W poprzednich wpisach na blogu, poruszony został temat rekrutacji zgodnej z RODO jak i właściwego realizowania obowiązku informacyjnego. Czas na kolejne ważne zagadnienie, jakim jest wybór Inspektora ochrony danych. 

Zbliżający się wielkimi krokami termin wejścia w życie przepisów RODO spowodował, że w wielu organizacjach zaczęto analizować konieczność powołania osoby, mającej zgodnie z nowymi przepisami, pełnić funkcję Inspektora Ochrony Danych.

Poza organami administracji publicznej, w których od dawna funkcjonował Administrator Bezpieczeństwa Informacji (na podstawie  Ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz 922) ), obowiązek powołania IOD stanowił niemałe wyzwanie.

W szczególności dla przedstawicieli biznesu gdzie – nie ukrywajmy – do tej pory nie traktowano tematyki ochrony danych osobowych
z należytą powagą 😉.

Inspektor Ochrony Danych – specjalista, nadzorca, „człowiek od RODO”, to słowa, które kojarzą się z  tą funkcją. Osoby mające zostać IOD
w organizacjach mogły się zatem czuć wyróżnione, że to właśnie im została powierzona tak poważnie brzmiąca rola w działaniu organizacji.

Czy funkcja Inspektora ochrony danych może zostać przyznana każdemu?

Z jednej strony, nigdzie w tekście RODO nie znajdziemy informacji na temat wymaganych kwalifikacji zawodowych. Wbrew rozpowszechnianych na samym początku obowiązywania RODO informacji, IOD nie musi być prawnikiem, ani absolwentem studiów podyplomowych o profilu Inspektor Ochrony Danych, ani też nie musi być audytorem norm ISO.

Z drugiej strony, brak sprecyzowania wymogów w stosunku do kandydatów na IODa dla części organizacji może stanowić problem. Szukając pomocy w treści przepisów możemy natknąć się na stwierdzenie, że:

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa
i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zdań, o których mowa w art. 39”.

Co z tego wynika? Z pewnością to, że przy wyborze musimy przede wszystkim badać doświadczenie oraz rzeczywiste kompetencje
i możliwości wypełnienia przez tę osobę zadań nałożonych na Inspektora ochrony danych.

Wiedza i kompetencje – dwa fundamenty

W trakcie mojej dotychczasowej pracy zauważyłem, że prócz posiadania wiedzy i doświadczenia z zakresu ochrony danych osobowych, bardzo ważną rolę odgrywa wiedza na temat branży administratora danych w której pełniony jest nadzór.

Zgoła odmienne regulacje wewnętrzne dotykają np. branży medycznej, gdzie mamy do czynienia ze szczególnymi kategoriami danych (tzw. danymi wrażliwymi) w porównaniu z przedstawicielem branży e-commerce, gdzie zakres zbieranych danych ogranicza się tylko do tych, niezbędnych do realizacji zamówienia.

Warto więc przy wyborze osoby, wziąć pod uwagę jej dotychczasową pracę (dotyczy pracowników administratora ) lub portfolio klientów
z jakimi dotychczas miała okazję współpracować (dotyczy firm zewnętrznych, w ramach umowy o współpracy)

 

Niezależność – czynnik kluczowy

Pełnienie funkcji nadzorcy, mającego czuwać nad bezpieczeństwem danych osobowych wiąże się nie tylko z koniecznością posiadania właściwej wiedzy i kompetencji do realizacji nałożonych zadań. Jednym z kluczowych czynników wpływających na właściwe przestrzeganie obowiązków jest zapewnienie niezależności.

Usytuowanie IOD w organizacji stanowi bowiem problem w przypadku powierzenia tej funkcji dotychczasowemu pracownikowi administratora. W szczególności, gdy pracownik ten w strukturze organizacji nie zajmuje pozycji bezpośrednio pod najwyższym kierownictwem (np. pracownik sekretariatu, posiadający nad sobą jeszcze kierownika działu a dopiero później – zarząd). Takie sytuacje
w wielu przypadkach rodzą konflikt interesów, w którym to realizacja zadań IOD może nie być należycie wykonywana.

Jednym z najczęściej stosowanych rozwiązań, mającym zapobiegać konfliktowi interesów, jest stworzenie osobnego stanowiska pracy (podlegającego tylko najwyższemu kierownictwu) albo skorzystanie z usług firmy zewnętrznej w ramach outsourcingu.

Nawiązanie współpracy na podstawie umowy cywilnoprawnej, wiąże firmę bezpośrednio z przedstawicielami instytucji, unikając przy tym konieczności usytuowania Inspektora ochrony danych w strukturach wewnętrznych firmy.

IOD vs IT

W większości organizacji przetwarzanie danych osobowych odbywa się głównie przy pomocy sprzętu informatycznego. Serwery, macierze, bazy danych, kopie zapasowe – to pojęcia, które powinny być znane (i rozumiane!) każdemu Inspektorowi.

Posiadana wiedza na temat środków bezpieczeństwa teleinformatycznego znacząco wpływa na stopień szczegółowości przeprowadzanych czynności audytowych, ale przede wszystkim ułatwia współpracę z działem IT w organizacji 😊.

Odpowiednia współpraca z przedstawicielami działu IT może przełożyć się na usprawnienie systemów w których przetwarzane są dane.

 

Wybór IOD

Podsumowując, wybór odpowiedniej osoby na stanowisko Inspektora ochrony danych nie jest zadaniem prostym. Przy wyborze musimy kierować się tym, co dla naszej organizacji jest najważniejsze. Nie bez znaczenia pozostaje branża w której działa organizacja oraz jakie dane przetwarza.

Nie w każdym przypadku najlepszym wyjściem będzie wybór osoby już zatrudnionej, ponieważ może to rodzić konflikt interesu, względem przełożonego pracownika lub niego samego.

Z drugiej strony, korzystanie z usług firmy zewnętrznej nie mającej doświadczenia w (specyficznej) branży administratora może spowodować, że w trakcie weryfikacji zgodności organizacji z przepisami, zostaną pominięte kluczowe elementy, których nie da się zauważyć bez wiedzy na temat działania organizacji.

Pamiętaj, właściwy Inspektor Ochrony Danych powinien:

  •   Posiadać wiedzę na temat ochrony danych osobowych,
  •   Mieć praktykę w realizacji wszystkich obowiązków wymaganych przez przepisy prawa,
  •   Mieć zagwarantowaną niezależność przy realizacji nałożonych na niego zadań,
  •   Posiadać chociaż podstawową wiedzę, na temat bezpieczeństwa teleinformatycznego.

 

Jeżeli jesteś przedstawicielem Administratora danych lub samemu pełnisz funkcję Inspektora ochrony danych, sprawdź czy dokonany wybór jest tym właściwym 😊.

Klienci, którzy nam zaufali