Inspektor Ochrony Danych to zawód obchodzący niedługo swoje drugie urodziny. Został on powołany do życia na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Zastąpił on Administratora Bezpieczeństwa Informacji oraz wzmocnił pozycję osoby zajmującej się wsparciem dla kierownika jednostki w zakresie przetwarzania danych osobowych. Jego działalność w organizacji wzbudza jednak bardzo często szereg kontrowersji. Pracodawcy nie wiedzą za co płacą i jak rozliczać Inspektora Ochrony Danych z jego pracy. Mam nadzieję, że dzisiejszy artykuł trochę im w tym pomoże.
Po pierwsze kompetencje. Tutaj mamy trochę przewrotne pytanie. Czy zlecilibyście Państwo rozpisanie wypadku przy pracy Pani księgowej lub radcy prawnemu? Zapewne nie. Z całą pewnością szukalibyście osoby specjalizującej się w zakresie bezpieczeństwa i higieny pracy. Niestety, bardzo rzadko się spotyka, aby potencjalny pracodawca patrzył takimi kategoriami w przypadku ochrony danych osobowych. Tutaj główną rolę odgrywa niestety cena za świadczenie usługi IOD.
RODO to nadal temat nowy, dla wielu niezwykle wydumany, a może nawet i niepotrzebny (bo w końcu tyle lat tego nie było i „jakoś było”…) A zatem jak zatrudniać Inspektora to zdecydowanie tego, który przedstawi najniższą ofertę. A to, że prowadzi firmę stricte consultingową zajmującą się prowadzeniem mediów społecznościowych, czy specjalizuje się w prawie spółek handlowych czy nawet mediacjach rodzinnych… To już inna kwestia. W pierwszej kolejności przy wyborze IOD należy zwrócić uwagę na jego:
Warto zwrócić również uwagę na studia podyplomowe, specjalistyczne kursy czy szkolenia. To zawsze stanowi o wartości dodanej w pracy specjalisty ds. ochrony danych osobowych.
Po drugie zadania IOD. Są one wymienione bezpośrednio w art. 39 RODO. Wynika z niego, że Inspektor Ochrony Danych ma następujące zadania:
Ponadto Inspektor Ochrony Danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Jak widać mamy tutaj do czynienia z organem o charakterze doradczym. Jednak warto zwrócić uwagę na jego „monitorujący” charakter działalności. Wynika z niego wprost, że IOD musi posiadać aktualną wiedzę z zakresu przetwarzania danych osobowych. Jak to wygląda w praktyce? Z naszego doświadczenia możemy dość zdecydowanie powiedzieć, że nie za ciekawie. Wiele osób pełniących funkcję Inspektora Ochrony Danych nie wie nawet o konieczności aktualizacji dokumentacji z uwagi na wejście w życie ustawy tzw. „wdrażającej RODO”, która obowiązuje już od przeszło roku (sic!).
Rola specjalisty ds. ochrony danych osobowych jest dla placówki niezwykle istotna. Dlaczego? Z bardzo prostej przyczyny. Praktycznie na każdym kroku mamy do czynienia z przetwarzaniem danych osobowych. Bo która z firm nie ma obecnie monitoringu? Albo nie posiada własnej strony internetowej? A może nie prowadzi akt pracowniczych? W każdym z tego typu przypadków dochodzi do operacji na danych osobowych. A jeśli już dochodzi do operacji to musi być do niej stosowana odpowiednia ochrona (m.in. w postaci podstawy prawnej). I tutaj tak naprawdę kluczową rolę odgrywa IOD. To w jego kompetencjach jest, aby monitorować stosowanie RODO w placówce, prowadzić działania podnoszące świadomość czy przeprowadzać cykliczne audyty. Pracy jest więc co niemiara dlatego wielokrotnie dziwią mnie opinie, że IOD tak naprawdę nic nie robi (bo wdrożył stosowną dokumentację) i teraz jedynie skupia się na bohaterskim, co miesięcznym wystawieniu faktury swojemu pracodawcy. Tego typu opinie są bowiem niezwykle krzywdzące.
Inspektor Ochrony Danych to zawód, który na stałe wchodzi do kanonu nowych profesji na rynku pracy. Jest to zawód wymagający stałego doskonalenia się oraz monitorowania przepisów i wytycznych, które ulegają ciągłej aktualizacji. W perspektywie czasu uważam, że ta stosunkowo młoda profesja nabiera należytej jej szlachetności. Jeszcze dwa lata temu IOD był zdecydowanie zawładnięty przez wszelkiego rodzaju kancelarie prawnicze (jako co miesięczne inspektorowe tzw. easy money). Teraz jak miałbym poddać to subiektywnej ocenie jest zupełnie inaczej. Mamy do czynienia ze wzrostem świadomości administratorów danych osobowych, którzy szukają prawdziwych i w pełni kompetentnych fachowców. Już nie wystarczą im wielkie segregatory z dokumentacją czy piękny certyfikat na ścianę dotyczący zgodności firmy z wymogami RODO (kompletnie nic nie wnoszący i nic nikomu nie dający). Obecnie nastał czas praktyków. Nie ilość a jakość dokumentów, nie nawet najpiękniejsza teoria a praktyczne rozwiązania.
Nasz zespół zapewnia kompleksową obsługę w zakresie przygotowania procedur i dokumentacji oraz świadczenia funkcji Inspektora Ochrony Danych
Autor: Centrum Audytu Bezpieczeństwa
Redakcja: ITLS
