Inspektor ochrony danych osobowych

inspektor ochrony danych osobowych pccbiodoInspektor ochrony danych osobowych

Data Protection Officer – czyli inspektor ochrony danych zwany również inspektorem danych osobowych lub w skrócie IOD lub DPO – to następca funkcji określonej już w ustawie o ochronie danych osobowych z 1997 roku, czyli Administratora Bezpieczeństwa Informacji (ABI). Wprowadzona przez RODO funkcja ma być organem doradczym i monitorującym procesu ochrony danych u administratora danych. Inspektor, po wyznaczeniu, wykonuje swoje zadania określone w art. 39 RODO dla administratora czyli dla przedsiębiorstwa, spółki z o.o., spółdzielni czy szkoły – IOD nie jest natomiast doradcą prezesa spółki, czy dyrektora szkoły. Bardzo często na tle powyższej analizy dochodzi do konfliktów – w szczególności gdy inspektorem ochrony danych jest osoba zatrudniona u administratora.

W tym opracowaniu przedstawię tezę, że najtańszym rozwiązaniem i jedynym poprawnym w myśl RODO jest zatrudnienie zewnętrznego inspektora ochrony danych osobowych (IOD).

Nasze Centrum wykonuje outsourcing funkcji Inspektora Ochrony Danych w cenie już od 450 zł /m-c dla jednostek oświatowych
i w cenie 600 zł/m-c dla podmiotów komercyjnych. Zapraszamy do kontaktu.

Inspektor Ochrony Danych Osobowych w przedsiębiorstwie – kiedy musimy go wyznaczyć?

Zasady wyznaczenia IOD w firmie czy organizacji określa artykuł 37 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 24.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych – RODO.

Administrator danych osobowych ma obowiązek wyznaczyć Inspektora Ochrony Danych gdy spełnia chociaż jeden z poniższych warunków:

  • główna działalność ADO lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  • główna działalność ADO lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych dotyczących wyroków skazujących i naruszeń prawa.

Jak najtaniej i najbezpieczniej wyznaczyć inspektora ochrony danych osobowych

Złudnie może się wydać, że najtaniej jest wyznaczyć na tą funkcję, któregoś z pracowników szczebla kierowniczego, już zatrudnionego w strukturze firmy. Jako pracownik pracujący na etacie – nie ma najmniejszych szans na to aby prawidłowo, zgodnie z RODO sprawować funkcję Inspektora czyli nadzorować pracę spółki, zarządu, dyrektora HR czy IT w obszarze ochrony danych. Do tego dochodzi konflikt interesów i już mamy mieszankę wybuchową, która w przypadku jakiejkolwiek wpadki eksploduje w rękach kontrolującego firmę urzędnika Urzędu Ochrony Danych Osobowych.

Zgodnie z zapisami rozporządzenia o ochronie danych osobowych IOD:

  • jest niezależny,
  • jest kompetentny – ma wiedzę fachową z obszaru ochrony danych i sprawnie porusza się po aktach prawnych, jego wiedza jest cyklicznie uzupełniana poprzez uczestnictwo w szkoleniach, branżowych konferencjach itp.,
  • nie ma przełożonego, od nikogo nie przyjmuje poleceń,  nie wykonuje żadnych rozkazów – działa zawsze w interesie administratora – czyli podlega pod najwyższe kierownictwo,
  • nie może zostać ukarany, nie może zostać odwołany za wykonywanie swoich zadań (np. za krytyczny raport wobec zastosowanych przez dyrektora IT zabezpieczeń, albo za wynoszenie dokumentacji przez główną księgową poza firmę),
  • nie może mieć konfliktu interesu, czyli nie może kontrolować i jednocześnie wdrażać środków ochrony. Jest to bardzo trudne w realizacji wewnątrz przedsiębiorstwa. Im wyższy stopień w hierarchii firmy tym więcej obowiązków wdrożeniowych się posiada. Dlatego uniknięcie konfliktu jest najprostsze wówczas, gdy wyznaczamy w roli inspektora ochrony danych osobowych nisko postawione osoby. Więc jak one wtedy mają dyrektorowi IT czy głównej księgowej robić szkolenie czy monitorować ich procesy ochrony danych?

Jeżeli któryś z powyższych punktów nie zostanie spełniony, Urząd może zakwestionować taki wyborów inspektora i na podstawie tego uzna, ze inspektor nie był wyznaczony (był – ale nie mógł wykonywać swoich obowiązków) i mamy gwarantowane nieprzyjemności.

Dlatego nie można wyznaczać na inspektorów: dyrektora generalnego, operacyjnego, finansowego czy dyrektora ds. medycznych, głównych księgowych, dyrektorów IT, pielęgniarek oddziałowych, sekretarki, informatyka ani tak naprawdę innego pracownika zatrudnionego na umowę o pracę czyli pracownika mającego podległość służbową wpisaną w charakter swojej pracy. Pomimo tego, że obowiązki wykonywane zgodnie z art. 39 RODO są wyłączone spod tej podległości – ich realizacja po prostu nie będzie możliwa. Jak możemy przeczytać w poradniku UODO:

IOD powinien w swoich działaniach opierać się na rzeczywistym stanie faktycznym badanej sprawy, nie powinien ulegać żadnym naciskom i podporządkowywać swoich opinii innym osobom. Jego nadrzędnym celem w każdej sytuacji powinno być zapewnienie, że przetwarzanie danych będzie następowało zgodnie z prawem.
źródło: https://uodo.gov.pl/pl/223/1036

Inspektor ochrony danych osobowych
Jedyną poprawną formą jest zatem zewnętrzny inspektor danych osobowych zatrudniony na podstawie umowy cywilnoprawnej lub B2B wyraźnie określającej zasady funkcjonowania. Takie umowy to koszt około od około 500 zł do 6000 zł w zależności od branży, w której ma pracować. Natomiast warto przy wyborze zewnętrznego IOD przestrzegać kilku reguł.

inspektor danych osobowych pccbiodo zadania

Na co uważać przy wyborze IOD – Inspektor Ochrony Danych Osobowych

Zakres obowiązków inspektora ochrony danych został sztywno określony w art. 39 RODO stąd, jeżeli nie określimy w umowie zakresu odpowiedzialności, nasz nowo pozyskany inspektor nie będzie miał żadnej odpowiedzialności. Oczekiwanie szefów, przedsiębiorców czy właścicieli są znacznie inne niż zadania inspektora określone we wspomnianym 39 artykule RODO. Dla przypomnienia Inspektor:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
  4. współpraca z organem nadzorczym;
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Nie ma zatem w jego kompetencjach:

  • wykonywania dokumentacji, przygotowywania zgód, sporządzenia obowiązku informacyjnego itp,
  • analizowania procesów, pisania i wprowadzania procedur,
  • działań związanych z wyborem i wprowadzeniem zabezpieczeń informatycznych,
  • prowadzenia rozmów z podwykonawcami i  audytowania ich w zakresie ochrony danych,
  • proaktywnych działań w zakresie optymalizacji procesów.

Przy wyborze usługi IOD należy zwrócić uwagę na to, jakie inne obowiązki przejmie na siebie podwykonawca – bo inaczej zostaniemy z „doradcą”, który będzie jedynie czekał na „udzielenie zaleceń na żądanie”.

Czego oczekują firmy, wyznaczając Inspektora Ochrony Danych

Oczekują świętego spokoju i pewności, że wszystkie czynności przetwarzania danych osobowych realizowane są zgodnie z prawem, jednocześnie chcą przekazać takiemu inspektorowi szereg innych kompetencji niż tylko monitorowanie i sprawdzanie. Z naszych doświadczeń wynika, że właściciele, zarządy czy dyrektorzy chcą zlecić podwykonawcy analizę, wdrożenie i kontrolowanie procesów ochrony danych – czyli kompleksową usługę związaną z ochroną danych a nie tylko ustawową funkcję inspektora ochrony danych osobowych.

Dlatego najbardziej opłacalne jest szukanie firm świadczących kompleksową obsługę procesów ochrony danych osobowych.Ww naszym centrum usługa taka świadczona jest jako Patronat dla szkół (w przypadku jednostek oświatowych – nie tylko szkół) lub usługa zespołu inspektora ochrony danych – dla pozostałych przedsiębiorstw.

 

Dużo przydatnych informacji na temat funkcjo IOD dostarcza serwis naszego Urzędu Ochrony Danych Osobowych pod adresem: https://uodo.gov.pl/p/najwazniejsze-tematy/inspektor-ochrony-danych

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

, , ,

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu