3 pytania o… rolę Inspektora ochrony danych w organizacji

11/10/18

Inspektor ochrony danych (IOD) to nowa funkcja w organizacji, którą wprowadza RODO

Rozporządzenie wskazuje przypadki, kiedy powołanie IOD jest obowiązkowe. Do pewnego stopnia ta funkcja jest odpowiednikiem dotychczasowego administratora bezpieczeństwa informacji. 

  • Jaka jest rola IOD i gdzie on powinien być osadzony w strukturze organizacji? 
  • Jakie kompetencje i umiejętności powinien posiadać IOD? Jakie narzędzia mogą wspierać jego pracę? 
  • Jakie są rodzaje odpowiedzialności IOD?

 

Przepisy RODO wyraźnie wskazują jak powinno wyglądać umiejscowienie Inspektora ochrony danych. IOD bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotowi przetwarzającemu.


 

Posłuchaj podcastu o roli Inspektora ochrony danych w organizacji

Jakub Gołębiowski (JG): Dzień dobry, witam w nowym odcinku podcastów PwC. Nazywam się Jakub Gołębiowski i zapraszam was do odsłuchania audycji, w której zadam trzy ważne pytania związane z Inspektorem ochrony danych, wprowadzonym przez RODO. 

Naszymi gośćmi są dziś Arwid Mednis, partner w PwC Legal, radca prawny, lider zespołu ochrony danych osobowych i TMT, dzień dobry.

Arwid Mednis (AM): Dzień dobry. 

JG: Oraz Łukasz Ślęzak, menedżer w zespole cyberbezpieczeństwa, dzień dobry. 

Łukasz Ślęzak (ŁŚ): Dzień dobry. 

 

JG: Ogólne rozporządzenie o ochronie danych osobowych, czyli RODO, wprowadziło nową funkcję w organizacji. Ta funkcja to Inspektor ochrony danych, w skrócie IOD. RODO wskazało przypadki, kiedy powołanie inspektora jest obowiązkowe. Do pewnego stopnia inspektor jest odpowiednikiem dotychczasowego Administratora bezpieczeństwa informacji.
Podczas dzisiejszego podcastu chciałbym, abyśmy wspólnie omówili role Inspektora ochrony danych i zastanowili się nad tym, jak inspektor powinien być osadzony w strukturze organizacyjnej.
Poruszymy tutaj zarówno aspekty prawne, jak również techniczne wykonywania obowiązków wynikających z RODO, podzielimy się także doświadczeniami w zakresie efektywnego pełnienia funkcji Inspektora ochrony danych.
Przechodzimy już bezpośrednio do rozmowy, kieruję pierwsze pytanie do Arwida, jakie są możliwości umiejscowienia inspektora w organizacji?

AM: Przede wszystkim trzeba powiedzieć, że przepis RODO dość wyraźnie wskazuje jak to umiejscowienie powinno wyglądać, bo mówi, że IOD bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, czyli już mamy rozstrzygnięcie w samym przepisie. Wynika to z tego, że prawodawca unijny chciał zapewnić bardzo dużą niezależność IOD względem całej organizacji, ponieważ rolą IOD jest, jak wiemy, spoglądanie i monitorowanie jak organizacja, instytucja chroni dane.

Przypomnę tutaj, że ochrona danych to jest odpowiedzialność całej organizacji, a nie IOD. IOD jest tylko od tego, żeby stać z boku, patrzeć, czy to jest wykonywane prawidłowo czy nie. I teraz co wynika z tego przepisu, o którym wspominałem. Ma to wyglądać w ten sposób, że jeżeli mamy na przykład do czynienia ze spółką prawa handlowego, to jest oczywiste, że IOD ma podlegać albo bezpośrednio prezesowi zarządu, albo komuś kto jest na przykład w zarządzie odpowiedzialny za bezpieczeństwo danych, za bezpieczeństwo informacji. Problem pojawia się w momencie, kiedy IOD łączy ze spółką, czy z instytucją, umowa cywilnoprawna, bo to o czym powiedziałem przed chwilą, to jest łatwo zrobić w momencie, kiedy IOD jest pracownikiem, czyli podlega umowie o pracę.

Natomiast kiedy mamy do czynienia z umową cywilnoprawną, no to pojawia się tutaj dość oczywiste pytanie, jak zrobić, żeby osoba, która jest de facto zewnętrzną osobą, która pełni tę funkcję na podstawie umowy cywilnoprawnej faktycznie podlegała funkcjonalnie prezesowi zarządu.

To jest argument raczej za tym, żeby szczególnie w przypadku dużych organizacji jednak powoływać IOD na podstawie umowy o pracę, umowa cywilnoprawna, no oczywiście, wiadomo, papier jest cierpliwy, więc może przewidywać takie sytuacje, że odpowiada ten nasz IOD zewnętrzny bezpośrednio prezesowi zarządu, ale zwykle taka konstrukcja jest po prostu z punktu widzenia cywilnoprawnego dość sztuczna. 

 

JG: Czyli możemy podsumować, że najszczęśliwszym rozwiązaniem byłoby faktycznie zatrudnienie takiej osoby w oparciu o umowę o pracę? 

AM: Tak, ponieważ jako pracownik inspektor jest tak naprawdę bezpośrednio podległy, od strony również organizacyjnej, jego oczywiście nie można ukarać, ani pociągnąć do odpowiedzialności za to, że wykonuje swoje zadania. Oczywiście z zastrzeżeniem, że wykonuje je prawidłowo, natomiast wtedy jest ta więź organizacyjna, ta bezpośrednia podległość, no i wtedy można go troszkę lepiej kontrolować.

Dlatego my zwykle sugerujemy, żeby szczególnie w przypadku dużych organizacji, ten IOD był osobą wewnętrzną, w sensie pracownikiem. No i już, że nie wspomnę o tym, że w przypadku organizacji dużych, jedna osoba może sobie nie poradzić, tak najnormalniej w świecie, i dlatego być może powinna mieć jakiś zespół do pomocy, 3-4 osobowy może. 

 

JG: Skoro nakreśliliśmy tak mniej więcej jak to powinno wyglądać strukturalnie, to kieruję moje następne pytanie do Łukasza. Łukasz czy mógłbyś powiedzieć, jakie kompetencje i umiejętności powinien mieć inspektor? Może też o tym, jakie narzędzia mogą ewentualnie wspierać jego pracę? 

ŁŚ: RODO zawiera wymagania w dwóch perspektywach – prawnej i technicznej. O ile wymaganiom prawnym poświęcone jest większość zapisów rozporządzenia, o tyle wymagania techniczne nie są już tak dobrze sprecyzowane.

Po pierwsze RODO jest technologicznie neutralne, czyli nie wymaga określonych zabezpieczeń czy systemów bezpieczeństwa IT.

Po drugie w zakresie bezpieczeństwa danych osobowych przyjęte jest podejście oparte o zarządzaniu ryzykiem utraty prywatności. Czyli można to podsumować, że sposób osiągniecia celów, które wynikają z rozporządzenia może być różny dla każdej organizacji, a nawet mogą istnieć różne sposoby ich osiągnięcia dla jednej organizacji. Jednocześnie pamiętajmy o tym, że każda decyzja musi być poprzedzona pogłębioną analizą i poparta stosowną argumentacją.

Z powyższego wynika, że IOD powinien posiadać wiedzę zarówno w obszarze prawnym, jak i w obszarze technicznym. Oczywiście jest możliwość, żeby był bardziej prawnikiem niż osobą techniczną. Jeśli ma oczywiście zapewnione odpowiednie wsparcie departamentu, czy też działu bezpieczeństwa i tak samo może w druga stronę, czyli może być tak zwanym bezpiecznikiem, osobą techniczną, która ma wsparcie departamentu prawnego.

Dodatkowo należy podkreślić i pamiętać o tym, że w dużych organizacjach, o czym wspominał Arwid, budowane są całe zespoły ochrony danych osobowych i w takim przypadku IOD, oprócz tych kompetencji prawnotechnicznych, musi posiadać typowe umiejętności menadżerskie, które pozwolą mu na efektywne zarządzanie zespołem.

Natomiast jeśli chodzi o rozwiązania wspierające pracę inspektora, to oczywiście zawsze można pracować na Excelach i w wielu przypadkach można sobie wyobrazić taką sytuację, że da się to tak zorganizować, żeby zapewnić zgodność z RODO.

Jednak w przypadku dużej ilości danych osobowych i potencjalnych interakcji z podmiotami danych. Czyli w przypadku dużych instytucji np. finansowych potrzebne już jest wsparcie przez dedykowane narzędzie i mniej więcej od dwóch lat każdy większy gracz, który tworzy oprogramowanie chwali się, że posiada takie jedno, lub kilka rozwiązań, zapewniających zgodność z RODO.

Natomiast jeśli wejdziemy już w szczegóły takich rozwiązań, można z łatwością dostrzec, że te rozwiązania adresują tylko pewien wycinek wymagania RODO np. szyfrują komunikację lub służą do zarządzania dostępem pracowników, czy do zarządzania dostępem uprzywilejowanym. Według mnie na uwagę zasługują w tym momencie dwa typy rozwiązań, które realnie są w stanie wspomóc pracę IOD.

Pierwsze jest to rozwiązanie klasy GRC, czyli Governance Risk Compliance, jest to takie rozwiązanie, które pozwala na prowadzenie rejestru czynności przetwarzania, pozwala na bieżącą analizę ryzyka zmian w sposobach przetwarzania oraz pozwala na planowanie wewnętrznych kontroli i audytów oraz zdefiniowanie samych mechanizmów kontrolnych, które pozwolą na zarządzanie obszarem ochrony danych osobowych w sposób efektywny.

Drugie rozwiązanie, jest to rozwiązanie klasy MDM, czyli Master Data Management i generalnie pochodne rozwiązania tego typu, które pozwalają na wyszukiwanie samych miejsc przetwarzania danych osobowych, zarówno w systemach IT, jak i na dyskach sieciowych, czy stacjach roboczych, pozwalają na śledzenie zmian w miejscach przetwarzania oraz obsługę praw podmiotów danych, jak na przykład prawo do bycia zapomnianym oraz pozwalają na przykład na zarządzanie retencją danych osobowych, czyli takie rozwiązanie samo nam już pilnuje kiedy te dane powinny być usunięte z naszych systemów i zasobów.

Posiadając te dwa rozwiązania jesteśmy w stanie efektywnie rzeczywiście zarządzać tym obszarem ochrony danych osobowych. Natomiast idealnie byłoby, gdybyśmy mieli jedno rozwiązanie, które zawiera funkcjonalności tych obu rozwiązań. Natomiast na ten moment takiego rozwiązania jeszcze nie ma, a my gorąco liczymy, że w niedalekiej przyszłości taki piękny twór powstanie. 

 

JG: Ten zestaw kompetencji i umiejętności wygląda, że powinien być jednak dosyć szeroki w przypadku IOD. Natomiast cały czas się zastanawiam i tu trochę może wrócimy do tego o czym, Arwid, mówiłeś na początku. Jakie są rodzaje odpowiedzialności IOD?

AM: Generalnie patrząc z punktu widzenia samego IOD byłby na pewno zainteresowany na jakiej podstawie mogę odpowiadać i co mi ewentualnie grozi za niewykonanie swoich zadań. Można rozpatrywać to w czterech kategoriach odpowiedzialności. Odpowiedzialności administracyjnej, karnej, cywilnej i wreszcie pracowniczej.

Jeśli chodzi o odpowiedzialność administracyjną, to zwykle mamy na myśli przede wszystkim te administracyjne kary pieniężne, o tym jest głośno bo, jak wiadomo, cały szum wokół RODO zaczął się od tego, że każą płacić w razie jakichś problemów do 20 milionów euro, ale tutaj można uspokoić IOD, że na nich żadna kara indywidualna nie zostanie nałożona, owszem RODO przewiduje kary pieniężne za brak realizacji przepisów artykułu od 37 do 39, to są te artykuły, które odnoszą się do zadań statusu inspektora, ale te kary nakładane są na administratora danych, bądź na podmiot przetwarzający. Wśród podmiotów, które są wymienione wśród tych, które mogą podlegać tym administracyjnym karom pieniężnym inspektora nie ma, czyli nie przyjdzie organ, nie powie ty masz zapłacić 20 milionów euro, jako IOD.

Odpowiedzialność karna, to jest odpowiedzialność na podstawie przepisów karnych dotyczy ograniczenia bądź pozbawienia wolności, ewentualnie jakiejś kary grzywny. Tutaj też nie mamy ani w RODO, ani w przepisach naszej nowej ustawy o ochronie danych takiego przepisu karnego, który by wiązał się z jakąś odpowiedzialnością samego inspektora z tytułu wykonywania przez niego zadań. Owszem jest tam przepis w nowej ustawie o ochronie danych, który mówi o karze za utrudnianie przeprowadzania kontroli. Teoretycznie to utrudnianie może być spowodowane przez jakieś działania inspektora. No ale nie jest to jakby kara, która może być tylko i wyłącznie nałożona na inspektora.

Jeśli chodzi o odpowiedzialność cywilną i pracowniczą, to ona zależy od tego z jakiego typu relacją prawną mamy do czynienia pomiędzy administratorem a inspektorem, to jest to o czym mówiłem wcześniej. 

 

JG: W pierwszym pytaniu, wracamy odrobinę do tego pytania. 

AM: Tak, jeżeli mamy do czynienia z umową cywilnoprawną, no to wiadomo będzie to odpowiedzialność za niewykonanie bądź nienależyte wykonanie zobowiązania wynikającego z umowy, to już zależy od tego, co w tej umowie jest wpisane. Mogą być jakieś kary umowne, czy może to być po prostu odpowiedzialność kontraktowa za szkody wyrządzone z tytułu niewykonania umowy. Także tutaj to już trzeba odesłać do ewentualnej umowy. 

Natomiast jeśli chodzi o odpowiedzialność pracowniczą, czyli jeśli inspektor jest pracownikiem, to przede wszystkim mówimy tu o odpowiedzialności o naturze porządkowej. Z zastrzeżeniem, że te zadania, które nasz IOD ma wykonywać są opisane gdzieś w jakichś procedurach, instrukcjach, itd., stanowią jakby element całego procesu wykonywania pracy w firmie. I teraz nieprzestrzeganie tego może się wiązać z upomnieniem czy naganą.

Teoretycznie może być jeszcze tak, że działanie inspektora może spowodować jakąś szkodę o charakterze materialnym, więc teoretycznie, ale to raczej czysto teoretycznie, można sobie wyobrazić odpowiedzialność materialną. Tu już nie chcę wchodzić w szczegóły, bo to w zależności od tego czy mamy do czynienia z winą tego inspektora, winą umyślną, no to różnie się kształtuje wysokość tej odpowiedzialności, ale teoretycznie, czyli szkoda wyrządzona przez inspektora może spowodować, że on będzie musiał w jakimś przynajmniej zakresie tę szkodę pokryć. 

 

JG: Mimo wszystko to co powiedziałeś myślę, że brzmiało trochę uspokajająco dla IOD. Bardzo dziękuję za wysłuchanie tego odcinka, a Arwidowi i Łukaszowi za ciekawą rozmowę. 

AM, ŁŚ: Dziękujemy.

 

Więcej podcastów PwC znajdziesz na stronie pwc.pl/podcasty oraz w aplikacjach iTunes i Google Music.

 

 

Nasi eksperci:

Arwid Mednis, partner, lider zespołu ochrony danych osobowych i TMT/IP, radca prawny
Arwid Mednis

partner, lider zespołu ochrony danych osobowych i TMT/IP, radca prawny

Łukasz Ślęzak, menedżer w zespole cyberbezpieczeństwa
Łukasz Ślęzak

menedżer w zespole cyberbezpieczeństwa

Obserwuj nas