DOBRY IOD – CO MUSI, CO MOŻE, CO ROBI 

przez
IODKim jest IOD?
Przepisy wynikające z Ogólnego Rozporządzenia o Ochronie Danych Osobowych (dalej RODO) obowiązują od maja 2018 roku. Nadal jednak zdarzają się podmioty, które w zapytaniach ofertowych stosują nazwę Inspektor Ochrony Danych Osobowych (czyli IODO). Nie do końca wiedzą jak w ogóle nazwać stanowisko osoby mającej wspierać daną firmę w zgodnych z przepisami zasadach ochrony danych osobowych. Zgonie z RODO IOD to Inspektor Ochrony Danych. Jego głównym celem najogólniej mówiąc jest wspieranie organizacji w wypełnianiu przepisów prawa regulujących ten obszar prawny. 
Co musi robić IOD?
Po pierwsze warto wiedzieć, że art. 38 RODO ustanawia status IOD-a i zobowiązuje go między innymi do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Jest on również punktem kontaktowym dla osób, których dane dotyczą. Mogą kontaktować się z nim we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych. Także z wykonywaniem praw przysługujących im na mocy RODO. Idąc dalej zadania IOD zostały określone w art. 39 RODO i są one tymi wymaganymi przez przepis. Musi być dobrym mentorem, doradcą czy źródłem informacji dla administratora, podmiotu przetwarzającego oraz pracowników. Powinien również monitorować przestrzeganie przez wyżej wymienione osoby przepisy prawa, a może to robić np. poprzez audyty. IOD ma również obowiązek udzielać zaleceń co do oceny skutków dla ochrony danych. Jest także osobą kontaktującą się i udzielającą odpowiedzi UODO.
Sugerowane zadania dodatkowe dla IOD 
Zgodnie z wymaganiami publicznych organizacji to IOD powinien zajmować się wszystkim co wiąże się z ochroną danych osobowych, ale nie tylko, zdarzają się przypadki, że ma zajmować się bezpieczeństwem informacji, audytami KRI, audytami KSC, a nawet po skrajne sytuacje wskazujące, że dana organizacja w ogóle nie ma pojęcia o co chodzi w RODO, wymaganie przejęcia przez firmę funkcji administratora danych. Wiemy oczywiście, że IOD zgodnie z przepisami może wykonywać inne zadania i obowiązki, ale administrator lub podmiot przetwarzający muszą zapewnić, by te zadania i obowiązki nie powodowały konfliktu interesów, a przy nadmiarze wymagań może to nie być możliwe do spełnienia. Dla przykładu przeprowadzenie audytu zgodnie z wymaganiami Krajowych Ram Interoperacyjności, którego celem jest weryfikacja bezpieczeństwa informacji będzie stanowić taki konflikt interesów, bo jednym z obszarów bezpieczeństwa informacji jest obszar bezpieczeństwa danych osobowych. Wychodziłoby na to, że IOD będzie weryfikował samego siebie. Co na pewno nie będzie zgodne i nie wykaże rzeczywistej sytuacji danego podmiotu. Inspektor Ochrony Danych powinien na pewno dostosować sposób i rodzaj przekazywanych informacji grupie docelowej. Tak aby to było zrozumiałe i realizowane w sposób efektywny i skuteczny. 
Dobry Inspektor Ochrony Danych, czyli jaki?
Na pytanie trudno odpowiedzieć, na pewno taki, który spełnia wszystkie wymagania stawiane przepisami prawa. Na pewno również tak, którego łatwo jest zrozumieć. IOD musi być dobrze przygotowany merytorycznie, powinien bardzo dobrze znać obowiązki administratorów i podmiotów przetwarzających oraz powiązane z nimi uprawnienia podmiotów danych. Powinien dbać zarówno o swoją edukację jak i osób podejmujących działania oraz decyzje w zakresie ochrony danych osobowych. Te działania są stałe, ciągłe i powtarzalne, wymagające szerokich umiejętności interpersonalnych i dydaktycznych. Powinien też umieć odnaleźć się w świecie administratorów czy podmiotów przetwarzających. Tak aby umieć im sprawnie doradzać, rozwiązywać problemy, wspierać w naruszeniach i być osobą, na której mogą zawsze polegać. We współczesnej rzeczywistości musi również umieć pogodzić ze sobą zadania, które są na niego nałożone przez przepisy prawa z zadaniami, których wymagają klienci, pracodawcy. 
Czym w rzeczywistości zajmuje się IOD?
Jak wspomniano już powyżej w polskiej rzeczywistości jest tak, że na IOD-a przenoszone są obowiązki administratorów i podmiotów przetwarzających. To on musi spełnić wszystkie wymagania prawne, aby pracować dla danej organizacji. Firmy, zapominają jednak, że przerzucenie tych zadań na IOD nie znosi z nich odpowiedzialności. W sytuacji, kiedy dojdzie do naruszenia, wycieku danych czy tym podobnych to UODO będzie ścigało administratora lub podmiot przetwarzający. Nie samego Inspektora Ochrony Danych, który jest głównie organem doradczym. Wśród najczęściej prowadzonych działań przez współczesnych IOD-ów są:
  • tworzenie i aktualizacja polityk,
  • tworzenie procedur i instrukcji,
  • prowadzenie wszelkich rejestrów jak np. dotyczących naruszeń, powierzeń, upoważnień, prowadzenie analizy ryzyka i oceny skutków dla ochrony danych itd.
Pamiętajmy, że to, iż IOD prowadzi analizę ryzyka i ocenę skutków dla ochrony danych nie oznacza, że ma to robić sam. IOD powinien być liderem czy koordynatorem tych działań. Nie może jednak prowadzić analizy, czy oceny bez udziału osób, które przetwarzają dane.  Muszą w nim uczestniczyć pracownicy i/lub właściciele procesów biznesowych, których ta analiza dotyczy. Najbardziej niezrozumiałym zadaniem jakie spada bardzo często na Inspektora Ochrony Danych jest wydawanie (nadawanie) upoważnień do przetwarzania danych. Wiadomo, że to administrator wie, kto do czego będzie (ma) dostęp, jakie ma obowiązki służbowe itd. IOD to może tylko próbować ustalić, a nie rzadko i tak nie uzyska pełnych informacji (np. w zakresie obowiązków dyrekcji). Wydawanie upoważnień i nadzór nad nimi, to czynność administracyjna, która nie wymaga kompetencji, jakie posiada IOD.  
Ludzie od RODO na ścieżce doskonałości 
Na całe szczęście można znaleźć na naszym rynku organizacje zajmujące się profesjonalnie ochroną danych osobowych. Stawiające na zatrudnianie profesjonalistów, podnoszenie ich zawodowych kompetencji czy budowanie relacji z klientami. Takie podejście gwarantuje zatrudnianie w swoich organizacjach ekspertów na gruncie ochrony danych osobowych. Znają oni wymagania i potrzeby firm i  pomogą Wam na każdym etapie wdrożeniowym jak już funkcjonującym RODO. RODO wymaga, aby administrator włączał IOD we wszystkie sprawy związane z ochroną danych osobowych, dlatego też poza wiedzą ważna jest relacja z klientem i jego zaufanie do IOD-a. Taką osobą, godną zaufania i posiadającą wiedzę może być w Twojej organizacji jeden z członków naszego zespołu.   Zachęcamy do zapoznania się z naszą ofertą dotyczącą usługi Inspektora Ochrony Danych dostępną: (link do usługi: https://inspektorzyodo.pl/zewnetrzny-inspektor-ochrony-danych-osobowych/), jak również z innymi usługami jakie świadczymy na tym polu. W zakładce o nas Możesz też dowiedzieć się nieco więcej kim jesteśmy i co sobą reprezentujemy. 

Dodaj komentarz

BCO Integrity - Logo w stopce
Regulamin
Polityka prywatności
Polityka cookies