Cześć, nazywam się Paweł Rosół i dziękuję, że zajrzałeś na tę skromną stronę. Od kilkunastu lat zajmuję się obsługą małych i średnich firm w zakresie rozwiązań internetowych, a dodatkowo od kilku lat świadczę usługę pełnienia funkcji Inspektora Ochrony Danych (IOD). Wcześniej w tzw. “okresie przed RODO” świadczyłem podobne usługi jako Administrator Bezpieczeństwa Informacji (ABI).
Zapraszam do cyklicznego odwiedzania strony pawel.rosol.pl, na której umieszczam w formie bloga mniej lub bardziej istotne zagadnienia związane z pełnieniem funkcji IOD.
Jeśli jesteś zainteresowana(-y) spotkaniem czy podjęciem współpracy, zapraszam na wspólną kawę: Kontakt z IOD.
Kto to jest inspektor ochrony danych?
Dzisiaj niemal każda firma lub instytucja przetwarza dane osobowe. Odkąd obowiązuje ogólne rozporządzenie o ochronie danych czyli RODO (ang. GDPR), w tematyce ochrony danych osobowych funkcjonuje pojęcie Inspektora Ochrony Danych (IOD). W języku angielskim jest to Data Protection Officer (DPO). O tym, czy konkretny administrator danych musi wyznaczyć Inspektora czy też nie, jest odpowiednio uregulowane w art. 37 ust. 1 RODO (zobacz: uodo.gov.pl).
Jakie kwalifikacje powinien posiadać IOD?
Ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości IOD, nie reguluje jednak zasad czy trybu weryfikacji spełnienia tego wymogu. Na chwilę obecną nie ma także oficjalnych wymogów co do certyfikacji. Niemniej niewykluczone, że z czasem organ nadzorczy (w Polsce: Urząd Ochrony Danych Osobowych) takie wymagania wprowadzi.
Dla mnie jako osoby wykonującej zadania Inspektora Ochrony Danych wydaje się nieodzowne ciągłe poszerzanie wiedzy i doświadczenia w obszarze ochrony danych osobowych. Oprócz cyklicznych szkoleń i warsztatów biorę m.in. udział w spotkaniach roboczych innych IOD. Ponadto jestem certyfikowanym auditorem wiodącym systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001. Posiadam także wieloletnie doświadczenie związane z bezpieczeństwiem systemów informatycznych oraz bezpieczeństwiem webaplikacji.
Czym zajmuje się IOD?
Do najbardziej podstawowych zadań inspektora ochrony danych należą te wymienione w art. 39 ust. 1 oraz 38 ust. 4 RODO (zobacz: uodo.gov.pl). Oprócz tego w zależności od konkretnych ustaleń, zestaw obowiązków IOD może zostać poszerzony o kolejne zadania. Zadania IOD, które świadczę dla swoich klientów mogą polegać na różnych czynnościach, a w szczególności:
- Dokonywaniu bieżących przeglądów obecnego zasobu danych osobowych w celu opracowania nowych dokumentów i określenia środków technicznych spełniających wymagania RODO;
- Aktualizowaniu Polityki Bezpieczeństwa Ochrony Danych Osobowych i innych dokumentów regulacyjnych, w tym praktyczne wdrażanie zagadnień związanych z danymi osobowymi w organizacji;
- Wdrażaniu dokumentacji oraz rozwiązań organizacyjnych i technicznych niezbędnych do zapewniania pełnej zgodności w obszarze ochrony danych osobowych;
- Prowadzeniu rejestrów i dokumentacji z zakresu bezpieczeństwa informacji i ochrony danych osobowych, prowadzeniu rejestru czynności przetwarzania danych osobowych (art. 30 RODO);
- Przeprowadzeniu oceny skutków planowanych operacji przetwarzania danych osobowych przed rozpoczęciem ich przetwarzania - analiza ryzyka (art. 35 RODO);
- Bieżącej współpracy z działami w zakresie ochrony danych osobowych;
- Prowadzeniu szkoleń dla pracowników w zakresie ochrony danych osobowych;
- Nadzorze nad procesami przetwarzania danych osobowych u Zamawiającego;
- Monitorowaniu zgodności dokumentów z obowiązującymi przepisami i regulacjami w zakresie ochrony danych osobowych;
- Bieżącym monitorowaniu przestrzegania u Zamawiającego przepisów RODO i innych przepisów dotyczących ochrony danych osobowych oraz pełnienie funkcji doradczych w tym zakresie;
- Identyfikacji ryzyk i zagrożeń związanych z przetwarzaniem danych osobowych;
- Opiniowaniu umów w zakresie powierzenia danych osobowych;
- Weryfikacji dokumentów w zakresie prawa ochrony danych osobowych;
- Wykonywaniu czynności związanych z zapewnieniem prawa dostępu do danych osobowych;
- Zarządzaniu bezpieczeństwem danych osobowych;
- Współpracy z Administratorem Systemów Informatycznych (informatykiem) oraz podmiotem świadczącym na rzecz Zamawiającego usługi prawne celem zapewnienia zgodności stosowanych rozwiązań informatycznych i prawnych w obszarze ochrony danych osobowych;
- Przygotowywaniu raportów i analiz dotyczących ryzyka przetwarzania danych osobowych;
- Bieżącym informowaniu Administratora Danych Osobowych i pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów w zakresie ochrony danych osobowych;
- Zgłaszaniu naruszeń ochrony danych osobowych do organu nadzorczego, po wcześniejszej konsultacji z Zamawiającym, oraz zawiadamianie o tym osób, których dane te dotyczą (art. 33 i 34 RODO);
- Pełnieniu funkcji punktu kontaktowego dla organu nadzorczego, dla właścicieli danych osobowych oraz współdziałaniu z organem nadzorczym;
- Prowadzeniu działań podnoszących świadomość bezpieczeństwa informacji wśród pracowników;
- Ścisłej współpracy z Administratorem Danych Osobowych.
Czy funkcję IOD może pełnić osoba spoza organizacji?
Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora, jak i osoba spoza grona pracowników. Możliwe jest zatem pełnienie funkcji inspektora ochrony danych w modelu outsourcingu - i taką formę współpracy świadczę dla różnych podmiotów. Jeśli jesteś zainteresowana(-y) listą referencyjną, zapraszam do kontaktu.
Jakie gwarancje niezależności zostały przyznane IOD?
Inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też nie – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO). W celu zapewnienia niezależności inspektorowi ochrony danych w RODO zawarto kilka istotnych rozwiązań:
- bezpośrednia podległość IOD najwyższemu kierownictwu,
- wspieranie IOD w wypełnianiu jego zadań,
- zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych,
- zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań,
- unikanie konfliktu interesów IOD,
- zakaz odwoływania i karania IOD,
- obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD.
Więcej na ten temat można się dowiedzieć na stronie uodo.gov.pl.