IOD-a w organizacji - kim jest i skąd go wziąć, żeby nie narazić firmy na kłopoty?

23 lipca 2018

Administracja danych to temat ostatnich miesięcy, nadal jednak pojawiają się niejasności. Wbrew pozorom nie tylko sektor publiczny wymaga tego typu inspekcji - dotyczy to bowiem również rynku usług prywatnych. Odkryj, jaka jest różnica między ABI i IOD-ą i czy każda firma powinna mieć swojego inspektora.

Czy każda firma potrzebuje swojego IOD-a?

Inspektor Ochrony Danych to jednostka odpowiedzialna za to, aby przetwarzanie i wprowadzanie danych w firmie było zgodne z rozporządzeniem RODO. Według ustawy dotychczasowi administratorzy bezpieczeństwa informacji (ABI) z dniem 25 maja 2018 r. objęli automatycznie rolę IOD-a. Jednak wprowadzona została znacząca zmiana. W przypadku, gdy przetwarzane dane dotyczą organu lub podmiotu publicznego, działania podmiotu związane są z regularnym monitorowaniem osób lub wykorzystywaniem danych na dużą skalę - zatrudnienie takiego specjalisty jest już obowiązkowe. Ponadto istotną różnicą między rolą dotychczasowych administratorów a IOD-a jest konieczność całościowego spojrzenia na bezpieczeństwo danych - zarówno ze strony prawnej jak i technicznej, co sprawia, że krąg osób odpowiednio przygotowanych do tego stanowiska się zawęża.

RODO, oprócz tego, że wskazuje sytuacje, kiedy powołanie Inspektora Ochrony Danych (IOD) jest obowiązkowe (art. 37 RODO), jednocześnie zachęca administratorów danych oraz podmioty przetwarzające (tzw. procesorzy) do powołania IOD, nawet gdy podmioty te nie są do tego zobligowane. W przypadku powołania Inspektora, decyzja taka może przynieść szereg korzyści. Powołanie IOD w zakresie nadzoru i kontroli nad danymi w firmie stanowi jeden ze środków organizacyjnych, co może przyczyniać się do lepszej i skuteczniejszej ochrony prywatności osób, których dane są przetwarzane.

- podkreśla mec. Jarosław Kamiński, Associate Partner w Rödl & Partner

Według ustawy „administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań” (art. 36a ust. 8). Ważnym elementem działań IOD-a jest fakt, że powinien on wykonywać swoją pracę w sposób niezależny. W zakres jego obowiązków wchodzą bowiem: audyty bezpieczeństwa, współpraca z organami nadzorczymi, szkolenia personelu przetwarzającego dane w firmie, monitoring, doradztwo w zakresie RODO oraz informowanie o obowiązkach spoczywających na administratorze w związku z rozporządzeniem RODO.

3 podstawowe kryteria przy zatrudnianiu IOD-a

Inspektor Ochrony Danych nie ogranicza swojej wiedzy jedynie do aspektów prawnych, które stanowią podstawę jego pracy. Możemy wyróżnić 3 kluczowe kryteria, które każdy IOD-a powinien spełniać. Po pierwsze, ogromną wagę gra doświadczenie w zakresie ochrony danych osobowych. RODO jest regulacją nową, ale ma swoją podstawę w dotychczasowych rozwiązaniach przewidzianych w Dyrektywie 95/46/WE z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Doświadczenie zdobyte w pracy na gruncie przepisów wspomnianej dyrektywy i przepisów krajowych jest doskonałym atutem każdego kandydata na IODa. Drugim elementem jest praktyczna umiejętność realizacji zadań - wchodzą w to szkolenia, tworzenie i moderacja procedur oraz kontrola przepływu danych.Kandydat na IODę powinien posiadać praktyczne doświadczenie w realizacji takich działań. Ostatnie kryterium to na pewno znajomość branży, z której pochodzi dana firma, co oznacza, że IOD np. w firmie IT powinien wykazać się wiedzą na temat nowych technologii oraz rozwiązań, które proponuje jego pracodawca. Umiejętność implementacji wymogów prawa w środowisku IT będzie niezwykle wartościową kompetencją.

IOD-ujemy zewnętrznie?

Skorzystanie z usług zewnętrznego IOD-y może mieć wiele zalet. Przede wszystkim nie będzie mowy o jakimkolwiek konflikcie interesów, który łatwo może wystąpić w momencie powierzenia funkcji IOD-y pracownikowi piastującemu jednocześnie inne kierownicze stanowisko w firmie. W przypadku zatrudnienia zewnętrznego doradcy można wymagać także bardzo dobrej znajomości tematyki ochrony danych osobowych oraz oczekiwać bogatego doświadczenia praktycznego, wynikającego chociażby z równoległej współpracy z innymi firmami.

Zatrudnienie „na wyłączność” osoby o takich kompetencjach byłoby z pewnością dużo bardziej kosztowne, a biorąc pod uwagę dostępność takich osób na rynku pracy – praktycznie niemożliwe. Dla zarządów firm szczególnie istotnym faktem przemawiającym za skorzystaniem z usług zewnętrznych może być też chociażby kwestia odpowiedzialności, także finansowej, za jakość pracy i decyzje podjęte przez IOD-ę. Za zaniedbania w tym zakresie pracownika można pozwać jedynie do wysokości jego trzykrotnego wynagrodzenia, podczas gdy firmy zewnętrzne powinny być ubezpieczone od odpowiedzialności na dużo większe kwoty.

- mówi Adam Wódz, Security Delivery Manager - Cybercom Polska

Podsumowując, coraz więcej firm jest zobligowane lub powinno podjąć decyzję związaną z zatrudnieniem IOD-a. Możliwość skorzystania z usług zewnętrznego inspektora okazuje się tu ogromnym atutem. Jak zaznacza Jacek Fischbach, Business Unit Leader w Cybercom Polska, praktyczne i efektywne kosztowo rozwiązanie, niezależna ekspertyza połączona z kompetencjami i szerokim doświadczeniem, brak konfliktu interesów między Inspektorem Ochrony Danych a innymi działaniami biznesowymi, wsparcie zespołu prawników i specjalistów bezpieczeństwa oraz dostęp do szkoleń w zakresie zgodności z przepisami dotyczącymi RODO to główne korzyści takiego rozwiązania.