Jaki jest zakres obowiązków Inspektora Ochrony Danych?
Kilka dni temu – 28 stycznia, mieliśmy okazję obchodzić XIV Dzień Ochrony Danych Osobowych.
Z tej okazji Urząd Ochrony Danych Osobowych zorganizował wydarzenie, które poświęcone zostało umówieniu bieżących tematów związanych z problematyką ochrony danych osobowych.
Jednym z punktów programu, była krótka debata na temat najczęstszych problemów z jakimi spotykają się w swojej działalności Inspektorzy Ochrony Danych.
Nie ukrywam, że z zaciekawieniem przysłuchiwałem się wypowiedziom osób biorących udziałw dyskusji i doszedłem do wniosku, że następny wpis na blogu, należałoby poświęcić odpowiedzi na pytanie z jakim wielu Administratorów Danych (oraz Inspektorów) boryka się na co dzień tzn. – za co odpowiedzialny jest Inspektor Ochrony Danych?
IOD to nie rycerz na białym koniu
W powszechnej świadomości przyjęło się, że Inspektor Ochrony Danych to osoba, która w całości odpowiada za wdrażanie systemu bezpieczeństwa danych osobowych. Poza pełną odpowiedzialnością za jakość wdrożenia, IOD dodatkowo przeszkoli, skontroluje pracowników, wprowadzi dokumentację oraz rejestr czynności przetwarzania danych a ponadto będzie skarbnicą wiedzy na temat przepisów sektorowych.
Niestety, Inspektor Ochrony Danych to nie rycerz na białym koniu, który w pojedynkę zapewni mityczną zgodność z RODO i „uwolni” Administratora spod jarzma kar przewidzianych w przepisach rozporządzenia.
Zadania i odpowiedzialność osoby wyznaczonej na IOD nie jest nieograniczony. Wyznaczenie przez Administratora osoby mającej pełnić tę funkcję, nie oznacza pozbycia się przez Administratora odpowiedzialności za bezpieczeństwo przetwarzanych danych osobowych. Takie podejście najczęściej można zaobserwować w sytuacji, kiedy to funkcję IOD pełni przedstawiciel firmy zewnętrznej, wyłonionej w formie zapytania lub konkursu. Niestety (dla Administratorów Danych), zakres odpowiedzialności i zadań jakie musi wykonywać Inspektor Ochrony Danych, został ściśle określony w przepisach.
Zakres odpowiedzialności Inspektora
Rozpoczynając analizę odpowiedzialności IODa należy podkreślić, że w porównaniu do funkcji ABI, zadania IODa zostały w znaczącym stopniu rozszerzone. I tak pierwszym wymienionym obowiązkiem jest:
„a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych
i doradzanie im w tej sprawie;”
Owe informowanie nie ogranicza się wyłącznie do przekazywania „suchych” faktów na temat pojawiających się nowych przepisów, wytycznych czy dobrych praktyk. Zadaniem Inspektora jest przede wszystkim umiejętne zastosowanie tych informacji w praktyce, tzn. rzeczywistości organizacji w której funkcjonuje. Do tego potrzebna jest znajomość specyfiki działalności administratora oraz procesów przetwarzania danych.
W tym elemencie pomocni mogą okazać się właściciele poszczególnych procesów, którzy powinni konsultować wszelkie wątpliwości dotyczące ich zakresu działalności zmiany z Inspektorem Ochrony Danych.
„b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;”
Przez działania monitorujące w oczywisty sposób rozumie się wszelką okresową działalność audytową i szkoleniową Inspektora. Należy przy tym zaznaczyć, że zakres audytu zgodności powinien zawierać weryfikację realizacji zadań przez wszystkich właścicieli procesów a także poziom wiedzy osób mających bieżącą styczność z danymi. Z pewnością nie będzie wystarczająca weryfikacja stosowania się do obowiązującej polityki czystego biurka czy ekranu, ani także respektowanie polityki kluczy.
„c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;”
Zgodnie z powyższym, Administrator ma prawo żądać od Inspektora Ochrony Danych wydania zaleceń co do konieczności przeprowadzenia DPIA względem procesów w organizacji. Oczywiście, to nie IOD odpowiada za przeprowadzenie Oceny Skutków, tylko wyznaczeni do tego na etapie wdrażania RODO wspomnieni już wcześniej,e właściciele poszczególnych procesów.
Owi właściciele procesów powinni także zostać zapoznani ze sposobem przeprowadzania DPIA zalecanym przez Inspektora, a w sytuacji wątpliwości, skierować do niego zapytanie z prośbą o weryfikację poprawności podjętych przez nich działań.
„d) współpraca z organem nadzorczym;”
„e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. „
Kolejnym zadaniem jakie spoczywa na Inspektorze Ochrony Danych, jest współpraca z organem nadzorczym, czyli Urzędem Ochrony Danych Osobowych. Realizując te zadanie, Inspektor pełni funkcję „łącznika” między organem nadzorczym a Administratorem. Ma ono szczególne znaczenie w sytuacji kiedy dojdzie do zgłoszenia naruszenia ochrony danych osobowych (skutkującym ryzykiem naruszenia praw lub wolności osób fizycznych) organowi nadzorczemu, oraz wtedy kiedy osoba której dane dotyczą złoży skargę do UODO na jej zdaniem niezgodne z prawem działania Administratora.
Co więcej, przepisy przewidują także obowiązek Inspektora do kontaktu z organem nadzorczym
w przypadku wystąpienia po stronie Administratora wątpliwości co do procesów przetwarzania czy też uprzednich konsultacji z UODO (określonych w art. 36 RODO).
We wszystkich tych przypadkach IOD jest zobowiązany do udzielenia niezbędnych informacji przedstawicielom organu nadzorczego. Istotność tego zadania wynika z faktu, jakim jest (a przynajmniej powinno być) zaznajomienie Inspektora Ochrony Danych ze specyfiką działania administratora w którego imieniu występuje. Brak znajomości kontekstu ze strony Urzędu Ochrony Danych Osobowych powoduje, że obowiązek właściwego zastosowania wytycznych organu nadzorczego spoczywa na Inspektorze Ochrony Danych.
„2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.”
Najistotniejszym zadaniem jakie stoi przed powołanym Inspektorem Ochrony Danych jest wspomniane na samym wstępie analizy właściwe przeprowadzenia analizy ryzyka.
W moim odczuciu to właśnie te zobowiązanie stanowi największy problem z jakim na co dzień borykają się Inspektorzy Ochrony Danych w swoich organizacjach. Problem ten wynika z faktu, że osoby dotychczas pełniące funkcję ABI nie miały w swojej pracy konieczności przeprowadzania analizy ryzyka, co z dniem 25.05.2018 r. oraz „transformacją” ich funkcji na Inspektora Ochrony Danych stało się nowym obowiązkiem.
Ogromne znaczenie tego zadania wynika ze specyfiki RODO – neutralnego technologicznie aktu prawnego, a co za tym idzie, braku określenia w RODO minimalnych środków zabezpieczeń zapewniających bezpieczeństwo danych.
W związku z tym, środki zastosowane przez organizację do ochrony danych osobowych, zarówno w sferze organizacyjnej (procedury, polityki itp.) oraz technicznej (wykonywanie kopii zapasowej, zabezpieczenie sieci, fizyczne zabezpieczenie danych przechowywanych w formie papierowej itp.) wynika wprost z analizy ryzyka przeprowadzonej przez IOD.
IOD jednak nie od wszystkiego?
Podsumowując dzisiejszy wpis, nie sposób nie zauważyć różnicy w obowiązkach z jakimi mierzy się Inspektor Ochrony Danych, a z jakimi miały do czynienia osoby pełniące funkcję ABI. Obecnie rola Inspektora Ochrony Danych opiera się w znaczącym stopniu na właściwej interpretacji przepisów oraz umiejętnego dopasowania ich do działania organizacji. Co bardzo istotne i warte ponownego podkreślenia – Inspektor Ochrony Danych nie odpowiada za zgodność organizacji z RODO.
Obowiązek ten spoczywa na każdej osobie mającej dostęp do danych, a IOD swoją osobą powinien wspierać, doradzać i zalecać podejmowanie jak najlepszych działań mających zapewnić bezpieczeństwo danych osobowych.
