Kim jest IOD?
Przepisy wynikające z Ogólnego Rozporządzenia o Ochronie Danych Osobowych (dalej RODO) obowiązują od maja 2018 roku. Nadal jednak zdarzają się podmioty, które w zapytaniach ofertowych stosują nazwę Inspektor Ochrony Danych Osobowych (czyli IODO). Nie do końca wiedzą jak w ogóle nazwać stanowisko osoby mającej wspierać daną firmę w zgodnych z przepisami zasadach ochrony danych osobowych. Zgonie z RODO IOD to Inspektor Ochrony Danych. Jego głównym celem najogólniej mówiąc jest wspieranie organizacji w wypełnianiu przepisów prawa regulujących ten obszar prawny.
Co musi robić IOD?
Po pierwsze warto wiedzieć, że art. 38 RODO ustanawia status IOD-a i zobowiązuje go między innymi do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Jest on również punktem kontaktowym dla osób, których dane dotyczą. Mogą kontaktować się z nim we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych. Także z wykonywaniem praw przysługujących im na mocy RODO. Idąc dalej zadania IOD zostały określone w art. 39 RODO i są one tymi wymaganymi przez przepis. Musi być dobrym mentorem, doradcą czy źródłem informacji dla administratora, podmiotu przetwarzającego oraz pracowników. Powinien również monitorować przestrzeganie przez wyżej wymienione osoby przepisy prawa, a może to robić np. poprzez audyty. IOD ma również obowiązek udzielać zaleceń co do oceny skutków dla ochrony danych. Jest także osobą kontaktującą się i udzielającą odpowiedzi UODO.Sugerowane zadania dodatkowe dla IOD
Zgodnie z wymaganiami publicznych organizacji to IOD powinien zajmować się wszystkim co wiąże się z ochroną danych osobowych, ale nie tylko, zdarzają się przypadki, że ma zajmować się bezpieczeństwem informacji, audytami KRI, audytami KSC, a nawet po skrajne sytuacje wskazujące, że dana organizacja w ogóle nie ma pojęcia o co chodzi w RODO, wymaganie przejęcia przez firmę funkcji administratora danych. Wiemy oczywiście, że IOD zgodnie z przepisami może wykonywać inne zadania i obowiązki, ale administrator lub podmiot przetwarzający muszą zapewnić, by te zadania i obowiązki nie powodowały konfliktu interesów, a przy nadmiarze wymagań może to nie być możliwe do spełnienia. Dla przykładu przeprowadzenie audytu zgodnie z wymaganiami Krajowych Ram Interoperacyjności, którego celem jest weryfikacja bezpieczeństwa informacji będzie stanowić taki konflikt interesów, bo jednym z obszarów bezpieczeństwa informacji jest obszar bezpieczeństwa danych osobowych. Wychodziłoby na to, że IOD będzie weryfikował samego siebie. Co na pewno nie będzie zgodne i nie wykaże rzeczywistej sytuacji danego podmiotu. Inspektor Ochrony Danych powinien na pewno dostosować sposób i rodzaj przekazywanych informacji grupie docelowej. Tak aby to było zrozumiałe i realizowane w sposób efektywny i skuteczny.Dobry Inspektor Ochrony Danych, czyli jaki?
Na pytanie trudno odpowiedzieć, na pewno taki, który spełnia wszystkie wymagania stawiane przepisami prawa. Na pewno również tak, którego łatwo jest zrozumieć. IOD musi być dobrze przygotowany merytorycznie, powinien bardzo dobrze znać obowiązki administratorów i podmiotów przetwarzających oraz powiązane z nimi uprawnienia podmiotów danych. Powinien dbać zarówno o swoją edukację jak i osób podejmujących działania oraz decyzje w zakresie ochrony danych osobowych. Te działania są stałe, ciągłe i powtarzalne, wymagające szerokich umiejętności interpersonalnych i dydaktycznych. Powinien też umieć odnaleźć się w świecie administratorów czy podmiotów przetwarzających. Tak aby umieć im sprawnie doradzać, rozwiązywać problemy, wspierać w naruszeniach i być osobą, na której mogą zawsze polegać. We współczesnej rzeczywistości musi również umieć pogodzić ze sobą zadania, które są na niego nałożone przez przepisy prawa z zadaniami, których wymagają klienci, pracodawcy.Czym w rzeczywistości zajmuje się IOD?
Jak wspomniano już powyżej w polskiej rzeczywistości jest tak, że na IOD-a przenoszone są obowiązki administratorów i podmiotów przetwarzających. To on musi spełnić wszystkie wymagania prawne, aby pracować dla danej organizacji. Firmy, zapominają jednak, że przerzucenie tych zadań na IOD nie znosi z nich odpowiedzialności. W sytuacji, kiedy dojdzie do naruszenia, wycieku danych czy tym podobnych to UODO będzie ścigało administratora lub podmiot przetwarzający. Nie samego Inspektora Ochrony Danych, który jest głównie organem doradczym. Wśród najczęściej prowadzonych działań przez współczesnych IOD-ów są:- tworzenie i aktualizacja polityk,
- tworzenie procedur i instrukcji,
- prowadzenie wszelkich rejestrów jak np. dotyczących naruszeń, powierzeń, upoważnień, prowadzenie analizy ryzyka i oceny skutków dla ochrony danych itd.
