Bierny inspektor ochrony danych

Wykonując dla klientów audyty zgodności w celu wdrożenia wymagań NIS2, spotkałam się z nowym zjawiskiem „biernego inspektora”. W dodatku działającego w sposób powodujący konflikt interesów. Ponieważ jest to zawód nieuregulowany, w zasadzie każdy może go wykonywać i bardzo ciężko ocenić standard wykonywanej pracy. W końcu administrator wyznacza IOD, właśnie w celu posiadania na pokładzie kogoś kto zna się na ochronie danych i „pomoże ogarnąć temat”. Jednak do końca nikt nie wie, na czym polega praca IOD, ani w jaki sposób powinien wykonywać swoje zadania. Zresztą ostatnia aktualizacja Poradnika dotyczącego naruszeń przez Prezesa UODO, wywołała ogromne zamieszanie, właśnie w zakresie sporu o to, w jaki sposób inspektor powinien wykonywać swoje zadania. Od opinii, że powinien w zasadzie wykonywać wszystko za administratora, który jedynie zatwierdza lub nie jego pracę od opinii, że inspektor jedynie wydaje zalecenia i przypomina o obowiązkach (np. że administrator musi przeszkolić personel lub przeprowadzić audyt).
I właśnie takich inspektorów, którzy biernie doradzają, coraz częściej spotykam na audytach. Nie inicjują żadnych działań, czekając na kontakt ze strony pracowników, bo obowiązkiem administratora jest zapewnienie włączania inspektora we wszystkie kwestie dotyczące ochrony danych osobowych. Czy zatem bierne czekanie na jest niezgodne z RODO? Trudno rozstrzygnąć, ale w dłuższej perspektywie czasowej na pewno szkodliwe dla administratora. I tu ciekawostka, spotkałam też się z kontraktami na usługi IOD, które są rozliczane nie ryczałtowo, ale godzinowo. Jest to uczciwe rozwiązanie, jednak w praktyce, właśnie w trakcie audytów, stwierdzam że skutkuje ograniczaniem do minimum (nawet do zera) kontaktów z IOD, ze względu na możliwe koszty. W takich organizacjach nie działa projektowanie prywatności, bo nikt nie włącza inspektora w planowanie procesu, najwyżej prosi się go o opiniowanie umów lub wytworzonych dokumentów.
Read More