Dzisiaj zmierzymy się z trudnym tematem: Inspektor Ochrony Danych i co z tego wynika! Na gruncie Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r., odpowiednikiem IOD był wszystkim dobrze znany Administrator Bezpieczeństwa Informacji (ABI).
Wyznaczało się kogoś kto niekoniecznie miał kwalifikacje, ale nie był karany i to wystarczało! Analfabeta bez doświadczenia, ale byleby nie kryminalista! Taki ABI przygotowywał kwity zgodne z Rozporządzeniem ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wystawiał upoważnienia i organizował szkolenia.
Wszystko się skończyło 25 maja 2018 roku. To, nie przeobrażony ABI w IOD ma zapierdalać jak wcześniej, a … Administrator Danych Osobowych, co nie znaczy, że IOD nie może wyręczyć w tym ADO.
Artykuł 37 Ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), określa zasady wyznaczenia Inspektora Ochrony Danych, jego zadania i status.
I tak, Administrator Danych oraz podmiot przetwarzający wyznaczają inspektora ochrony danych, zamieszczają jego dane kontaktowe w tzw. „Klauzuli Informacyjnej” a także informują o tym organ nadzorczy (Urząd Ochrony Danych Osobowych). Decyzja o wyznaczeniu IOD lub nie, związana jest z przeprowadzeniem analizy, która powinna zostać udokumentowana. Według interpretacji Grupy Roboczej, widzimy możliwość wyznaczenia IOD nawet w sytuacji gdy przepisy wprost tego nie nakazują. Wówczas, gdy podmiot dobrowolnie decyduje się na wyznaczenie IOD, wymagania wskazane w artykule 37 i 39 stosuje się odpowiednio do jego wyznaczenia, statusu i zadań, tak jakby wyznaczenie było obowiązkowe.
Wyznacza się IOD zawsze gdy zajdzie jedna ze wskazanych w RODO okoliczności:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (wcześniej danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Przez organ lub podmiot publiczny rozumiemy jednostki wymienione w:
- Art 5 § 2 pkt 3 Kodeksu postępowania administracyjnego: ministerstwa, centralne organy administracji rządowej, wojewodowie, i inne terenowe organy zespolonej i niezaspolonej administracji rządowej, organy jednostek samorządu terytorialnego oraz inne organy i podmioty powołane z mocy prawa albo na podstawie porozumień do załatwiania należących do ich właściwości spraw indywidualnych rozstrzyganych w drodze decyzji administracyjnych.
- Art 9 pkt 1-14 z 27.08.2009 r. Ustawy o finansach publicznych: organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitarne, jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej, państwowe fundusze celowe, ZUS, KRUS, NFZ itd…
RODO umożliwia wyznaczenie jednego Inspektora Ochrony Danych dla kilku przedsiębiorstw, pod warunkiem, że można będzie łatwo nawiązać z takim IOD kontakt z każdej jednostki organizacyjnej. Analogicznie w sektorze publicznym. Jest możliwość wyznaczenia jednego IOD dla kilku organów lub podmiotów, przy czym należy zwrócić szczególną uwagę na ich struktury organizacyjne i wielkości. IOD musi być profesjonalistą, który zabezpieczy interesy ADO – i to należy wziąć sobie do serca !!! Słowo „kilka” na płaszczyźnie ilości obsługiwanych podmiotów zgodnie ze Słownikiem języka polskiego PWN, to liczba nie mniejsza niż 2 a nie większa niż 9.
Wyznaczenie takiej osoby powinno stwarzać możliwie jak największe gwarancje bezpieczeństwa przetwarzanych danych osobowych. Nie ma co iść na skróty, gdy w sektorze prywatnym za potknięcie grozi 20 ml €. Im bardziej zlekceważymy powagę i odpowiedzialność IOD, tym więcej stracimy. Pamiętajmy, że z kar nałożonych na instytucje i podmioty określony procent idzie na utrzymanie Urzędu Ochrony Danych Osobowych, tym samym w interesie kontrolerów UODO będzie karać finansowo. Być może kary podyktowane będą potrzebą zwrotu kosztów przejazdu i hotelu kontrolerów, a być może sposobem na rozwój Urzędu Ochrony Danych Osobowych. Wszystko pokażą najbliższe miesiące. O kontrolach się słyszy, ale nie karach… co oczywiście nie znaczy, że nie są prowadzone skomplikowane procedury, które dopiero mają pokazać nowe oblicze instytucji nadzorczej.
Nie każdy może zostać Inspektorem Ochrony Danych. Powinno się go wyznaczyć na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.
Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Administrator oraz podmiot przetwarzający zobligowani zostali do niezwłocznego włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych.
Zgodnie z Art. 39 RODO do zadań inspektora ochrony danych, należy:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
- Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Z powyższej listy wynika, że IOD to w połowie pracownik ADO a w połowie UODO. Przy czym, w sytuacji zaistnienia incydentu bezpieczeństwa IOD reprezentuje interesy osób, których dane osobowe zostały naruszone. Wielu Administratorów Danych nie zdaje sobie z tego sprawy, licząc że IOD jako fachowiec w swej dziedzinie uchroni go od konsekwencji. To błędne myślenie, które da o sobie znać przy pierwszej nadarzającej się okazji.
Od wejścia nowych regulacji w zakresie ochrony danych osobowych w życie, możemy pokusić się o kilka słów wstępnego podsumowania. IOD to zło konieczne. Od chwili wystąpienia incydentu bezpieczeństwa, w ciągu 72 godzin, musi zgłosić fakt jego zaistnienia do Prezesa Urzędu Ochrony Danych Osobowych. To już nie są przelewki, zamiatanie pod dywan, grozi w sektorze publicznym do 100 tyś. zł kary. Wszystko co ADO zrobi by zabezpieczyć dane osobowe, zawsze punktuje, jeśli jednak coś ukryje… musi się liczyć z poważnymi konsekwencjami. W jednym ze starostw na Podlasiu, IOD został eksmitowany na korytarz. Dyrektor Wydziału Organizacyjnego, doszła do wniosku, że IOD nie może przebywać w jej pomieszczeniach, gdyż taki ktoś za dużo widzi i słyszy. Jesienna kontrola NIK wykazała nieprawidłowości w sektorze IT podlegający pod jej wydział. Opisano dramat w zakresie informatyki na 12 stronach A4. To jest wystarczający powód by IOD miał swoje miejsce urzędowania na korytarzu. Do tego dochodzi paranoja, przez którą dyrektor kazała informatykowi włamywać się do komputerów bez wiedzy użytkownika i Starosty by szukać na nich haków. Ktoś powie, non possumus, kurwa! Gdzie jest Administrator Danych? A co jeśli najwięcej do powiedzenia ma nie ADO a dyrektor Wydziału Organizacyjnego? W ilu urzędach tak jest ? No właśnie, koloryt polskiego społeczeństwa, polskich urzędów i wartości.
21 października 2018 r. wybory samorządowe, pozostaje wierzyć że może coś się zmieni…
Takimi wybitnymi jednostkami, co to nie wiedzą kto jest szefem, powinen się zająć Zbyszek. Zobaczymy co będzie po wyborach, gdy PIS się umocni…
Wybory nic nie zmienią.Tacy ludzie jak ta baba są nieruszalni. Chodzi o to, że władza stara czy nowa boi się ruszać gówno. zawsze przy tym można się ubrudzić, więc lepiej z siebie robić kretyna i udawać, że wszystko jest jak powinno. To tyle w temacie.
A to obligatoryjnie należy uzasadnić brak powołania IOD w firmie? To jakimś oficjalnym dokumentem musi być wykazane?
Inwigilowanie bez wiedzy kierownika jednostki oraz bez zapisów w regulaminie organizacyjnym jest czynem karalnym, poczytajcie art. 267 § 2 Kodeksu Karnego.
U nas też jest taka suka w pracy, co to się uważa za ważniejszą od szefa.
W RODO mnóstwo jest ogólnych pojęć, to ADO musi zinterpretować je i udowodnić że dobrze zinterpretował…
A co to znaczy „duża skala”?
moim zdaniem, tylko wówczas gdy głównym zadaniem jest przetwarzanie danych szczególnych na dużą skalę.
A czy w przedszkolu niepublicznym prowadzonym przez prywatny podmiot, np spółkę czy funducję, powinno się powływać IOD?