Niezależność inspektora ochrony danych to podstawa

Przepisy unijnego rozporządzenia mówią wprost: osoba pełniąca obowiązki inspektora ochrony danych musi być niezależna. Oznacza to, że nikt nie może udzielać inspektorowi instrukcji oraz mówić, w jaki sposób ma wykonywać swoje zadania. Dotyczy to również szefów firm – tzw. administratorów danych lub podmiotów przetwarzających. Wykonywanie obowiązków związanych z ochroną danych osobowych nie może stanowić podstawy do odwołania lub ukarania IOD. Wymóg ten zwiększa niezależność inspektora i zapewnia możliwość wykonywania zadań w odpowiednio chroniony sposób. Inspektor musi podlegać bezpośrednio najwyższemu kierownictwu, dzięki czemu może rzetelnie wykonywać swoje obowiązki.

Takie działania przyczyniają się do podwyższenia rangi nowej funkcji inspektora ochrony danych. Bycie inspektorem to nie tylko przywileje, ale również liczne obowiązki i wynikająca z nich odpowiedzialność.

Obowiązki inspektora ochrony danych

Rodo wprowadza zamknięty katalog czynności, za które odpowiada inspektor ochrony danych:

  1. Informowanie oraz doradzanie administratorowi, podmiotowi przetwarzającemu oraz pracownikom, którzy wykonują jakiekolwiek operacje na danych osobowych o wszystkich obowiązkach z tym związanych. Inspektor ochrony danych musi posiadać wiedzę z przepisów unijnego rozporządzenia oraz krajowych przepisów dotyczących ochrony danych osobowych, ale również wiedzę na temat regulacji dotyczących branży, w której firma funkcjonuje.
  2. Monitorowanie przestrzegania RODO, innych przepisów dotyczących ochrony danych osobowych, polityk i procedur obowiązujących w firmie.
  3. Organizowanie szkoleń dla pracowników, którzy przetwarzają dane osobowe.
  4. Przeprowadzanie audytów zgodności z przepisami w firmie oraz w firmach współpracujących – podmiotów przetwarzających.
  5. Doradzanie w kwestiach dotyczących oceny skutków dla ochrony danych. Niezależny organ doradczy w zakresie ochrony danych osobowych (Grupa Robocza Art. 29) zaleca przedsiębiorcom konsultowanie oceny skutków dla ochrony danych w następujących kwestiach:
  • faktu, czy należy przeprowadzić ocenę skutków dla ochrony danych;
  • metodologii przeprowadzenia oceny skutków dla ochrony danych;
  • oceny, czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych, czy zlecić ją podmiotowi zewnętrznemu;
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń i praw interesów osób, których dane dotyczą;
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z wymogami ochrony danych (czy należy kontynuować operacje na danych osobowych oraz w jaki sposób należy je zabezpieczyć);
  1. monitorowanie wykonywania oceny skutków dla ochrony danych zgodnie z przepisami RODO (art. 35);
  2. współpraca z organem nadzorczym – Urzędem Ochrony Danych Osobowych;
  3. pełnienie funkcji punktu kontaktowego dla Urzędu Ochrony Danych Osobowych oraz osób, których dane dotyczą;
  4. przeprowadzenie analizy ryzyka związanego z operacjami przetwarzania – biorąc pod uwagę: zakres, kontekst i cele przetwarzania;
  5. prowadzenie rejestrów: rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania.

IOD sprawuje kontrolę nad system ochrony danych osobowych

Inspektor ochrony danych czuwa, żeby operacje na danych osobowych były wykonywane zgodnie z przepisami. Jednym z najbardziej odpowiedzialnych zadań jest pełnienie funkcji punktu kontaktowego z organem nadzorczym – Urzędem Ochrony Danych Osobowych oraz osobami, których dane są przetwarzane (tzw. podmiotami danych).

Najważniejszym zadaniem jest szybka reakcja inspektora w sytuacji wystąpienia naruszenia, kiedy administrator musi o tym fakcie niezwłocznie zawiadomić Urząd. IOD staje się wtedy pośrednikiem między przedsiębiorstwem a organem nadzorczym. To on prowadzi dialog – przekazuje wszystkie niezbędne informacje na temat naruszenia oraz dąży do jego usunięcia i naprawienia błędu. Inspektor odpowiada również za powiadomienie o zaistniałej sytuacji osoby, których dane dotyczą i tutaj również może pojawić się konieczność prowadzenia dialogu.

Przykładów dotyczących zaangażowania inspektora w działania związane z ochroną danych osobowych można mnożyć. Obrazuje to jak bardzo rozległy jest wymiar zadań IOD i jak trudno ocenić realny wymiar czasu, jaki należy poświęcić na poszczególne działania. W sytuacji, kiedy dojdzie do naruszenia jest to praktycznie niemożliwe, ponieważ nie jest się w stanie ocenić, ile będzie zapytań od osób, których dane ucierpiały w czasie naruszenia. W takiej sytuacji pełnienie funkcji punktu kontaktowego może umożliwić wykonywanie innych zadań. Inspektor musi wykazać się cierpliwością i empatią. Nie może zbywać ludzi, którzy zadają pytania. Podmiot danych musi poczuć, że jego prawa są szanowane, dlatego funkcja punktu kontaktowego wymaga od inspektora odpowiedniej postawy.

Odpowiedzialność inspektora ochrony danych

Przejęcie wszystkich zadań jest świadomym wzięciem odpowiedzialności za dane osobowe w firmie. W przypadku zaniedbywania swoich obowiązków inspektor może ponieść niemałe konsekwencje. IOD działa na rzecz administratora lub podmiotu przetwarzającego, dlatego w przypadku niewłaściwych działań przyczynia się do szkody jaką poniesie firma. Nie dzieje się jednak tak, że za każde działanie będzie winny inspektor. Chodzi o sytuacje, kiedy administrator lub podmiot przetwarzający nie mieli świadomości, że dane osobowe były niewłaściwie przetwarzane. Wtedy taki administrator czy podmiot przetwarzający mogą mieć roszczenia w stosunku do IOD.

Zadaniem IOD jest zawiadamiania szefów firm o obowiązkach wynikających z RODO. Jeśli coś dzieje się nie tak, to należy wprowadzić zmiany. Kolejnym zadaniem jest monitorowanie czy system ochrony danych osobowych w przedsiębiorstwie funkcjonuje prawidłowo. W przypadku naruszenia, w sytuacji, kiedy administrator czy podmiot przetwarzający powołali inspektora ochrony danych dochodzi do podwójnego zaniechania przez taką osobę. Nie dosyć, że nie czuwała nad systemem ochrony danych, to jeszcze nie powiadomiła administratora czy podmiot przetwarzający o zagrożeniach wynikających z błędnego przetwarzania danych. Dlatego tak ważne jest, żeby osoba pełniąca funkcję inspektora posiadała odpowiednie kwalifikacje.

W ramach naszej oferty świadczymy usługę pełnienia funkcji inspektora ochrony danych. Zapoznaj się z ofertą klikając w ten link.

Jaki powinien być dobry inspektor ochrony danych?

Szefowie firm mają coraz większą wiedzę dotyczącą przepisów przetwarzania danych osobowych. Rosnąca świadomość powoduje, że kandydatury na stanowisko inspektora ochrony danych są dokładnie rozpatrywane. Przedsiębiorcy z uwagą przyglądają się osobie, która ma chronić dane osobowe w firmie.

Inspektor ochrony danych pojawił się 25 maja 2018 roku, a wraz z nim nowe zadania i obowiązki. Trudno jest wskazać dobre cechy IOD na podstawie kilkumiesięcznej praktyki. Jaki powinien być klucz wyboru odpowiedniej osoby? Rozporządzenie unijne RODO (art. 37 ust. 5) precyzuje, jakie kwalifikacje powinien posiadać inspektor ochrony danych:

  • wiedza fachowa na temat prawa i praktyk z zakresu ochrony danych – wymagany poziom wiedzy nie jest jednoznacznie określony, ale musi być adekwatny do charakteru miejsca, w którym będzie pełniło się funkcję IOD, np. inny poziom wiedzy będzie miał inspektor w korporacji a inny w małym zakładzie produkcyjnym;
  • umiejętność wypełniania zadań wynikających z przepisów dotyczących ochrony danych;
  • posiadanie wiedzy z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, w tym szczegółową znajomość przepisów RODO. Tutaj przydatna jest również wiedza dotycząca danego sektora i podmiotu administratora. Niezbędna jest również wiedza na temat systemów informatycznych oraz zabezpieczeń stosowanych w firmie;
  • praktyczne doświadczenie w budowaniu systemu ochrony danych osobowych;
  • posiada umiejętność zachowania tajemnicy lub poufności co do wykonywania zadań;
  • inspektor powinien również charakteryzować się wysoką kulturą osobistą, mieć rzetelne podejście do wykonywanych zadań oraz wysoki poziom etyki zawodowej.

Obowiązki szefa względem inspektora ochrony danych

Przepisy unijnego rozporządzenia (art. 24 RODO) wyraźnie wskazują, że za poprawne przetwarzanie danych osobowych odpowiada szef firmy (administrator, podmiot przetwarzający), a nie inspektor ochrony danych. Nie jest tak, że przedsiębiorca wyznacza IOD i ma problem z głowy, ponieważ to on zobowiązany jest do zapewnienia i udowodnienia zgodności przetwarzania danych osobowych z przepisami prawa. Administrator lub podmiot przetwarzający również posiada swoje zadania względem inspektora ochrony danych:

  • udzielanie wsparcia ze strony kadry kierowniczej (np. na poziomie zarządu)
  • włączanie IOD we wszystkie sprawy dotyczące ochrony danych osobowych. Angażowanie w tego typu działania powinno być standardową praktyką. Co ważne, inspektor powinien być traktowany jak partner w dyskusji, którego zdanie ma ogromny wpływ na dalszy rozwój omawianego procesu. Sugeruje się opracowanie odpowiedniej procedury przewidującej, w jaki sposób i kiedy angażuje się inspektora w sprawy dotyczące ochrony danych;
  • udział inspektora przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych. Niezbędne informacje powinny zostać udostępnione inspektorowi wcześniej, żeby mógł zapoznać się z omawianym tematem;
  • zapewnienie odpowiedniego wymiaru czasu umożliwiającego prawidłowe wykonywanie obowiązków. Dotyczy to głównie inspektorów wewnętrznych, którzy mają dodatkowe obowiązki wynikające z ich zakresów czynności. Nie można dopuścić do sytuacji, że IOD będzie zaniedbywał swoje zadania z powodu nadmiaru innych obowiązków. Zaleca się opracowanie harmonogramu działań związanych z ochroną danych osobowych, ustalenie priorytetów i stworzenie planu pracy.
  • zagwarantowanie należytego wsparcia finansowego, infrastrukturalnego, oraz gdy istnieje taka potrzeba, kadrowego;
  • dopilnowanie wystąpienia braku konfliktów interesów, w przypadku, kiedy IOD zostaje wyznaczona osoba spośród personelu przedsiębiorcy.
  • poinformowanie wszystkich pracowników o fakcie powołania inspektora ochrony danych oraz zobligowanie ich do wykonywania jego zaleceń w zakresie dotyczącym dokonywania operacji na danych osobowych;
  • umożliwienie dostępu do innych działów w firmie, np. do działu finansowego, działu prawnego, IT, czy działu kadr;
  • umożliwienie inspektorowi dostępu do wiedzy, poprzez jego udział w szkoleniach, warsztatach, konferencjach poświęconych ochronie danych osobowych oraz zakup niezbędnej literatury;
  • w zależności od wielkości i specyfiki firmy przydatne może być powołanie całego zespołu ds. ochrony danych osobowych z IOD na czele.

Zadania inspektora ochrony danych i administratora są ze sobą powiązane

Inspektor ochrony danych nie ponosi odpowiedzialności za przetwarzanie danych osobowych w firmie, ale poprzez powierzone mu zadania i obowiązki, staje się strażnikiem tych danych. Dlatego wyznaczenie IOD jest pierwszym krokiem do poprawnego budowania systemów ochrony danych osobowych w firmie. Wybór właściwej osoby do pełnienia funkcji IOD jest tutaj kluczowy. Osoba z odpowiednimi kompetencjami będzie w stanie sprostać wszystkim zadaniom i sprawi, że dane w firmie będą bezpieczne. Dzięki temu przedsiębiorca zminimalizuje ryzyko otrzymania kary finansowej oraz poniesienia strat wizerunkowych za niedostosowanie organizacji do nowych przepisów prawa. Dlatego tak istotne jest, aby administrator lub podmiot przetwarzający oraz inspektor ochrony danych znaleźli wspólny język, ponieważ dialog między nimi jest podstawą w budowaniu systemów ochrony danych.

Często o wyborze inspektora ochrony danych decydujące jest kryterium cenowe, co może okazać się zgubne dla przedsiębiorcy, ponieważ to on jest odpowiedzialny za poprawne przetwarzanie danych osobowych w firmie, a co za tym idzie za wyznaczenie IOD z odpowiednimi kompetencjami.

Warto też po jakimś czasie zweryfikować, czy inspektor ochrony danych posiada umiejętności związane z wykonywaniem obowiązków oraz, czy cały czas je rozwija, ponieważ najgorsze co może być, to IDO, który stoi w miejscu.

Dowiedz się również: kiedy należy zatrudnić inspektora ochrony danych