Czy twój IOD nabija Cię w butelkę?

Oczywiście zadania IOD, zostały opisane w art. 39 RODO. Sporo na temat samej funkcji można znaleźć również na stronie UODO (https://uodo.gov.pl/pl/p/dla-iod) czy w wytycznych dotyczących inspektorów ochrony danych (DPO) opublikowanych przez Grupę Roboczą art. 29 (https://uodo.gov.pl/data/filemanager_pl/15.pdf). Pamiętajmy jednak, że wykazy te stanowią mimo wszystko swego rodzaju minimalną listę zakresu obowiązków IOD.

Jednak podczas projektowania przebiegu procesów związanych z ochroną danych osobowych bardzo często ze strony IOD pada określenie – to zadanie nie należy do roli Inspektora. Ile to już razy słyszałem, że IOD nie odpowiada za aktualność rejestru czynności przetwarzania. Nie odpowiada za dobór działań doskonalonych. Nie odpowiada za jakość procesu zgłaszania naruszeń. Rówież nie odpowiada za projektowanie nowych procesów z uwzględnieniem wymagań RODO. A także nie odpowiada za jakość konfiguracji zabezpieczeń technicznych. No jasne, ale czy ma mieć to wszystko w głębokim poważaniu (szczególnie jeśli to podmiot zewnętrzny specjalizujący się w tego typu usługach)?

Czym w MOJEJ ocenie powinien się zająć IOD w organizacji?

1. Monitorowanie zmian w przepisach prawa i wytycznych organów nadzorczych – Utrzymanie zgodności z wymaganiami RODO wiąże się z realizacją działań proaktywnych i daleko idącego wysiłku organizacyjnego. Wynika to z bieżących zmian w przepisach prawa, aktywnie działającego Urzędu Ochrony Danych Osobowych wydającego wytyczne oraz poradniki w zakresie spełnienia wymagań RODO oraz opinii i wskazówek jakie udziela Europejska Rada Ochrony Danych. IOD powinien monitorować kontekst wewnętrzny i zewnętrzny organizacji. Dbać o ciągłe utrzymanie zgodności z wymaganiami prawnymi w obszarze ochrony danych.
2. Bieżące wsparcie pracowników – Zawiłość przepisów związanych z ochroną danych osobowych oraz fakt, że dane te pojawiają się niemal w każdym obszarze działalności Organizacji generuje wiele wątpliwości. IOD powinien bieżąco odpowiadać na pytania i wątpliwości pracowników. Pomagać im rozwiązać problemy związane z przetwarzaniem danych osobowych.
3. Audyt zabezpieczeń organizacyjnych, technicznych i zgodności z RODO – Obowiązek prowadzenia audytu bezpieczeństwa danych osobowych został wpisany w polityki bezpieczeństwa niemalże wszystkich przedsiębiorstw. Wynika m.in. z art. 32 RODO mówiącego o obowiązku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. IOD przynajmniej raz w roku powinien zaplanować i zrealizować audyt bezpieczeństwa. Celem weryfikacji w jaki sposób spełnione są wymagania wynikające z mających zastosowanie wymagań prawnych w obszarze ochrony danych osobowych, polityk wewnętrznych, które zostały wdrożone w Organizacji, a także zatwierdzonych kodeksów postępowania i wymagań branżowych.
4. Przeprowadzenie okresowej analizy ryzyka oraz oceny skutków dla przetwarzania danych osobowych (DPIA) – RODO zmienia podejście do ochrony danych osobowych. Kładzie nacisk na prowadzenie analizy zagrożeń i dostosowanie zabezpieczeń do realnych ryzyk specyficznych dla danej Organizacji. Analiza ryzyka powinna być prowadzona dla procesów przetwarzania danych osobowych. W znacznej większości będzie ona jednak dotyczyła systemów informatycznych czy pomieszczeń w których dane są przetwarzane. IOD powinien być współodpowiedzialny za nadzorowanie procesu oceny skutków dla ochrony danych osobowych. Wyznaczanie osób realizujących analizę ryzyka. Szkolenie i budowanie świadomości w tym zakresie oraz agregację i analizę otrzymanych wyników.
5. Bieżąca analiza incydentów – Inspektor powinien brać aktywny udział w nadzorowaniu procesu zgłaszania, oceny oraz obsługi naruszeń ochrony danych. W tym w szczególności odpowiednim doborze i ocenie działań doskonalących.
6. Dobór działań doskonalących – W ramach obsługi incydentów, audytów wewnętrznych, analizy ryzyka czy przeglądów zarządzania formułowane są działania doskonalące, które powinny zostać zaimplementowane. Dobry IOD powinien wspierać Organizację przy wyborze rozwiązań doskonalących dostosowanych do jej potrzeb.
7. Budowanie świadomości pracowników w kontekście RODO – Jedną z podstawowych zasad funkcjonujących w obszarze bezpieczeństwa informacji oraz ochrony danych osobowych jest zasada najsłabszego ogniwa. Mówi ona o tym, że tak jak na wytrzymałość łańcucha wpływa najsłabszy pierścień, tak na system zarządzania bezpieczeństwem informacji wpływa jego najsłabsze zabezpieczenie. Z badań wynika, że za ponad połowę wszystkich wycieków danych odpowiedzialny jest pracownik. Dlatego do zadań powinno należeć ciągłe i efektywne budowanie świadomości pracowników w obszarze bezpieczeństwa informacji.
8. Udzielanie odpowiedzi na zapytania osób których dane dotyczą – Wszystkie osoby, których dane osobowe przetwarza Organizacja mają prawo między innymi do uzyskania kopii swoich danych, prawa do wycofania zgody na ich przetwarzanie, czy też prawo do bycia zapomnianym (RODO art.15-21). Realizacja wspomnianych praw jest dużym problemem dla organizacji ze względu na konieczność merytorycznej weryfikacji wniosków, jednoznacznego potwierdzenia tożsamości wnioskujących czy odnalezienie danych w organizacji. W przypadku, gdy zajdzie taka potrzeba IOD powinien udzielić państwu wsparcia w realizacji powyższych procesów.
9. Analizy umów powierzenia przetwarzania danych osobowych – Zgodnie z wymaganiami artykułu 28 jeśli powierzamy przetwarzanie danych osobowych do zewnętrznego podmiotu to powinno się ono odbywać się na podstawie umowy powierzenia przetwarzania. Do zadań IOD powinno więc należeć również opiniowanie umów i zapisów w zawieranych kontraktach zapewniając stosowanie właściwych konstrukcji prawnych w obszarze ochrony danych osobowych.
10. Nadzorowanie opracowywania, tworzenia i aktualizacji regulacji wewnętrznych dotyczących ochrony danych osobowych – IOD powinien sprawować nadzór nad aktualnością i adekwatnością wewnętrznych regulacji Organizacji oraz ich zgodnością z mającymi zastosowanie wymaganiami prawnymi. Mowa tu nie tylko o Politykach ale i bieżąco utrzymywanych dokumentach takich jak RCP czy RKCP.
11. Wsparcie w realizacji procesu prywatności w fazie projektowania i domyślnej ochrony danych – Celem realizacji procesu prywatności w fazie projektowania i domyślnej ochrony danych jest dostosowanie założeń wdrażanego w organizacji przedsięwzięcia. (nowego procesu/usługi/systemu it.) do podstawowych zasad RODO, w szczególności w zakresie spełnienia zasady zgodności z prawem, rzetelności i przejrzystości, zasady minimalizacji danych, zasady ograniczenia celu oraz zasady ograniczenia przechowywania tak, by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą (jest to wymaganie art. 25 RODO). IOD powinien aktywnie wspierać Was podczas oceny wdrażanych przedsięwzięć oraz rekomendował rozwiązania pozwalające na osiągnięcie zgodności wymaganymi RODO przy jednoczesnym minimalizowaniu obciążeń dla organizacji.
12. Nadzór nad procesorem – Zapewnienie zgodności w obszarze współpracy z podmiotami przetwarzającymi (procesorami) sprowadzało się dotychczas do uzupełnienia brakujących umów związanych z powierzaniem przetwarzania danych osobowych. Należy jednak pamiętać, że odpowiedzialność za dobór podmiotów przetwarzających oraz nadzór nad przestrzeganiem przez nich postanowień zawartych w umowach leży po stronie Administratora. Do zadań IOD powinno więc należeć również weryfikowanie podmiotów, którym powierzono przetwarzanie danych osobowych.

Kuba radzi – nie daj się nabić w butelkę. Sprawdź czy Twój IOD wywiązuje się ze swoich obowiązków 😊 Dla kontrastu sprawdź równieź naszą ofertę na świadczenie usługi Inspektora Ochrony Danych dostępną tutaj.