Porządek prawny wprowadzony przez RODO niejako promuje powołanie w organizacji osoby, której obowiązki skupią się na wsparciu procesu ochrony danych osobowych. Dzisiejszy wpis poświecono charakterystyce funkcji Inspektora Danych Osobowych mającego pełnić właśnie taką rolę, oraz odpowiedzi na pytanie kiedy trzeba go powołać, a także czym powinien charakteryzować się kandydat na to stanowisko.
Inspektor Ochrony Danych i jego zadania
Inspektor Ochrony Danych (IOD) od 25 maja 2018 r. przejmie rolę dotychczasowego Administratora Bezpieczeństwa Informacji (ABI). Głównym jego zdaniem narzuconym przez RODO jest wsparcie organizacji w zachowaniu zgodności z zasadami nowego prawa o ochronie danych.
W związku ze swoim najbardziej fundamentalnym zadaniem, Inspektor informuje pracowników przetwarzających dane osobowe o obowiązkach, jakie nakłada na nich Rozporządzenie, monitoruje ich przestrzeganie, a także przestrzeganie innych zasad odnoszących się do ochrony danych (m.in. organizacyjnej polityki bezpieczeństwa). IOD dba o świadomość personelu: przypominając o zagrożeniach dla bezpieczeństwa danych, zasadach bezpieczeństwa i dobrych praktykach (m.in. za pośrednictwem szkoleń, krótkich not informacyjnych). Ponadto kontroluje zgodność z przepisami i zasadami bezpieczeństwa, przeprowadzając w tym celu audyty.
Poza rolami o czysto wewnętrznym charakterze, Inspektor Ochrony Danych pełni również funkcje zorientowane na zewnątrz organizacji. Realizuje te funkcje poprzez udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitoruje ich wykonanie zgodnie z art. 35 (artykuł ten precyzuje obowiązek oceny skutków dla ochrony danych). Co więcej, IOD współpracuje z organem nadzorczym (PUODO – obecnym GIODO), a także w – swojej organizacji – pełni dla niego rolę punktu kontaktowego.
Z racji kluczowej roli IOD w organizacyjnym systemie ochrony danych osobowych, powinien on zajmować odpowiednio wysoką pozycję w strukturze (najlepiej żeby bezpośrednio podlegał kierownictwu). Co więcej Inspektor Ochrony Danych powinien zostać włączony we wszystkie procesy, w jakich przetwarza się dane. Musi on być również informowany o wszelkich incydentach związanych z danym osobowymi, co wymaga uświadomienia w tym zakresie pozostałych pracowników oraz stworzenia procedur optymalizujących proces raportowania naruszeń ochrony danych.
Kiedy trzeba go powołać
RODO zakłada, że powołanie Inspektora Ochrony Danych jest obowiązkowe w następujących przypadkach:
- przetwarzania dokonują organ lub podmiot publiczny (wyjątkiem są tutaj sądy);
- gdy organizacja przetwarza dane osobowe, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (takich jak dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne i światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Pozostałe organizacje nie muszą, lecz mogą powoływać IOD. Zaleca to także w swoich wytycznych Grupa Robocza art. 29, gdyż zwiększa to prawdopodobieństwo osiągnięcia przez organizację rzeczywistej zgodności z RODO.
Wart też wspomnieć, że wspólnego Inspektora Ochrony Danych może wyznaczyć grupa przedsiębiorstw.
Kto nim może zostać
Rolę Inspektora Ochrony Danych może pełnić zarówno pracownik administratora bądź podmiotu przetwarzającego. Wykonywanie zadań Inspektora można zlecić również podmiotom zewnętrznym, specjalizującym się w zakresie ochrony danych osobowych i bezpieczeństwa informacji.
Podstawowym warunkiem powołania osoby na stanowisko IOD jest jej wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych. Kandydat na to stanowisko musi posiadać również umiejętności niezbędne do wykonywania obowiązujących go zadań, do czego niezbędna okazuje się wiedza na temat: innych przepisów odnoszących się do ochrony danych, systemów informatycznych, procesów przetwarzania danych oraz środków zabezpieczeń. Do skutecznego wypełniania zadań Inspektor potrzebuje ponadto podstawowej wiedzy z zarządzania (dotyczącej m.in. zarządzania czasem, podejścia procesowego), pedagogiki (transfer wiedzy), czy wiedzy na temat branży i środowiska, w jakim funkcjonuje organizacja.
W praktyce niezbędne okazują się również zdolności interpersonalne, gdyż rzeczywistą ochronę danych można zapewnić tylko przy zaangażowaniu w ten proces pracowników – świadomych zagrożeń i potrafiących na nie reagować oraz przejawiających do tego wystarczająca motywację.
O tym, czy kandydat na stanowisko Inspektora Ochrony Danych spełnia wymagania, decyduje wyłącznie administrator danych/procesor danych odpowiadający za ich przetwarzanie.
Podsumowanie
Inspektor Ochrony Danych pełni kluczową rolę w systemie ochrony danych osobowych. Powołanie kompetentnej osoby na to stanowisko, nawet jeśli nie jest to obligatoryjne, nie tylko zmniejsza ryzyko wystąpienia incydentu związanego z bezpieczeństwem danych, ale potencjalnie także minimalizuje prawdopodobieństwo kontroli ze strony organu nadzorczego.
Co więcej, funkcjonowanie w firmie IOD może stanowić swego rodzaju przewagę konkurencyjną, która umiejętnie „sprzedana” klientowi powinna zwiększyć jego zaufanie i lojalność w stosunku do firmy. Jest to szczególnie ważne dziś – gdy nasze dane i nasza prywatność (jako członków społeczeństwa informacyjnego) są tak bardzo narażone na ryzyko.
PODOBAJĄ CI SIĘ TREŚCI NA BLOGU?
Dołącz do subskrybentów newslettera, aby otrzymywać ciekawe treści, które pomogą Ci zatroszczyć się o bezpieczeństwo Twoje i Twojej organizacji.
KLIKNIJ W PONIŻSZY PRZYCISK!