie to nie działanie jednorazowe tylko ciągły proces. Dlatego IOD musi zadbać o zwiększanie świadomości i szkolenia osób uczestniczących w przetwarzaniu danych osobowych. Niekoniecznie ma być trenerem, który przekazuje wiedzę bezpośrednio. Nie każdy się do tego nadaje. Musi jednak zapewnić, że szkolenia i podnoszenie świadomości, będą realizowane.
Inspektor powinien mieć odpowiednią wiedzę z zakresu ochrony danych osobowych i umiejętności, aby ją przekazać. Musi być też dostępny dla administratora, jego pracowników i kontrahentów. Jego pomoc musi być „dostarczana” na czas.
2. Nadzorca, menadżer ochrony danych
Drugie zadania IOD, to monitorowanie przestrzegania RODO, innych przepisów dotyczących ochrony danych osobowych i wewnętrznych ustaleń w tym zakresie.
Inspektor nie tylko doradza, ale również sprawdza, czy zasady są przestrzegane. Robi to działając i reagując na bieżąco oraz przez zaplanowane (ale również doraźne) audyty.
W zakresie nadzoru RODO znowu podkreśla udział IOD w ocenie skutków dla ochrony danych.
Inspektor jest też menadżerem ochrony danych. W tym zakresie przydziela obowiązki pracownikom.
3. Kontakt dla Urzędu ochrony danych osobowych (UODO)
Zadaniem IOD jest bycie osobą kontaktową i współpracowanie z UODO w kwestiach związanych z przetwarzaniem danych osobowych.
4. Kontakt dla osób, których dane dotyczą
To zadanie nie jest wymienione w RODO w rozdziale dotyczącym zadań. Opisano je rozdziale dotyczącym statusu inspektora ochrony danych.
Bez wątpienia jednak jest to jedno z zadań IOD. RODO daje osobom, których dane dotyczą możliwość kontaktu z IOD w związku z wykonywaniem ich praw oraz innymi sprawami dotyczącymi przetwarzania ich danych osobowych.
Doświadczony IOD w Twojej firmie? Mamy to!
Możesz mieć wykfalifikowanego IOD w swoje firmie od zaraz.
Nasz ekspert zrealizuje wszystkie wymagane przez RODO obowiązki inspektora ochrony danych.
Wykona także dodatkowe ustalane indywidualnie zadania.
Dodatkowe zadania inspektora ochrony danych
Określone w RODO zadania IOD to zazwyczaj niewielka część tego, co inspektor robi w rzeczywistości.
Potrzeby administratora zazwyczaj są większe. Tym samym obowiązki inspektora ochrony danych przeważnie są szersze niż wynika to z RODO.
Ma to dość logiczne uzasadnienie. IOD jest firmowym ekspertem w zakresie ochrony danych osobowych. Administrator chce, aby to ekspert zajmował się większością zadań związanych z RODO. Nie jest to podejście jednoznacznie dobre, czy złe. Ocena zależy od konkretnych zadań i kontekstu.
Często motywacja administratora jest inna. „Mamy >człowiek od RODO<, więc będzie robił wszystko co z RODO związane”.
Pozwól jednak, że nie będziemy się teraz zajmować oceną powyższych motywacji, tylko wskażemy konkretne dodatkowe zadania jakie wypełnia Inspektor.
1. Tworzenie i aktualizacja polityk, procedur, instrukcji
Jeden z najczęstszych dodatkowych obowiązków IOD to stworzenie, a następnie nadzór i aktualizacja Polityki ochrony danych osobowych i innych dokumentów opisujących sposób realizacji wymagań RODO w firmie.
2. Prowadzenie rejestrów
W systemie ochrony danych osobowych pojawiają się różne rejestry. Część z nich jest obowiązkowa (przynajmniej w niektórych sytuacjach) np. Rejestr czynności przetwarzania, Rejestr kategorii czynności przetwarzania. Inne, choć nieobowiązkowe, są bardzo przydatne.
Często to IOD odpowiada w firmie za ich prowadzenie.
3. Wydawanie upoważnień i nadzór nad nimi
Takie zadania często spada na inspektora. Czy jest sens, aby IOD się tym zajmował?
Wydawanie upoważnień i nadzór nad nimi, to czynność administracyjna, która nie wymaga kompetencji, jakie posiada IOD.
Mimo wszystko częstą sytuację jest, że Inspektor (szczególnie na etacie) zajmuje się tymi kwestiami.
4. Prowadzenie analizy ryzyka i oceny skutków dla ochrony danych
Obligatoryjnym zadaniem IOD jest udzielanie zaleceń w zakresie oceny skutków dla ochrony danych. W praktyce inspektor jest liderem procesu analizy ryzyka i oceny skutków.
Uwaga
To, że IOD prowadzi analizę ryzyka i ocenę skutków dla ochrony danych nie oznacza, że ma to robić sam.
Inspektor może być liderem, czy koordynatorem tych działań. Nie może jednak prowadzić analizy, czy oceny bez udziału osób, które przetwarzają dane. Muszą w nim uczestniczyć pracownicy i/lub właściciele procesów biznesowych, których ta analiza dotyczy.
5. Powierzenie przetwarzania danych osobowych
Temat rzeka w zakresie zadań IOD. W ramach powierzenia przetwarzania danych osobowych w firmie realizuje się (a przynajmniej powinno) kilka czynności. IOD powinien w nich częściowo uczestniczyć w ramach zadań określonych przez RODO. Zazwyczaj jednak jego udział jest o wiele większy. Zaczyna się od roli badacza i detektywa, który zbiera informacje o kontrahencie (oczywiście pod kątem możliwość spełnienia wymagań w zakresie ochrony danych osobowych). Do inspektora często należy również opiniowanie umowy powierzenia. Wspiera (albo wyręcza) w tym zakresie prawnika.
Niejednokrotnie ostateczny kształt umowy powierzenia jest negocjowany między stronami. Inspektor bywa jednym z negocjatorów. Z resztą jego rolna uczestnika negocjacji nie ogranicza się tylko do umowy powierzenia. Zapisy dotyczące ochrony danych osobowych, czy szerzej bezpieczeństwa informacji, znajdują się często w umowie głównej. IOD musi te zapisy znać i zaopiniować. Najłatwiej jest go zatem włączyć do negocjacji.
Administrator ma obowiązek audytować podmiot przetwarzający. Jeśli ma „na pokładzie” eksperta w postaci IOD, najczęściej jemu powierza rolę audytora.
6. Rozpatrywanie żądań (i skarg) podmiotu danych
Realizacja praw osoby, której dane dotyczą i reakcja na skargi tych osób, to kolejne zadania IOD, które nie jest wprost wskazane w RODO.
Przemyślany sposób postępowania pozwoli sensownie podzielić zadania w tym procesie zgodnie z potrzebami firmy.
W ramach rozpatrywania żądania należy m.in. potwierdzić tożsamość osoby, ocenić zasadność żądania, zrealizować je (lub odmówić realizacji). Trzeba również kontaktować się z osobą, która składa żądanie informując np. o opóźnieniach, sposobie realizacji żądania, etc.
Podobne zadania pojawią się w przypadku skargi.
IOD może pełnić tu rolę osoby koordynującej i opiniującej całość. Może też być realizatorem większości zadań.
7. Naruszenia
W związku z naruszeniem przeprowadza się kilka czynności. Każde naruszenie trzeba wyjaśnić, znaleźć jego przyczyny, ocenić skutki. W wielu przypadkach również zgłosić je UODO i zawiadomić osobę, której dane dotyczą. W celu zapewnienia rozliczalności warto też prowadzić rejestr naruszeń.
IOD musi wiedzieć o każdym naruszeniu – to pewnik. Inspektor ochrony danych będzie również uczestniczył w całym procesie związanym z naruszeniem. Jednak to, jak duży będzie jego udział, to już kwestia do ustalenia.
8. Przygotowanie klauzul informacyjnych i klauzul zgód
Przygotowanie klauzul informacyjnych i zgód również można powierzyć IODowi.
9. Uczestnik procesów projektowych
Inspektor nie będzie projektował nowej usługi, procesu biznesowego, ale musi w takie projekty być włączany. Są to wymagania związane z uwzględnieniem ochrony danych w fazie projektowania (Privacy by design) oraz domyślnej ochrony danych (Privacy by default).
IOD powinien być członkiem zespołu projektowego i opiniować zaproponowane rozwiązania pod kątem ochrony danych.
Zadania IOD – tak samo, a jednak inaczej
Wskazane w RODO zadania inspektora, to absolutny „must have” jego obowiązków.
Większość „dodatkowych” zadań wymienionych powyżej, powinno też być obligatoryjnymi zadaniami IOD.
Dlaczego?
Ponieważ RODO wymaga, aby administrator włączał IOD we wszystkie sprawy związane z ochroną danych osobowych.
Ważne są jednak nie tylko zadania inspektora ochrony danych, ale również sposób ich realizacji.
IOD nie może być osobą, której administrator zrzuca na barki każdy temat, przy którym pojawi się fraza „ochrona danych osobowych” lub „RODO”.
Niektóre z zadań będą realizowane kompleksowo przez inspektora. Przy części jednak IOD będzie przyjmował rolę kierownika, koordynatora lub merytorycznego wsparcia.
Sposób realizacji poszczególnych zadań trzeba dobrać uwzględniając specyfikę firmy i bez uszczerbku na spełnianiu wymagań RODO.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.
Szanowny Panie autorze,
czy słyszał Pan może o tzw. konflikcie interesów dot. niezależności IOD w zakresie wykonywania swoich zadań?
IOD ma rolę nadzorczą i doradczą, nie jest to funkcja, którą administrator ma się wyręczać w realizacji swoich obowiązków.
W zakresie dodatkowych zadań wymienionych/ „zaproponowanych” w pkt 1,3,4,5,6,8 taki konflikt zdecydowanie istnieje.
Dziękuję za komentarz. Jeśli wczyta się Pan w treść art. 39, to zauważy Pan, że rola IOD nie sprowadza się tylko do nadzoru i doradztwa. Zapraszam szczególnie do lektury ust. 1 lit. b).
Odnośnie konfliktu interesów we wskazanych przez Pana punktach, to zapraszam do rozwinięcia i uzasadnienia.
Witam
Otrzymuję z adresu ” iod@fresh-news.pl ” reklamy . Wypisuję się za każdym razem z bazy danych i w dalszym ciągu otrzymuję z tego adresy reklamy np. otrzymałem reklamę z media ekspert – wypisałem się z bazy danych i za moment otrzymałem znów z tego samego adresu reklamę z media ekspert co mam z tym zrobić i gdzie się udać w moim przypadku Pozdrawiam
Dzień dobry.
Trudno tę sytuację ocenić nie znając pełnego kontekstu. Możliwe, że otrzymuje Pan te wiadomości w ramach świadczenia usługi darmowych kont e-mail.
Osobiście zablokowałbym po prostu adres nadawcy.