Inspektor Ochrony Danych
Obowiązki IOD (art. 37, 38 i 39 oraz motyw 97 RODO)
Inspektor Ochrony Danych jest stanowiskiem nowym, wprowadzonym dopiero przez przepisy RODO, nie ma zatem jeszcze żadnych wskazań, jak wykonywać te obowiązki, które wypływałyby z wcześniejszych doświadczeń. RODO szeroko zakreśla obowiązki IOD, który powinien elastycznie dostosowywać swoje szczegółowe obowiązki i metodykę pracy do okoliczności konkretnego przypadku. W takiej sytuacji dobrze jest postarać się o odpowiednie wsparcie osób, które mają doświadczenia w rozstrzyganiu kwestii z zakresu ochrony danych osobowych oraz zapewnić sobie odpowiednie narzędzia umożliwiające sprawne zarządzanie bezpieczeństwem danych.
Obowiązki
Poniżej przedstawiamy podstawowe obowiązki IOD w ujęciu RODO oraz nasze sugestie, co do tego w jaki sposób, wypełnić zalecenia RODO.
Edukacja i komunikacja w organizacji (RODO na co dzień)
- Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie.
- Zdobywanie i aktualizowanie wiedzy z zakresu ochrony danych osobowych,
- Zapewnienie, że pracownicy administratora/procesora będą wiedzieli, do kogo zwrócić się po informację na temat ochrony danych osobowych,
- Organizowanie kampanii informacyjnych, rozsyłanie pracownikom alertów, informacji na temat ochrony danych osobowych,
- Zapewnienie uczestnictwa w podejmowaniu decyzji dot. danych osobowych co do wszystkich decyzji podejmowanych w zakresie działalności administratora lub procesowa związanych z przetwarzaniem danych osobowych.
- Zdobywanie i aktualizowanie wiedzy z zakresu ochrony danych osobowych,
- Zapewnienie, że pracownicy administratora/procesora będą wiedzieli, do kogo zwrócić się po informację na temat ochrony danych osobowych,
- Organizowanie kampanii informacyjnych, rozsyłanie pracownikom alertów, informacji na temat ochrony danych osobowych,
- Zapewnienie uczestnictwa w podejmowaniu decyzji dot. danych osobowych co do wszystkich decyzji podejmowanych w zakresie działalności administratora lub procesowa związanych z przetwarzaniem danych osobowych.
Monitorowanie zgodności i audyty (art. 39 ust. 1 lit. b RODO)
- Monitorowanie zgodności z RODO, innymi przepisami UE lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych (art. 39.ust.1b RODO).
- Bieżące monitorowanie rejestru czynności przetwarzania, odnotowywania w nim wszystkich zmian, stanu aktualnego; - Nawiązanie współpracy z osobami w każdym dziale czy nowym projekcie;
- Zapoznanie się z pracą działów w zakładzie administratora/procesora, tak by można było wychwycić braki, luki, czynności nie zauważane na co dzień przez pracowników;
- Uczulanie pracowników, przełożonych itp., że IOD powinien uczestniczyć w fazie projektowania każdej kolejnej, nowej czynności danego działu; - Zaplanowanie audytów zgodności przetwarzania danych (zarówno zapowiedzianych, jak i niezapowiedzianych) z przepisami dotyczącymi ochrony danych, także wewnętrznymi i terminowe ich przeprowadzanie;
- Przygotowanie tzw. checklisty audytowej;
- Codzienne zwracanie uwagi na przestrzeganie danych osobowych, także w obszarach oczywistych np. sprawdzanie czy prawidłowo ewidencjonuje się wydawanie kluczy, czy zgłaszani są goście itp.;
- Rejestrowanie naruszeń, nawet drobnych;
- Wymaganie od służb informatycznych przeprowadzania odrębnych, okresowych audytów;
- Wymaganie rzetelnego prowadzenia wszystkich ewidencji (pomieszczeń, sprzętu, wydawania kluczy, upoważnień itp.);
- Okresowa inwentaryzacja podmiotów przetwarzających pod kątem stosowanie przez nie odpowiednich zabezpieczeń;
- Analizowanie, doradzanie i rekomendowanie określonych działań administratorowi albo podmiotowi przetwarzającemu;
- Powiadamianie pracowników o stwierdzonych naruszeniach w celu szerzenia świadomości ochrony danych osobowych i ryzyka związanego z naruszeniami ochrony danych;
- Organizowanie okresowych szkoleń z uwzględnieniem najczęściej popełnianych błędów, najczęściej zadawanych pytań.
- Bieżące monitorowanie rejestru czynności przetwarzania, odnotowywania w nim wszystkich zmian, stanu aktualnego; - Nawiązanie współpracy z osobami w każdym dziale czy nowym projekcie;
- Zapoznanie się z pracą działów w zakładzie administratora/procesora, tak by można było wychwycić braki, luki, czynności nie zauważane na co dzień przez pracowników;
- Uczulanie pracowników, przełożonych itp., że IOD powinien uczestniczyć w fazie projektowania każdej kolejnej, nowej czynności danego działu; - Zaplanowanie audytów zgodności przetwarzania danych (zarówno zapowiedzianych, jak i niezapowiedzianych) z przepisami dotyczącymi ochrony danych, także wewnętrznymi i terminowe ich przeprowadzanie;
- Przygotowanie tzw. checklisty audytowej;
- Codzienne zwracanie uwagi na przestrzeganie danych osobowych, także w obszarach oczywistych np. sprawdzanie czy prawidłowo ewidencjonuje się wydawanie kluczy, czy zgłaszani są goście itp.;
- Rejestrowanie naruszeń, nawet drobnych;
- Wymaganie od służb informatycznych przeprowadzania odrębnych, okresowych audytów;
- Wymaganie rzetelnego prowadzenia wszystkich ewidencji (pomieszczeń, sprzętu, wydawania kluczy, upoważnień itp.);
- Okresowa inwentaryzacja podmiotów przetwarzających pod kątem stosowanie przez nie odpowiednich zabezpieczeń;
- Analizowanie, doradzanie i rekomendowanie określonych działań administratorowi albo podmiotowi przetwarzającemu;
- Powiadamianie pracowników o stwierdzonych naruszeniach w celu szerzenia świadomości ochrony danych osobowych i ryzyka związanego z naruszeniami ochrony danych;
- Organizowanie okresowych szkoleń z uwzględnieniem najczęściej popełnianych błędów, najczęściej zadawanych pytań.
Analiza ryzyka i ustalanie priorytetów działań IOD (art. 39 ust. 2 RODO)
- Podejście oparte na analizie ryzyka związanego z operacjami przetwarzania (art. 39 ust. 2 RODO) wymaga od IOD:
> wykonywania jego zadań z należytym uwzględnieniem ryzyka, mając na uwadze charakter, kontekst i cele przetwarzania, co wymaga ustalenia priorytetów w pracy IOD i koncentrowania się na aspektach pociągających za sobą większe ryzyko w zakresie ochrony danych;
- Takie podejście powinno ułatwić IOD doradzenie administratorowi/procesorowi:
> jaką metodologię należy zastosować przy ocenie skutków dla ochrony danych,
> które obszary powinny zostać poddane wewnętrznemu lub zewnętrznemu audytowi,
> jakie szkolenia przeprowadzić dla pracowników przetwarzających dane, na które operacje przetwarzania przeznaczyć więcej zasobów i czasu.
> wykonywania jego zadań z należytym uwzględnieniem ryzyka, mając na uwadze charakter, kontekst i cele przetwarzania, co wymaga ustalenia priorytetów w pracy IOD i koncentrowania się na aspektach pociągających za sobą większe ryzyko w zakresie ochrony danych;
- Takie podejście powinno ułatwić IOD doradzenie administratorowi/procesorowi:
> jaką metodologię należy zastosować przy ocenie skutków dla ochrony danych,
> które obszary powinny zostać poddane wewnętrznemu lub zewnętrznemu audytowi,
> jakie szkolenia przeprowadzić dla pracowników przetwarzających dane, na które operacje przetwarzania przeznaczyć więcej zasobów i czasu.
Ocena skutków dla ochrony danych (DPIA) – rola IOD
Rola IOD w ocenie skutków dla ochrony danych:
administrator w fazie projektowania ma obowiązek konsultowania się z IOD przy dokonywaniu oceny skutków dla ochrony danych (należy alarmować administratora za każdym razem, gdy taka konsultacja się nie odbyła tj. gdy wprowadzono nowy proces przetwarzania bez konsultacji);
obowiązek IOD udzielania na żądanie zaleceń w zakresie oceny skutków dla ochrony danych. Zaleca się IOD konsultowanie następujących kwestii:
czy należy przeprowadzić ocenę skutków dla ochrony danych (gdy ryzyko naruszenia jest wysokie),
metodologii przeprowadzenia takiej oceny,
czy przeprowadzić ocenę skutków wewnętrznie, czy zlecić ją na zewnątrz,
zabezpieczeń,
prawidłowości oceny;
Jeśli administrator nie zgadza się z zaleceniami IOD powinno to być pisemnie uzasadnione.
Współpraca z organem nadzorczym i dokumentowanie działań
- Współpraca z organem nadzoru, pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych:
- Ustalenie ram do współpracy z organem nadzoru; jeśli IOD pracuje z zespołem:
- wyznaczenie odpowiednich ról, ustalenie terminów odpowiedzi,
- Dbanie o odpowiednie rejestrowanie wszystkich działań podejmowanych w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych osobowych;
- Odpowiednie wyeksponowanie wprowadzonych procedur i zasad;
- Rejestrowanie dat i zakresów szkoleń z zakresu ochrony danych osobowych (również wewnętrznych) oraz osób, które w nich uczestniczyły;
- Rejestrowanie wszelkich wniosków/próśb/żądań osób, których dane są przetwarzane i odnotowywanie, w jaki sposób zostały załatwione.
- Ustalenie ram do współpracy z organem nadzoru; jeśli IOD pracuje z zespołem:
- wyznaczenie odpowiednich ról, ustalenie terminów odpowiedzi,
- Dbanie o odpowiednie rejestrowanie wszystkich działań podejmowanych w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych osobowych;
- Odpowiednie wyeksponowanie wprowadzonych procedur i zasad;
- Rejestrowanie dat i zakresów szkoleń z zakresu ochrony danych osobowych (również wewnętrznych) oraz osób, które w nich uczestniczyły;
- Rejestrowanie wszelkich wniosków/próśb/żądań osób, których dane są przetwarzane i odnotowywanie, w jaki sposób zostały załatwione.
Kontakt z osobami, których dane dotyczą – obsługa praw i wniosków
- Pełnienie funkcji punktu kontaktowego dla osób, których dane są przetwarzane, w celu realizacji ich uprawnień:
- IOD niekoniecznie musi być odpowiedzialny za załatwianie spraw zgłaszanych przez osoby, których dane dotyczą, niemniej jednak to on często wskazywany jest jako osoba kontaktowa i pełnić powinien co najmniej rolę koordynatora postępowania w tych sprawach,
- należy stworzyć odpowiednie procedury w celu realizowania obowiązków oraz zapoznać wszystkich pracowników z ich obowiązkami wynikającymi z w/w procedury, zwłaszcza terminami działania.
- IOD niekoniecznie musi być odpowiedzialny za załatwianie spraw zgłaszanych przez osoby, których dane dotyczą, niemniej jednak to on często wskazywany jest jako osoba kontaktowa i pełnić powinien co najmniej rolę koordynatora postępowania w tych sprawach,
- należy stworzyć odpowiednie procedury w celu realizowania obowiązków oraz zapoznać wszystkich pracowników z ich obowiązkami wynikającymi z w/w procedury, zwłaszcza terminami działania.