Co ADO powinien zapewnić IODowi? (cz. I)

Współpraca na linii Administrator Danych – Inspektor Ochrony Danych to dwustronna relacja. Do tej pory koncentrowaliśmy się przede wszystkim na tym, jakie obowiązki w tej relacji ma IOD.

Jednak Prezes UODO może skontrolować Twoją organizację również z innej perspektywy. Przedmiotem kontroli może być postępowanie ADO względem IOD. Dlatego ten i następny artykuł na naszym blogu w całości poświęcimy obowiązkom, jakie ADO ma względem IOD.

Działania Prezesa UODO

Sytuacje kontrolowania relacji ADO – IOD zdarzają się coraz częściej. Poniżej dwa szczególnie głośne w ostatnich latach przykłady.

W roku 2020 r. Prezes UODO nałożył karę 50 tys. zł na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, m.in.  za niewywiązywanie się przez Administratora Danych ze swoich obowiązków względem IOD. Inspektor nie otrzymywał informacji w zakresie przyjmowanych przez ADO rozwiązań technicznych w ramach funkcjonowania systemu rekrutacyjnego i jego późniejszych modyfikacji. Nieodpowiednie zabezpieczenie danych osobowych kandydatów spowodowało poważny wyciek danych osobowych.

Inny przykład kontroli relacji ADO – IOD, to działanie UODO z marca br., polegające na wysyłce 27 pytań do ADO. Zasadnicza część pytań koncentruje się wokół sprawdzenia, czy ADO zapewnia IOD odpowiednie środki, aby ten mógł wykonywać swoją pracę.

Obowiązki ADO względem IOD

Podstawowym obowiązkiem ADO względem IOD, jest zapewnienie, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Twoja organizacja powinna zapewnić m.in., aby:

  • IOD był zapraszany do regularnego udziału w spotkaniach kadry kierowniczej oraz uczestniczył w podejmowaniu decyzji mających wpływ na ochronę danych,
  • wszystkie niezbędne informacje zostały udostępnione IOD odpowiednio wcześniej, umożliwiając mu zajęcie stanowiska,
  • opinia IOD była należycie uwzględniana,
  • w przypadku stwierdzenia naruszenia ochrony danych lub innego incydentu, następowała niezwłoczna konsultacja z IOD.

Przykład praktyczny:

Jeszcze przed wejściem w życie RODO, kiedy świadczyliśmy usługę outsourcingu funkcji Administratora Bezpieczeństwa Informacji, zdarzyła się nam niecodzienna sytuacja. Jeden z naszych klientów uruchomił sklep internetowy z rozbudowanym newsletterem. O uruchomieniu sklepu dowiedzieliśmy się kilka miesięcy po jego otwarciu, przeglądając stronę internetową ADO.

Wbrew pozorom sytuacje nieinformowania i niewdrażania IOD w ważne procesy związane z przetwarzaniem danych osobowych, mają miejsce dość często. ADO wciąż uczą się odpowiedniej współpracy z IOD. Taka nauka może być jednak kosztowna. Poza karami UODO, trzeba się liczyć z ewentualnymi przeróbkami i zmianami już funkcjonującego procesu. Dlatego należyte włączanie IOD powinno być obecnie standardem, o którego przestrzeganie powinien zadbać również sam ADO.


wsparcie RODO

Profesjonalne wsparcie

Jeśli chcesz skorzystać z naszego wsparcia przy audytowaniu, wdrażaniu i utrzymywaniu systemu ochrony danych osobowych w Twojej firmie – skorzystaj z naszej pomocy.

Zobacz, w jaki sposób możemy Ci pomóc:

Sprawdź

Wspieranie IOD

RODO mówi też o „wspieraniu Inspektora Ochrony Danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej”.

W tym zakresie administrator danych powinien zapewnić na rzecz IOD wsparcie.

Wsparcie ze strony kadry kierowniczej

Administrator powinien zapewnić aktywne wsparcie ze strony kadry kierowniczej przy pełnieniu powierzonej mu funkcji (np. na poziomie Zarządu).

Przykład praktyczny:

Zarząd ADO powinien znaleźć czas na regularne spotkania z IOD. Naszą praktyką biznesową są kwartalne statusy, na których prezentujemy wszystkie kluczowe uchybienia i braki. Prezentujemy również plan działań na kolejny kwartał. Dzięki tym spotkaniom ADO wie czym dokładnie zajmuje się IOD. Może również skontrolować jego pracę. IOD z kolei może poprosić o dodatkowe zasoby czy zaraportować konkretnie braki. W niektórych przypadkach Zarząd deleguje innych pracowników do prowadzenia spotkań z IOD i przyjmowania regularnych raportów. W naszej ocenie taka sytuacja jest również dozwolona. Warto jednak zadbać o odpowiednie umocowanie osoby przyjmującej raporty IOD. Takie umocowanie może przybrać na przykład formę uchwały Zarządu.

Zapewnienie czasu na realizację zadań

Administrator powinien zapewnić czas wystarczający do tego, by IOD mógł się wywiązać z przydzielonych mu obowiązków.

Przykład praktyczny:

W przypadku IOD wewnętrznego, częstą trudnością może być duża ilość innych obowiązków IOD. Jeśli te obowiązki kolidują z możliwością wykonywania funkcji IOD, to ADO powinien odpowiednio zareagować. Podobne sytuacje mogą mieć również miejsce w przypadku IOD zewnętrznego. W takiej sytuacji ADO musi liczyć się z tym, że większa ilość działań IOD, będzie skutkowała wyższą ceną usługi.

Dostęp do zasobów

Administrator, w stosownych przypadkach powinien zapewnić wsparcie w postaci zasobów finansowych, infrastruktury (pomieszczenia, urządzenia, wyposażenie) oraz pracowników.

Przykład praktyczny:

Przeprowadzenie szkoleń stacjonarnych dla Zespołu będzie wymagało zorganizowania sali szkoleniowej, projektora, a także wygospodarowania czasu Zespołu na uczestnictwo w szkoleniu. To ADO musi zadbać o wszystkie powyższe elementy, żeby IOD mógł wykonać szkolenie.

Poinformowanie o powołaniu IOD

Administrator powinien oficjalnie powiadomić wszystkich pracowników o wyznaczeniu IOD w celu zapewnienia, aby wszyscy w organizacji wiedzieli o jego istnieniu i pełnionej przez niego funkcji.

Przykład praktyczny:

IOD sam nie wdroży się w strukturę organizacyjną ADO. Potrzebna jest informacja z góry o tym, że w organizacji działa IOD. Potrzebne będzie specjalne spotkanie, wysłanie maili do całego Zespołu, dodanie kontaktu w intranecie lub uruchomienie innego kanału, który skutecznie zakomunikuje wszystkim o tym, że w organizacji działa IOD.

Dostęp do informacji z innych działów

Administrator powinien zagwarantować niezbędny dostęp do innych działów, np. kadr, prawnego, informatycznego i ochrony, itd., aby IOD mógł otrzymywać niezbędne wsparcie i informacje.

Przykład praktyczny:

Jeśli IOD realizuje audyt, to powinien otrzymać wszystkie potrzebne informacje od pracowników. To będzie wymagało ich zaangażowania czasowego i odpowiedniego zakomunikowania z góry.

Doskonalenie zawodowe

Administrator powinien umożliwić doskonalenie zawodowe (poszerzanie wiedzy na temat postępów poczynionych w dziedzinie ochrony danych, udział w kursach i innych formach doskonalenia zawodowego, takich jak udział w forach, konferencjach, warsztatach, itp.).

Przykład praktyczny:

Kurs IOD wystarczy na początek. Jednak później IOD musi dalej rozwijać swoją wiedzę. Potrzebne są kolejne szkolenia, udział w forach, konferencjach, warsztatach, wymiana informacji z innymi IOD, etc. Mimo, że przepisy Rozporządzenia pozostają bez zmian, to praca IODa zmienia się bardzo szybko i dynamicznie. ADO musi to uwzględnić jako dodatkowy koszt funkcjonowania IOD wewnętrznego. W przypadku IOD zewnętrznego, koszt doskonalenia się będzie wkalkulowany w cenę usługi.
kurs IOD

Apropos szkoleń dla IOD…

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź termin

Zespół IOD

Administrator, w zależności od rozmiaru i struktury organizacji, powinien zapewnić powołanie Zespołu IOD (IOD, Zastępcy IOD oraz innych jego współpracowników).

Przykład praktyczny:

W większych organizacjach IOD może potrzebować wsparcia. Na przykład w sytuacji dużej ilości incydentów lub zgłoszeń o realizację praw, IOD może potrzebować konkretnego wsparcia przy wypełnianiu swoich obowiązków.

Dopełnienie obowiązków notyfikacyjnych

Administrator powinien dopełnić obowiązków notyfikacyjnych wynikających z Ustawy o ochronie danych osobowych.

Wyznaczając IOD, administrator powinien pamiętać, żeby poinformować o tym fakcie nie tylko swoich pracowników, ale również Prezesa UODO oraz osoby, których dane dotyczą.

Zgodnie z art. 10 ust. 1 Ustawy o ochronie danych osobowych, ADO ma 14 dni na zawiadomienie organu nadzorczego o wyznaczeniu IOD. Ponadto, zgodnie z art. 11 tej ustawy, dane kontaktowe IOD powinny zostać opublikowane na stronie internetowej ADO, a jeśli jej nie prowadzi, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Podsumowanie

Wskazaliśmy Ci na praktycznych przykładach, na czym w rzeczywistości polega wsparcie IOD w wykonywaniu jego funkcji. Część drugą, która ukarze się za dwa tygodnie, poświęcimy działaniom Administratora Danych, które nie powinny mieć miejsca w stosunku do osoby pełniącej  funkcję Inspektora. Dokonamy również podsumowania relacji ADO-IOD.

 

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

rodo faq
Jakie kluczowe obszary sprawdza UODO w czasie kontroli?
rodo faq
Zgodność z RODO – jak efektywnie raportować ją Zarządom?
Zasady pracy zdalnej a RODO – poradnik

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO