• Krzysztof Dziemian

Inspektor ochrony danych – praktyczne aspekty jego pracy

Inspektor Ochrony Danych (IOD) to bardzo istotna, ale niestety często niedoceniana przez administratorów danych, funkcja w ich organizacji. W obecnych warunkach prawnych wielu administratorów cały czas nie zdaje sobie sprawy jak ważne miejsce u nich powinien zajmować IOD i w jak wielu obszarach powinni się z nim konsultować. W niniejszym artykule chcielibyśmy przybliżyć Państwu, w oparciu o nasze spostrzeżenia i bogate już doświadczenie, praktyczne aspekty pracy IOD.

Chcielibyśmy przedstawić także jak powinna wyglądać i przede wszystkim na czym polegać praca prawdziwego IODa. Jakie umiejętności i jakie cechy powinna w praktyce posiadać osoba pełniąca tę funkcję? Nie będziemy opisywać i szczegółowo wyjaśniać jego konkretnych zadań wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE (RODO) – co każdy może przeczytać w art. 39 RODO - ale skupimy się na jego cechach, umiejętnościach i okolicznościach pełnienia tej funkcji, które naszym zdaniem są istotne i kluczowe dla właściwego funkcjonowania organizacji w obszarze ochrony danych osobowych.


W poszukiwaniu IOD-a


Rozpoczęcie w maju 2018 roku stosowania RODO wymusiło na administratorach danych osobowych zmiany, m.in. w zakresie osób zajmujących się ochroną danych osobowych. Pojawiła się nowa funkcja IOD, która zastąpiła Administratora Bezpieczeństwa Informacji tzw. ABI i zaczęła się „gorączka” poszukiwania osób, które miałyby pełnić tę funkcję. W wielu podmiotach funkcja ta niejako automatycznie została powierzona dotychczasowym ABI (co często znajdowało oczywiście swoje uzasadnienie), inni zaś postanowili zatrudnić i wyznaczyć do tego zadania podmioty zewnętrzne. Poszukiwania IOD czy to wewnętrznego czy zewnętrznego nie były zbyt utrudnione gdyż RODO nie wskazało wymogów takich jak konkretne uprawnienia czy stosowne wykształcenie, które powinna spełniać osoba sprawująca tę funkcję. RODO w art. 37 ust. 5 wskazuje, iż IOD powinien być wyznaczony na podstawie kwalifikacji zawodowych, w szczególności zaś wiedzy fachowej na temat prawa i praktyk w zakresie ochrony danych osobowych i umiejętności wypełniania zadań wskazanych w art. 39 RODO. Nie znajdziemy jednak w RODO sformułowanych reguł, form czy trybów weryfikacji spełniania tych wymogów.


Administratorzy, i ci którzy muszą i ci którzy mogą wyznaczyć IOD zaczęli się więc zastanawiać, kogo ze swojego personelu lub osób spoza swojej organizacji wybrać do wykonywania tego zadania. Pomysłów było mnóstwo: może kogoś kto zajmuje się kadrami, a może prawnika, a dlaczego nie informatyka skoro stajemy się społeczeństwem cyfrowym. I tak naprawdę nie ma prostego i oczywistego rozwiązania tej kwestii. Najprościej byłoby powiedzieć, że funkcję IOD powinna pełnić osoba, która jest m.in:

a) doświadczonym prawnikiem, z praktyką w zakresie ochrony danych osobowych, przepisów szeroko pojętego prawa pracy,

b) zarazem biegłym informatykiem z bogatym doświadczeniem i praktycznymi umiejętnościami dotyczącymi systemów informatycznych,

c) fachowym audytorem z wieloletnią praktyką w zakresie przeprowadzania audytów, a dodatkowo najlepiej jeszcze żeby taka osoba bardzo dobrze znała wewnętrzną strukturę i organizację administratora danych.


Nie trudno sobie wyobrazić, że znalezienie takiej osoby stanowi nie lada wyzwanie, i że jeżeli na rynku pracy takie osoby są, to stanowią one rzadkość. Natomiast administratorzy powinni się zastanowić i tak dobrać kandydata aby jego doświadczenie, umiejętności i kompetencje był odpowiednie w stosunku do profilu ich działalności, charakteru zakresu i ilości przetwarzanych przez nich danych osobowych.


Jeżeli administratorzy wybiorą już osobę, której powierzą pełnienie funkcji IOD, dają się zauważyć różne praktyki traktowania, umiejscowienia IOD w swojej organizacji i rozumienia roli jaką powinien odgrywać.


Kim jesteś IOD?

Zacznijmy od tego, iż praca IOD bardzo często postrzegana jest jeszcze jako zadanie, które ma polegać na wykonaniu wszystkiego od A do Z za administratora danych, na samodzielnym i kompletnym zbudowaniu przez IOD, często od podstaw, systemu ochrony danych osobowych lub z minimalnym tylko zaangażowaniem takiego administratora. Bywa tak, że IOD ma w wyobrażeniu administratora wykonywać osobiście wszelkie czynności, które mają zapewnić administratorowi wypełnianie wymogów RODO i uchronić go przed najgorszym tj. nałożeniem kary finansowej przez Prezesa Urzędu Ochrony Danych Osobowych. Jak już wcześniej wskazywaliśmy w swoich artykułach (odsyłamy tu do artykułu „Obowiązki Inspektora Ochrony Danych RODO” https://www.rodo.pl/post/obowiazki-iod główną rolą IOD jest wspieranie administratorów danych osobowych w przestrzeganiu, a także we właściwym stosowaniu przepisów o ochronie danych osobowych. Powszechnym jest natomiast zjawisko przerzucania przez administratorów swoich obowiązków na IOD.


Z kolei na drugim biegunie pojmowania roli IOD znajdują się administratorzy, którzy choć zdecydowali się powołać IOD, jest on u nich - w przypadku zlecenia takiej funkcji firmie zewnętrznej - tak naprawdę postacią fikcyjną, anonimową, której nikt z pracowników nigdy nie widział, która nie wykonuje swoich obowiązków, a administrator tak naprawdę jest świadomy jedynie, że taka osoba być powinna, a nie, że powinna wykonywać konkretnie określone zadania. Administratorzy umieszczą informację, iż wyznaczyli IODa na stronie internetowej i na tym koniec. Wydaje się, że administratorzy mówią sobie: formalnie IODa mamy, czyli mamy RODO wdrożone, a jak pojawi się jakiś problem, incydent to będziemy z pomocy tego IODa korzystać. Stąd często mają miejsce sytuacje, gdzie IOD działa jak straż pożarna i reaguje dopiero „na wezwanie”, w momencie gdy doszło już do „powstania pożaru” czyli naruszenia ochrony danych osobowych.


Jak można się domyśleć, ani jedno ani drugie stanowisko administratorów nie powinno w tym zakresie być wdrażane w życie. Myli się jednak ten, który uzna, że w takim razie może coś pomiędzy. IOD niezależnie od tego czy jest to mała czy duża organizacja powinien być traktowany zawsze w ten sam sposób, tj. jako osoba w sposób rzeczywisty wspierająca i nadzorująca administratora. Nie da się tego uczynić w sytuacji, gdy IOD jest obciążony zadaniami, które według przepisów leżą po stronie administratora danych osobowych ani wtedy gdy IOD będzie jedynie powołanym pro forma. Niezmiernie ważnym jest, aby administratorzy oficjalne powiadomili wszystkich pracowników o wyznaczeniu IOD w celu zapewnienia, aby wszyscy w organizacji wiedzieli o jego istnieniu i pełnionej przez niego funkcji.


IOD powinien być traktowany w danej organizacji jako stały i niezbędny element potrzebny do prawidłowego działania podmiotu. Często dają się słyszeć ze strony administratorów głosy, że przecież jesteśmy małą firmą i nie mamy w ogóle albo prawie w ogóle do czynienia z danymi osobowymi. Spowodowane jest to niską świadomością administratorów w tej dziedzinie, którzy za dane osobowe które powinni chronić uważają ewentualnie dane swoich pracowników. Taką świadomość może zmienić właściwa osoba na właściwym miejscu – prawdziwy IOD.

Odnośnie właściwej osoby - IOD powinien mieć odpowiednią wiedzę z zakresu tak krajowych jak i europejskich przepisów i praktyk w zakresie ochrony danych osobowych. Wszechstronna i dogłębna znajomość RODO powinna charakteryzować każdą osobę sprawującą tę funkcję.

Przechodząc do praktycznych aspektów wykonywania zadań u danego administratora, IOD przede wszystkim powinien dysponować wszechstronną wiedzą na temat sektora, w którym działa administrator danych, procedur i dokumentów wewnętrznych funkcjonujących w jednostce, a także co bardzo ważne i kluczowe wiedzą na temat procesów przetwarzania danych osobowych, które występują u danego administratora, wykorzystywanych systemów informatycznych oraz stosowanych przez niego zabezpieczeń.


Jednocześnie obok ww. wiedzy i informacji IOD powinien móc sprawować swoją funkcję w sposób niezależny. Zostało to określone w art. 38 ust. 3 RODO gdzie wyraźnie zapisano, iż administrator zapewnia aby IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Należy również podkreślić, iż zgodnie z ww. przepisem, IOD nie jest odwoływany ani karany przez administratora za wypełnianie swoich zadań. Natomiast w strukturze administratora IOD ma podlegać bezpośrednio najwyższemu kierownictwu. Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi IOD niezwykle istotne jest, by IOD był włączany i angażowany we wszystkie kwestie związane z przetwarzaniem danych osobowych od ich najwcześniejszego etapu. Przepisy RODO (m.in. art. 38 ust. 1) wprost nakazują administratorowi angażowanie IOD w podejmowanie określonych czynności i decyzji. W związku z tym angażowanie IOD we wszelkie kwestie związane z przetwarzaniem danych osobowych powinno być u administratora standardem, a IOD jak to się często określa powinien być dla administratora bardzo ważnym partnerem w dyskusji. Partnerem, który powinien mieć udział przy podejmowaniu strategicznych decyzji we wszelkich procesach, w ramach których już dochodzi albo dojdzie do przetwarzania danych.


IOD wewnętrzny (swój pracownik), czy tzw. outsourcing?


Opierając się na własnych doświadczeniach stwierdzamy, że przede wszystkim zewnętrzny IOD, reprezentujący profesjonalny podmiot specjalizujący się w dziedzinie ochrony danych osobowych to gwarancja jakości usług – mamy na myśli wiedzę potwierdzoną szkoleniami. Zewnętrzny podmiot sprawujący taką funkcję będzie dbał o poziom i aktualność swojej wiedzy w celu należytej realizacji łączącej go z administratorem umowy na takie usługi. Nie deprecjonując pracy osób, które funkcje IOD wykonują jako pracownicy administratora widzimy jednak, że pracodawca w 99% takich przypadków nie jest skłonny do utworzenia dodatkowego etatu i zatrudnienia kogoś z doświadczeniem. Odbywa się to najczęściej kosztem podstawowego czasu pracy pracownika i jak nietrudno przewidzieć, odbija się to w znacznej mierze na jakości jego pracy i w ogóle realizacji oraz wdrażaniu wymogów RODO.


Następne co należy podkreślić to zasada niezależności, która choć wyraźnie zapisana w art. 38 ust. 3 RODO to w realiach stosunku pracy i zależności pracodawca – pracownik, nigdy nie ma szans na pełne wdrożenie.


Wewnętrzny IOD to w większości przypadków problem konfliktu interesów – bardzo często ta funkcja powierzana jest osobom kierującym działem kadr lub działem IT. Skoro tak, to uzasadnioną jest wątpliwość, jak taka osoba ma rzetelnie i bezstronnie przeprowadzić audyt działu, którym bezpośrednio zarządza? UODO w swojej opinii z dnia 7 stycznia 2019 roku wyraźnie wskazuje, cyt. „Powołanie na IOD kierownika komórki w organizacji, np. dyrektora departamentu IT, który jako kierownik decydowałby o sposobach zabezpieczeń systemów informatycznych, projektowałby systemy służące przetwarzaniu danych osobowych, bądź dyrektora działu kadr, który decydowałby np. jakie dane są zbierane od potencjalnych kandydatów do pracy, a z drugiej strony – jako IOD badałby zgodność przetwarzania danych z przepisami o ochronie danych osobowych spowoduje, że osoba taka będzie sama kontrolowała procesy przetwarzania danych, o których jako kierownik danej komórki będzie jednocześnie decydować. Warto zaznaczyć, że nawet jeśli osoba ta osobiście nie tworzyłaby wskazanych systemów, ale np. projektowałby je pracownik danej komórki, to fakt ten byłby bez znaczenia, ponieważ to kierownik odpowiada za całość działań komórki, w tym podległych mu pracowników”. Ponadto UODO podkreśla, iż administrator danych decydując się na powołanie wewnętrznego IOD pełniącego jednocześnie inną funkcję w jego organizacji, powinien przeanalizować czy taki IOD będzie w stanie wykonywać należycie swoje obowiązki, „biorąc pod uwagę w szczególności stopień skomplikowania i liczbę innych zadań. IOD powinien dysponować czasem pozwalającym mu na prawidłowe realizowanie wszystkich zadań”.


Jednocześnie w przeciwieństwie do pracownika administratora, zewnętrzny IOD to obiektywne, „świeże” spojrzenie na problemy i zagrożenia występujące w organizacji w zakresie funkcjonowania systemu ochrony danych. Niezależny IOD to gwarancja tego, że niezgodne z RODO procesy, zostaną zidentyfikowane i wskazane administratorowi. Takie procesy, w przypadku ich nie zatrzymania, mogą stać się przyczyną poważnych strat finansowych i wizerunkowych, a finalnie również kar finansowych nakładanych przez PUODO.


W związku z powyższym, powołanie wewnętrznego IOD, który pełni jednocześnie u administratora inne funkcje, choć formalnie przez RODO dozwolone (art. 38 ust. 6 RODO), to w rzeczywistości w większości przypadków powoduje zagrożenie naruszenia przez administratora przepisów RODO w zakresie roli i obowiązków IOD w organizacji, w szczególności jeżeli IOD zajmuje stanowisko, na którym określa się sposoby i cele przetwarzania danych, i to nie tylko stanowisko kierownicze ale zgodnie z wytycznymi Grupy Roboczej Art. 29 dotyczącymi IOD każde inne, które w procesie określania tych sposobów i celów bierze udział.


Cechy i kompetencje miękkie


Oprócz odpowiedniego usytuowania IOD w swojej organizacji, jego wiedzy znaczące są również jego cechy i kompetencje miękkie decydujące o sukcesie IODa, tak indywidulanym jak i sukcesie organizacji, w której pełni on swoją funkcję, a rozumianym jako pozytywne i przede wszystkim efektywne i realne zmiany w zakresie dostosowywania tej organizacji do wymagań RODO. Wysoka kultura osobista, komunikatywność, inicjatywa w działaniu, samodzielność, organizacja pracy, to cechy, które pozwalają na właściwe wyznaczanie kierunków działań, a z drugiej strony zapewniają należytą współpracę i porozumienie z personelem administratora poczynając od szeregowego pracownika, a kończąc na zarządzie firmy. Jego komunikatywność, umiejętność nawiązywania kontaktu czy stymulowania współpracy i interakcji podczas prowadzenia szkoleń, ale także, a właściwie przede wszystkim, w trakcie wsparcia we wdrażaniu przez personel administratora wydanych rekomendacji i zaleceń, będzie kluczowa z punktu widzenia skutecznego „reformowania” organizacji pod względem zgodności z regulacjami RODO.


Odnośnie właściwego miejsca - co ważne, a co dla wielu administratorów może wydać się nieoczywiste, to fakt iż IOD powinien być fizycznie obecny w ich organizacji. Pomaga to stać się mu osobą rozpoznawalną wśród pracowników administratora, ale przede wszystkim daje im możliwość osobistego, szybkiego kontaktu i konsultacji ze specjalistą. Pozwala to bardzo często na niezwłoczne, wspólne z IOD podjęcie działań na etapie, na którym możliwe jest podjęcie czynności zgodnych z RODO, a nie dopiero post factum, kiedy najczęściej IOD musi mierzyć się już ze skutkami wykonanych przez pracownika operacji na danych osobowych. I można oczywiście wskazywać, iż dziś przy powszechnym wykorzystywaniu maili, telefonów i szczególnie ostatnio popularnych w czasie pandemii wideokonferencji, nie ma problemu w szybkim kontakcie i wymianie informacji między osobami, ale w wielu przypadkach tylko kontakt osobisty i spotkanie z IOD potrafi doprowadzić do wypracowania najbardziej odpowiedniego dla administratora, a przy tym oczywiście zgodnego z RODO rozwiązania.


Taka osobista znajomość IOD jest niezmiernie cenna, gdyż pozwala uniknąć u jednych pewnego rodzaju naturalnej niechęci do osoby nieznanej, której pracownicy nigdy nie widzieli i z którą się nigdy nie spotkali, a u innych wręcz traktowania IOD jako zła koniecznego, będącego tylko źródłem kolejnych obowiązków. Znajomość IOD powoduje tym samym o wiele większą otwartość pracowników na kontakt i konsultację z IOD. Proszę uwierzyć, że obecność IOD „tuż za ścianą” i możliwość spotkania się z nim twarzą w twarz stanowi o wiele większą zachętę dla pracownika do rozmowy i analizy jakiejś kwestii, w przeciwieństwie do konieczność sformułowania maila, w którym należy szczegółowo opisać całą sprawę i dodatkowo załączyć jeszcze i przesłać stosowną dokumentację.


Owocuje to również zaufaniem pracowników do IOD polegającym np. na bezpośrednim i niezwłocznym informowaniu go o wszelkich okolicznościach często będących incydentami w ochronie danych osobowych albo noszących takie znamiona. Ma to nieocenione znaczenie dla dalszego, rzetelnego wyjaśniania tych okoliczności i ewentualnej współpracy z PUODO w tym zakresie. Traktowanie IOD przez administratora oraz przez jego pracowników jako ważnego partnera w sferze ochrony danych osobowych jest nieodzowne. Co jednak bardzo ważne, IOD zgodnie z RODO powinien podlegać najwyższemu kierownictwu administratora i w związku z tym należy pamiętać, że jego pozycja i postrzeganie w organizacji powinny być odpowiednie. Bezpośrednia znajomość i tzw. dobry kontakt z pracownikami administratora nie powinny mieć żadnego wpływu na jakość i prawidłowość wykonywanych przez IOD obowiązków.


Jak można się przekonać, pełnienie funkcji IOD to nie tylko (ważne oczywiście z formalnego punktu widzenia), skrupulatne i fachowe wykonywanie obowiązków wynikających z RODO. To przede wszystkim szeroka wiedza i doświadczenie, dobra i wszechstronna znajomość administratora danych, zakresu jego działalności, wewnętrznej struktury i procesów, w ramach których dochodzi do przetwarzania danych osobowych w organizacji. To również poziom kontaktów i ustalony wspólnie z administratorem sposób współpracy z IOD, który pozwala na wspólne, sukcesywne i co najważniejsze skuteczne pokonywanie drogi prowadzącej do miejsca zwanego „zgodność z RODO”.


Zapraszamy do kontaktu z Rodo.pl jeżeli chcieliby Państwo w swojej organizacji posiadać „prawdziwego” IOD.


Prezes Zarządu rodo.pl


252 wyświetlenia

Ostatnie posty

Zobacz wszystkie