Jakie obowiązki ma Inspektor Ochrony Danych?
Nowelizacja „starej” ustawy o ochronie danych osobowych, wprowadzona w 2015 roku miała przygotować administratorów danych osobowych do RODO. Wprowadziła nową, niż dotychczasowa, rolę Administratora Bezpieczeństwa Informacji. Generalny Inspektor Ochrony Danych w wypowiedziach związanych z nowelizacją przepisów, podkreślał, że zmiany mają przygotować przedsiębiorców na projektowane Rozporządzenie o ochronie danych (RODO). Rolę i obowiązki ABI określono w rozdziale (Zabezpieczenie danych osobowych) „starej” ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922).
Wśród obowiązków ABI było zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
a także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
Sposób realizacji obowiązków ABI określały dwa rozporządzenia wykonawcze do ustawy:
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych
Jednocześnie ustawa dawała możliwość powierzenia ABI innych obowiązków, jeżeli nie naruszy to prawidłowego realizowania przez niego swoich głównych zadań, związanych z nadzorem nad zgodnością przetwarzania danych.
Mówiąc krótko, dotychczasowe przepisy dosyć szczegółowo określały zakres obowiązków ABI.
Jak wyglądają obowiązki nowego ABI, czyli Inspektora Ochrony Danych w świetle przepisów RODO?
Zadania IOD zostały określone w artykule 39 RODO:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35; d) współpraca z organem nadzorczym;
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Warto zwrócić uwagę, na punkt c, tzn. udzielanie zaleceń na żądanie ADO. RODO w wielu miejscach podkreśla, że to administrator danych jest odpowiedzialny za zapewnienie realizacji obowiązków właściwego przetwarzania danych osobowych:
Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 3).
Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej (art. 38 ust. 2).
To Administrator danych przeprowadza analizę ryzyka oraz ocenę skutków. IOD jest włączany w te czynności na żądanie ADO. W praktyce oznacza to, że już na etapie określania zakresu obowiązków IOD, administrator danych powinien rozważyć, czy nie wpisać zaleceń co do oceny skutków do zakresu obowiązków IOD. W końcu to IOD jest profesjonalistą, który ma wspierać administratora danych w jego działaniach i to on ma najlepszą wiedzę, jak postępować. Sam administrator może nawet nie wiedzieć (co nie zwalnia go z odpowiedzialności) o tym, że IOD włącza się w pewne działania, tylko na żądanie.
Drugim istotnym aspektem jest właściwe i niezwłoczne włączanie inspektora w procesy przetwarzania. Nie wystarczy wpisać w obowiązki inspektora, że ma monitorować i dawać zalecenia w sprawach związanych z ochroną danych osobowych. Należy dać mu odpowiednie „narzędzia” lub stworzyć odpowiednie procedury, aby był on automatycznie we wszystko włączany. Dobrym rozwiązaniem jest umieszczenie IOD w łańcuchu akceptacji projektów/czynności. Jeżeli dotychczas wystarczyła akceptacja przełożonego, to zgodnie z nową procedurą powinno być także konieczne uzyskanie akceptacji IOD. Oczywiście procedura powinna być rozsądna, tzn. dotyczyć nowych projektów i czynności, a nie powtarzalnych działań, dla których zostały już przyjęte działające rozwiązania. Jeżeli administrator danych nie zadba o odpowiednie włączenie inspektora w sprawy związane z przetwarzaniem danych, nie można wymagać od inspektora, aby sprawował skutecznie nadzór.
Poprzez informowanie, o którym mowa w punkcie a, można w szczególności rozumieć wprowadzenie w zasady zachowania poufności obowiązujące w firmie, w tym odebranie oświadczenia o zachowaniu poufności (lub podpisanie umowy o zachowaniu poufności). Inspektor Ochrony Danych powinien być jedną z pierwszych osób, z którą styka się nowy pracownik, dzięki czemu w jego świadomości pozostanie skojarzenie, że w firmie jest ktoś odpowiedzialny za nadzór nad bezpieczeństwem danych, do kogo można zwrócić się ze wszystkimi pytaniami i problemami w tej sprawie. Spotkałam się wielokrotnie z tym, że pracownicy nie wiedzą, że jest w ich firmie ktoś odpowiedzialny za nadzór (nie mówiąc już o tym, że nie wiedzą kto to jest). Ważnym obowiązkiem jest przygotowywanie zaleceń działań, do procesów przetwarzania, o których IOD ma wiedzę. Tutaj chciałabym podkreślić, że inspektor nie powinien czekać na „specjalne zaproszenie/oficjalne włączenie” do procesu przetwarzania, o którym ma wiedzę. Jeżeli przebywa w organizacji, rozmawia z pracownikami, to bardzo szybko dowiaduje się, o pewnych działaniach, które mają miejsce w firmie. Jego obowiązkiem w takiej sytuacji jest zgłaszanie administratorowi danych wszelkich nieprawidłowości i ryzyk, a także zaleć w celu ich naprawy lub minimalizacji ryzyka.
Inspektor Ochrony Danych nie jest wykonawcą swoich zaleceń. Wielu administratorów danych, oczekuje, że IOD będzie multifunkcyjny, tzn. znajdzie problem, rozwiąże go, a następnie jeszcze zrobi audyt, aby potwierdzić, że jego praca była skuteczna. Jeżeli IOD sam ma wykonywać swoje zalecenia lub doprowadzać do ich realizacji, to nadzorowanie, czy proces jest zgodny z przepisami RODO stanowi konflikt interesów. Obowiązkiem IOD nie jest wdrażanie rozwiązań. Obowiązkiem IOD jest dawanie zaleceń oraz nadzór nad ich realizacją. W szczególności może proponować konkretne procedury i zmiany w dokumentacji.
Najważniejszym obowiązkiem jest przeprowadzanie audytów (czyli monitorowanie, o którym mowa w punkcie b). RODO nie daje konkretnych wytycznych, w jaki sposób inspektor ma monitorować przestrzeganie. W szczególności nic nie stoi na przeszkodzie, żeby robił to metodami, które stosował dotychczasowy ABI, w oparciu o przepisy Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. W mojej ocenie „monitorowanie” będzie także wiązało się z oceną ryzyka naruszenia praw i wolności osób, których dane dotyczą. Jeżeli IOD ma wspierać administratora oraz dawać mu zalecenia, to powinien w szczególności być w stanie określić stopień ryzyka.
Rolą inspektora w organizacji jest także dbanie o świadomość pracowników w zakresie prawidłowego przetwarzania danych, zgodnie z przepisami. Tutaj chciałabym zwrócić uwagę na ogromną ilość „absurdów dookoła RODO” oraz to, że prawidłowa edukacja personelu jest bardzo ważna. Nie wystarczy, że inspektor będzie cytował przepisy, musi być w stanie także przełożyć je na praktykę. Nie wystarczy powiedzieć „musicie zabezpieczyć dane wysyłane mailem”, należy pokazać jak to robić. Rolą inspektora jest przekładanie przepisów na ludzki język i podnoszenie świadomości pracowników, prowadzące do skutecznych i właściwych działań po ich stronie.
Inspektor jest punktem kontaktowym dla Prezesa UODO oraz osób, których dane dotyczą. Jest to bardzo dobre rozwiązanie. Po pierwsze przyśpieszy odpowiedzi na ewentualne pytania, czy żądania, po drugie gwarantuje administratorowi, że będą realizowane właściwe czynności (w końcu IOD jest specjalistą).
Podsumowując, gdybym miała ułożyć listę obowiązków IOD, wyglądałaby mniej więcej tak:
- Monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych dokumentów, procedur firmy i zaleceń dla przetwarzania danych, a także bieżące informowanie kierownictwa o wnioskach.
- Przeprowadzanie audytów zgodności przetwarzania danych osobowych z przepisami oraz opracowywanie sprawozdań i zaleceń dla kierownictwa.
- Informowanie pracowników oraz współpracowników o ich obowiązkach wynikających z przepisów o ochronie danych oraz przyjmowanie od nich oświadczenia o zachowaniu poufności.
- Informowanie kierownictwa o obowiązkach wynikających z przepisów o ochronie danych, w tym aktywne doradzanie, jakie działania powinny być podejmowane.
- Przeprowadzanie analizy ryzyka i zagrożeń oraz przedstawianie wniosków i zaleceń kierownictwu.
- W przypadku konieczności przeprowadzania oceny skutków, aktywne wspieranie kierownictwa w jej realizacji.
- Organizowanie szkoleń wstępnych i okresowych z ochrony danych osobowych.
- Bieżące doradzanie oraz podnoszenie świadomości osób przetwarzających danych, dla których administratorem jest firma lub które zostały jej powierzone.
- Doradzanie w kwestiach związanych z powierzeniem danych.
- Pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, w tym przygotowywanie odpowiedzi na ich żądanie i udzielanie odpowiedzi.
- Wsparcie administratora oraz pracowników w realizacji żądań osób, których dane dotyczą.
- Monitorowanie udostępnień danych osobowych, w tym wydawanie opinii w zakresie realizacji wniosku o udostępnienie.
- Pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych
- Aktywne wsparcie kierownictwa w przypadku naruszenia poufności poprzez przygotowanie odpowiednich zaleceń działań, określenie poziomu ryzyka dla naruszenia praw i wolności, przeprowadzenie audytu, wsparcie przy zgłoszeniu naruszenia oraz udzielaniu wyjaśnień z tym związanych.
- Aktywne włączenie się we wszelkie sprawy związane z przetwarzaniem danych osobowych.
- Nadzór nad aktualnością dokumentacji i wewnętrznych procedur zarządzania bezpieczeństwem danych osobowych, w tym proponowanie nowych procedur.
Jeżeli chciałbyś zostać Inspektorem Ochrony Danych lub pogłębić swoją wiedzę, w szczególności praktyczne umiejętności zapraszam na szkolenie „Zostań Inspektorem Ochrony Danych”. To już ostatni moment, jeżeli chcesz się zgłosić.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.