Inspektor Ochrony Danych – kat czy wybawca? czyli o tym, że „zawsze” skończy się 25 maja

Na mocy obecnie obowiązującej ustawy o ochronie danych osobowych, powołanie Administratora Bezpieczeństwa Informacji, było fakultatywne. Rozporządzenie wprowadza ogrom zmian w systemie ochrony danych, z których jedna z ważniejszych dotyczy obowiązku powołania Inspektora Ochrony Danych, przy spełnionych uwarunkowaniach w nim określonych. Rozporządzenie dość precyzyjnie określa wymagania stawiane przyszłym Inspektorom: kwalifikacje, kompetencje, wiedzę, a także jego obowiązki. Już w tym momencie dostrzeżono rangę funkcji IOD, klasyfikując stanowisko jako „kierownicze urzędnicze”. Nie oznacza to jednak, że Inspektor będzie z automatu kierownikiem.

W świetle prawa to administrator danych zapewnia środki organizacyjne i techniczne zapewniające zgodność z RODO, a Inspektor, mówiąc w dużym uproszeniu, powinien realizować swoje zadania i wspierać administratora przy realizacji zadań związanych z ochroną danych.

Obowiązki IODa

Lista obowiązków Inspektora jest długa. Między innymi musi informować administratora, podmiot przetwarzający oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia. Ma obowiązek nadzorować przestrzeganie rozporządzenia i innych tożsamych przepisów. Jest zobowiązany podejmować działania zwiększające świadomość, realizować szkolenia personelu uczestniczącego w operacjach przetwarzania. Ma także obowiązek realizować audyty procesów związanych z przetwarzaniem. Wynikiem działań podejmowanych przez Inspektora mogą być (a nawet powinny!), zalecenia i rekomendacje w oparciu o wyniki audytów i sprawdzeń.

Dwie strony medalu

W związku z tym, że dla większości organizacji obowiązek posiadania „człowieka od ochrony danych” w randze kierownika podlegającego bezpośrednio najwyższemu kierownictwu, będzie nowością, już na samym początku tej współpracy może dochodzić do niemałych nieporozumień i zgrzytów.

Co się może wydarzyć, gdy administrator danych niekoniecznie będzie chciał zrozumieć ideę i koncepcję funkcjonowania niezależnego Inspektora Ochrony Danych? Można to ująć wprost: administratorowi grozi katastrofa. Z jednej strony bowiem Inspektor, który jest drobiazgowy i zaangażowany w ochronę danych, a więc taki, który się „czepia”, to ktoś, kto burzy funkcjonujący dotychczas „ład”. To ktoś, kto – usłyszawszy słowa: „bo tak robiliśmy zawsze” – jest w stanie odpowiedzieć, że „zawsze” skończy(ło) się 25 maja 2018 r. Taka postawa z wiadomych przyczyn nie jest mile w firmie „z tradycjami” widziana.

A powinna. Bo im bardziej drobiazgowy i czepialski IOD, tym większe szanse na właściwe i kompleksowe przygotowanie instytucji do stosowania przepisów z RODO. Dlatego też, jeśli „trafi się” Waszej firmie taki „czepialski delikwent” – czerpcie z jego wiedzy garściami!

W ramach podsumowania warto dodać, że nawet organizacje, które IODa mieć nie muszą, powinny się trzy razy zastanowić, zanim zdecydują się z zatrudnienia takiej osoby zrezygnować. Dlaczego? Ponieważ ani pani Ania z księgowości, ani Kuba z działu marketingu nie poradzą sobie z wdrożeniem RODO. Jeśli firma bardzo, bardzo nie chce IODa powoływać, pierwszym krokiem zastępczym powinno być szkolenie – najlepiej całodniowe, kierowane do konkretnej branży, wyczerpujące temat, z case study i przykładami, aby uczestnicy wynieśli z niego jak najwięcej. Rozsądne będzie także przejście audytu. Podczas takiego audytu zlokalizowane zostaną wszystkie niedociągnięcia, które wystarczy naprawić – i już! Co więcej, audyt jest w stanie przemówić do rozsądku nawet najpewniejszym swego szefom, którzy często są przekonani o tym, że u nich „dane są bezpieczne jak w banku” albo – co gorsza – że „przecież my nie przetwarzamy żadnych danych”.

Robert Cielma

informatyk, praktyk z dziedziny zarządzania infrastrukturą informatyczną, prowadzący szkolenia z RODO dla branży IT, które organizuje Fundacja FORCE