Jak zostać Inspektorem Ochrony Danych?
Wraz z ogólnym rozporządzeniem ochrony danych osobowych pojawiło się ogromne zapotrzebowanie na specjalistów odpowiedzialnych za nadzór nad procesami przetwarzania danych osobowych. RODO wymusza na wielu grupach administratorów danych obowiązek wyznaczenia inspektora ochrony danych, co za tym idzie niejako stwarza nowe miejsca pracy. Nie oszukujmy się, dzisiaj zapotrzebowanie na inspektorów jest większe niż liczba specjalistów, którzy mogliby sprostać wymaganiom tego zawodu (szczególnie w mniejszych miastach).
Zapotrzebowanie wpłynęło na zainteresowanie przekwalifikowaniem się do nowego zawodu.
Co powinien umieć kandydat na IOD?
Jeżeli jesteś zainteresowany zmianą zawodu i zajęciem się ochroną danych osobowych, musisz rozpocząć od wielokrotnego przeczytania aktualnych przepisów (ustawy o ochronie danych osobowych, przepisów wykonawczych do niej, ogólnego rozporządzenia o ochronie danych osobowych). Wielokrotne przeczytanie jest naprawdę bardzo ważne – bez niego nie ma sensu pójście na jakiekolwiek szkolenie, bo będą się pojawiały na nim dziwne i niezrozumiałe kwestie, które byłyby zrozumiałe, gdyby wcześniej przeczytało się przepisy. Warto przeczytać aktualną ustawę (mimo, że niedługo już nie będzie w tym brzmieniu), bo to jest doskonały wstęp do RODO.
Przed pójściem na pierwsze szkolenie, należy także bardzo dobrze znać i rozumieć definicje ustawowe, czym są dane osobowe, kim jest administrator danych, pojęcie zgody i sposoby jej pozyskiwania, warunki legalności przetwarzania danych (czyli kiedy zgoda nie jest potrzebna), obowiązek informacyjny, zasady powierzania danych, zasady przeprowadzania sprawdzeń zgodności przetwarzania z przepisami, prowadzenie rejestru ABI, zasady zgłaszania naruszeń bezpieczeństwa danych do organu nadzoru.
Wiem, że to może brzmieć dziwnie – po co uczyć się przed szkoleniem, na którym mają mnie tego nauczyć? Prawda jest taka, że bardzo ciężko nauczyć osobę, która nie ma podstaw. To jak uczenie matematyki osobę, która nie zna teorii. Niby umie policzyć pewne rzeczy, ale nie rozumie dlaczego. Na szkoleniach prowadzący muszą omówić bardzo wiele kwestii, a co za tym idzie, nie są w stanie poświęcić wystarczająco dużo (moim zdaniem) czasu na sprawy fundamentalne. Zresztą kto poszedłby na szkolenie, które trwa 6 godzin i jest poświęcone tylko i wyłącznie definicjom ustawowym, pojęciu zgody i przesłankom legalności przetwarzania? Samo pojęcie zgody na różnych przykładach spokojnie jestem w stanie omawiać 3 godziny (zresztą robiłam takie indywidulane szkolenia dla IOD, którzy na początku dziwili się, czemu tyle czasu poświęcamy temu zagadnieniu, a potem reflektowali, że ta wiedza i zrozumienie, naprawdę procentują w praktyce). Niestety w tym zawodzie bardzo ciężko przełożyć teorię na praktykę. Początkujący inspektor będzie musiał sprostać najróżniejszym wyzwaniom, na które nie znajdzie bezpośredniej odpowiedzi w przepisach: czy administrator danych musi posiadać upoważnienie do przetwarzania danych, czy IOD może nadawać upoważnienia, czy trzeba informować o powierzeniu danych, czy podmiot przetwarzający dane na zlecenie administratora musi wypełniać obowiązek informacyjny?
Właśnie odpowiedzi na takie pytania przyszły Inspektor Ochrony Danych znajdzie na szkoleniach z ochrony danych. I właśnie dlatego powinien on już mieć podstawową wiedzę, aby móc na szkoleniu skupić się na praktycznych problemach związanych z nadzorem nad przepisami.
Inspektor Ochrony Danych powinien posiadać odpowiednią wiedzę i kwalifikacje do pełnienia swojej roli, jednakże przepisy nie regulują wprost, jakie są to wymagania. To administrator danych powinien podjąć decyzję, jakiej wiedzy i doświadczenia oczekuje. W zależności od ryzyka i zagrożeń dla danych, powinien poszukiwać odpowiednio wykwalifikowanego Inspektora.
Inspektor nie musi mieć żadnych oficjalnych kwalifikacji. Nie musi mieć ukończonych studiów, czy konkretnych certyfikatów. Jednakże trudno wyobrazić sobie sytuację, w której odpowiedzialność za nadzór nad procesami przetwarzania danych w organizacji pełni osoba nie posiadająca żadnej wiedzy. Zdecydowanie powinien on poza wiedzą teoretyczną podnieść swoje kwalifikacje poprzez szkolenia. Polecam nie tylko te z ochrony danych osobowych, ale także z wiedzy sektorowej (np. IOD w sektorze publicznym powinien mieć przynajmniej podstawową wiedzę w zakresie KPA, informacji publicznej, PZP, KRI, kontroli zarządczej). Osobom naprawdę zainteresowanym tym zawodem polecam zrobienie audytora wewnętrznego ISO (i generalnie zdobycie wiedzy i certyfikacji w zakresie norm ISO związanych z bezpieczeństwem informacji) oraz pójście na studia podyplomowe z ochrony danych osobowych (w tym roku będę prowadzić zajęcia dla studentów w Białymstoku – zapraszam na moje zajęcia). Każde dodatkowe kompetencje będę ugruntowywać wiedzę, ale przede wszystkim dawać pewność siebie i pewność kompetencji. To czego najbardziej brakuje na początku drogi, to właśnie wiara we własne kompetencje i przekonanie o słuszności własnych działań. To przychodzi z czasem.
Osoby zainteresowane pełnieniem roli IOD w kilku podmiotach, zachęcam do szukania podmiotów z podobnego sektora, pozwoli to zautomatyzować działania i skutecznie pełnić rolę. Niedoświadczonym osobom odradzam pełnienie tej roli w urzędach, służbie zdrowia oraz w firmach prowadzących agresywny marketing. Są to podmioty, w których jest bardzo dużo trudnych procesów przetwarzania, które dla niedoświadczonej osoby będą niemożliwe do ogarnięcia.
Należy pamiętać, że IOD bierze także odpowiedzialność za swoje decyzje oraz swoje działania. Jego zaniedbania mogą także skutkować bezpośrednią karą. Docelowo warto rozważyć ubezpieczenie od odpowiedzialności cywilnej IOD. Takie ubezpieczenie oraz szkolenia doskonalące może zapewnić mu jego pracodawca.
Wszystkim, którzy nie boją się ciężkiej pracy i wyzwań serdecznie polecam ten zawód.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.