RODO

Obowiązki IOD


Obowiązki IOD (art. 37, 38 i 39 oraz motyw 97 RODO)

Inspektor Ochrony Danych jest stanowiskiem nowym, wprowadzonym dopiero przez przepisy RODO, nie ma zatem jeszcze żadnych wskazań, jak wykonywać te obowiązki, które wypływałyby z wcześniejszych doświadczeń. RODO szeroko zakreśla obowiązki IOD, który powinien elastycznie dostosowywać swoje szczegółowe obowiązki i metodykę pracy do okoliczności konkretnego przypadku. W takiej sytuacji dobrze jest postarać się o odpowiednie wsparcie osób, które mają doświadczenia w rozstrzyganiu kwestii z zakresu ochrony danych osobowych oraz zapewnić sobie odpowiednie narzędzia umożliwiające sprawne zarządzanie bezpieczeństwem danych.

    Poniżej przedstawiamy podstawowe obowiązki IOD w ujęciu RODO oraz nasze sugestie, co do tego w jaki sposób, wypełnić zalecenia RODO:

  • Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie.
    • Zdobywanie i aktualizowanie wiedzy z zakresu ochrony danych osobowych,
    • Zapewnienie, że pracownicy administratora/procesora będą wiedzieli, do kogo zwrócić się po informację na temat ochrony danych osobowych,
    • Organizowanie „kampanii informacyjnych”, rozsyłanie pracownikom alertów, informacji na temat ochrony danych osobowych,
    • Zapewnienie uczestnictwa w podejmowaniu decyzji dot. danych osobowych co do wszystkich decyzji podejmowanych w zakresie działalności administratora lub procesowa związanych z przetwarzaniem danych osobowych.

  • Monitorowanie zgodności z RODO, innymi przepisami UE lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych (art. 39.ust.1b RODO).
    • Bieżące monitorowanie rejestru czynności przetwarzania, odnotowywania w nim wszystkich zmian, stanu aktualnego;
    • Nawiązanie współpracy z osobami w każdym dziale czy nowym projekcie;
    • Zapoznanie się z pracą działów w zakładzie administratora/procesora, tak by można było wychwycić braki, luki, czynności nie zauważane na co dzień przez pracowników;
    • Uczulanie pracowników, przełożonych itp., że IOD powinien uczestniczyć w fazie projektowania każdej kolejnej, nowej czynności danego działu;
    • Zaplanowanie audytów zgodności przetwarzania danych (zarówno zapowiedzianych, jak i niezapowiedzianych) z przepisami dotyczącymi ochrony danych, także wewnętrznymi i terminowe ich przeprowadzanie;
    • Przygotowanie tzw. checklisty audytowej;
    • Codzienne zwracanie uwagi na przestrzeganie danych osobowych, także w obszarach „oczywistych” np. sprawdzanie czy prawidłowo ewidencjonuje się wydawanie kluczy, czy zgłaszani są goście itp.;
    • Rejestrowanie naruszeń, nawet drobnych;
    • wymaganie od służb informatycznych przeprowadzania odrębnych, okresowych audytów;
    • Wymaganie rzetelnego prowadzenia wszystkich ewidencji (pomieszczeń, sprzętu, wydawania kluczy, upoważnień itp.);
    • Okresowa inwentaryzacja podmiotów przetwarzających pod kątem stosowanie przez nie odpowiednich zabezpieczeń;
    • Analizowanie, doradzanie i rekomendowanie określonych działań administratorowi albo podmiotowi przetwarzającemu;
    • Powiadamianie pracowników o stwierdzonych naruszeniach w celu szerzenia świadomości ochrony danych osobowych i ryzyka związanego z naruszeniami ochrony danych;
    • organizowanie okresowych szkoleń z uwzględnieniem najczęściej popełnianych błędów, najczęściej zadawanych pytań.

  • Podejście oparte na analizie ryzyka związanego z operacjami przetwarzania (art. 39 ust. 2 RODO) wymaga od IOD:
    • wykonywania jego zadań z należytym uwzględnieniem ryzyka, mając na uwadze charakter, kontekst i cele przetwarzania, co wymaga ustalenia priorytetów w pracy IOD i koncentrowania się na aspektach pociągających za sobą większe ryzyko w zakresie ochrony danych;
    • takie podejście powinno ułatwić IOD doradzenie administratorowi/procesorowi:
      • jaką metodologię należy zastosować przy ocenie skutków dla ochrony danych,
      • które obszary powinny zostać poddane wewnętrznemu lub zewnętrznemu audytowi,
      • jakie szkolenia przeprowadzić dla pracowników przetwarzających dane,
      • na które operacje przetwarzania przeznaczyć więcej zasobów i czasu.

  • Rola IOD w ocenie skutków dla ochrony danych:
    • administrator w fazie projektowania ma obowiązek konsultowania się z IOD przy dokonywaniu oceny skutków dla ochrony danych (należy alarmować administratora za każdym razem, gdy taka konsultacja się nie odbyła tj. gdy wprowadzono nowy proces przetwarzania bez konsultacji);
    • obowiązek IOD udzielania na żądanie zaleceń w zakresie oceny skutków dla ochrony danych. Zaleca się IOD konsultowanie następujących kwestii:
      • czy należy przeprowadzić ocenę skutków dla ochrony danych (gdy ryzyko naruszenia jest wysokie),
      • metodologii przeprowadzenia takiej oceny,
      • czy przeprowadzić ocenę skutków wewnętrznie, czy zlecić ją na zewnątrz,
      • zabezpieczeń,
      • prawidłowości oceny;
    • Jeśli administrator nie zgadza się z zaleceniami IOD powinno to być pisemnie uzasadnione.

  • Współpraca z organem nadzoru, pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych:
    • Ustalenie ram do współpracy z organem nadzoru; jeśli IOD pracuje z zespołem: wyznaczenie odpowiednich ról, ustalenie terminów odpowiedzi,
    • Dbanie o odpowiednie rejestrowanie wszystkich działań podejmowanych w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych osobowych;
    • Odpowiednie wyeksponowanie wprowadzonych procedur i zasad;
    • Rejestrowanie dat i zakresów szkoleń z zakresu ochrony danych osobowych (również wewnętrznych) oraz osób, które w nich uczestniczyły;
    • Rejestrowanie wszelkich wniosków/próśb/żądań osób, których dane są przetwarzane i odnotowywanie, w jaki sposób zostały załatwione.

  • Pełnienie funkcji punktu kontaktowego dla osób, których dane są przetwarzane, w celu realizacji ich uprawnień:
    • IOD niekoniecznie musi być odpowiedzialny za załatwianie spraw zgłaszanych przez osoby, których dane dotyczą, niemniej jednak to on często wskazywany jest jako osoba kontaktowa i pełnić powinien co najmniej rolę koordynatora postępowania w tych sprawach,
    • należy stworzyć odpowiednie procedury w celu realizowania obowiązków oraz zapoznać wszystkich pracowników z ich obowiązkami wynikającymi z w/w procedury, zwłaszcza terminami działania.

RODO