O mnie

Cześć, nazywam się Paweł Rosół i dziękuję, że zajrzałeś na tę skromną stronę. Od kilkunastu lat zajmuję się obsługą małych i średnich firm w zakresie rozwiązań internetowych, a dodatkowo od kilku lat świadczę usługę pełnienia funkcji Inspektora Ochrony Danych (IOD). Wcześniej w tzw. “okresie przed RODO” świadczyłem podobne usługi jako Administrator Bezpieczeństwa Informacji (ABI).

Zapraszam do cyklicznego odwiedzania strony pawel.rosol.pl, na której umieszczam w formie bloga mniej lub bardziej istotne zagadnienia związane z pełnieniem funkcji IOD.


emoji-coffee Jeśli jesteś zainteresowana(-y) spotkaniem czy podjęciem współpracy, zapraszam na wspólną kawę: Kontakt z IOD.


Kto to jest inspektor ochrony danych?

Dzisiaj niemal każda firma lub instytucja przetwarza dane osobowe. Odkąd obowiązuje ogólne rozporządzenie o ochronie danych czyli RODO (ang. GDPR), w tematyce ochrony danych osobowych funkcjonuje pojęcie Inspektora Ochrony Danych (IOD). W języku angielskim jest to Data Protection Officer (DPO). O tym, czy konkretny administrator danych musi wyznaczyć Inspektora czy też nie, jest odpowiednio uregulowane w art. 37 ust. 1 RODO (zobacz: uodo.gov.pl).

Jakie kwalifikacje powinien posiadać IOD?

Ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości IOD, nie reguluje jednak zasad czy trybu weryfikacji spełnienia tego wymogu. Na chwilę obecną nie ma także oficjalnych wymogów co do certyfikacji. Niemniej niewykluczone, że z czasem organ nadzorczy (w Polsce: Urząd Ochrony Danych Osobowych) takie wymagania wprowadzi.

Dla mnie jako osoby wykonującej zadania Inspektora Ochrony Danych wydaje się nieodzowne ciągłe poszerzanie wiedzy i doświadczenia w obszarze ochrony danych osobowych. Oprócz cyklicznych szkoleń i warsztatów biorę m.in. udział w spotkaniach roboczych innych IOD. Ponadto jestem certyfikowanym auditorem wiodącym systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001. Posiadam także wieloletnie doświadczenie związane z bezpieczeństwiem systemów informatycznych oraz bezpieczeństwiem webaplikacji.

Czym zajmuje się IOD?

Do najbardziej podstawowych zadań inspektora ochrony danych należą te wymienione w art. 39 ust. 1 oraz 38 ust. 4 RODO (zobacz: uodo.gov.pl). Oprócz tego w zależności od konkretnych ustaleń, zestaw obowiązków IOD może zostać poszerzony o kolejne zadania. Zadania IOD, które świadczę dla swoich klientów mogą polegać na różnych czynnościach, a w szczególności:

  1. Dokonywaniu bieżących przeglądów obecnego zasobu danych osobowych w celu opracowania nowych dokumentów i określenia środków technicznych spełniających wymagania RODO;
  2. Aktualizowaniu Polityki Bezpieczeństwa Ochrony Danych Osobowych i innych dokumentów regulacyjnych, w tym praktyczne wdrażanie zagadnień związanych z danymi osobowymi w organizacji;
  3. Wdrażaniu dokumentacji oraz rozwiązań organizacyjnych i technicznych niezbędnych do zapewniania pełnej zgodności w obszarze ochrony danych osobowych;
  4. Prowadzeniu rejestrów i dokumentacji z zakresu bezpieczeństwa informacji i ochrony danych osobowych, prowadzeniu rejestru czynności przetwarzania danych osobowych (art. 30 RODO);
  5. Przeprowadzeniu oceny skutków planowanych operacji przetwarzania danych osobowych przed rozpoczęciem ich przetwarzania - analiza ryzyka (art. 35 RODO);
  6. Bieżącej współpracy z działami w zakresie ochrony danych osobowych;
  7. Prowadzeniu szkoleń dla pracowników w zakresie ochrony danych osobowych;
  8. Nadzorze nad procesami przetwarzania danych osobowych u Zamawiającego;
  9. Monitorowaniu zgodności dokumentów z obowiązującymi przepisami i regulacjami w zakresie ochrony danych osobowych;
  10. Bieżącym monitorowaniu przestrzegania u Zamawiającego przepisów RODO i innych przepisów dotyczących ochrony danych osobowych oraz pełnienie funkcji doradczych w tym zakresie;
  11. Identyfikacji ryzyk i zagrożeń związanych z przetwarzaniem danych osobowych;
  12. Opiniowaniu umów w zakresie powierzenia danych osobowych;
  13. Weryfikacji dokumentów w zakresie prawa ochrony danych osobowych;
  14. Wykonywaniu czynności związanych z zapewnieniem prawa dostępu do danych osobowych;
  15. Zarządzaniu bezpieczeństwem danych osobowych;
  16. Współpracy z Administratorem Systemów Informatycznych (informatykiem) oraz podmiotem świadczącym na rzecz Zamawiającego usługi prawne celem zapewnienia zgodności stosowanych rozwiązań informatycznych i prawnych w obszarze ochrony danych osobowych;
  17. Przygotowywaniu raportów i analiz dotyczących ryzyka przetwarzania danych osobowych;
  18. Bieżącym informowaniu Administratora Danych Osobowych i pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów w zakresie ochrony danych osobowych;
  19. Zgłaszaniu naruszeń ochrony danych osobowych do organu nadzorczego, po wcześniejszej konsultacji z Zamawiającym, oraz zawiadamianie o tym osób, których dane te dotyczą (art. 33 i 34 RODO);
  20. Pełnieniu funkcji punktu kontaktowego dla organu nadzorczego, dla właścicieli danych osobowych oraz współdziałaniu z organem nadzorczym;
  21. Prowadzeniu działań podnoszących świadomość bezpieczeństwa informacji wśród pracowników;
  22. Ścisłej współpracy z Administratorem Danych Osobowych.

Czy funkcję IOD może pełnić osoba spoza organizacji?

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora, jak i osoba spoza grona pracowników. Możliwe jest zatem pełnienie funkcji inspektora ochrony danych w modelu outsourcingu - i taką formę współpracy świadczę dla różnych podmiotów. Jeśli jesteś zainteresowana(-y) listą referencyjną, zapraszam do kontaktu.

Jakie gwarancje niezależności zostały przyznane IOD?

Inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też nie – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO). W celu zapewnienia niezależności inspektorowi ochrony danych w RODO zawarto kilka istotnych rozwiązań:

  • bezpośrednia podległość IOD najwyższemu kierownictwu,
  • wspieranie IOD w wypełnianiu jego zadań,
  • zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych,
  • zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań,
  • unikanie konfliktu interesów IOD,
  • zakaz odwoływania i karania IOD,
  • obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD.

Więcej na ten temat można się dowiedzieć na stronie uodo.gov.pl.