Lista lektur prawniczych Inspektora Ochrony Danych
Inspektor Ochrony Danych to bardzo „młody” zawód. Oczekiwania co do zakresu wiedzy i kompetencji IODa bywają diametralnie różne. W dzisiejszym wpisie przyjrzymy się wiedzy i umiejętnościom, które powinien posiadać IOD.
Co na temat kompetencji IODa mówi RODO?
Autorzy RODO użyli sformułowania o fachowej wiedzy na temat prawa. Wykształcenie prawnicze wydaje się być preferowane przez twórców RODO.
Prawo to jednak zdecydowanie nie wszystko!
Czy nie-prawnik może być dobrym IODem?
Zdecydowanie TAK! Warunkiem jest jednak to, że nasz Inspektor uzyska wsparcie prawników.
Od czasów Administratora Bezpieczeństwa Informacji, niewiele się zmieniło. Odwieczna dyskusja odnośnie tego czy ABI powinien być:
- Prawnikiem,
- Informatykiem,
- Specjalistą od ISO,
- Czy jeszcze kimś innym…
Trwa po dziś dzień. Ta dyskusja jest według mnie całkowicie jałowa. Obecnie modeli sprawowania funkcji IOD jest bardzo wiele.
Bo prawo to nie wszystko!
Poza wskazaną w RODO wiedzą prawniczą, IOD powinien także:
- Posiadać wiedzę informatyczną,
- Dysponować umiejętnościami miękkimi (w tym prowadzenia szkoleń),
- Być dobrym managerem i organizatorem,
- Dysponować szeroką wiedzą na temat branży, w której działa jego organizacja.
Idealny IOD jest więc wziętym prawnikiem, informatykiem, szkoleniowcem i jednocześnie dobrym managerem.
Czy ktoś z Państwa zna osoby o tak szerokiej wiedzy i kompetencjach? Ja nie znam. I sam nie czuje się komfortowo we wszystkich tych obszarach łącznie.
Co więc powinien zrobić wystarczająco dobry IOD?
Wystarczająco dobry IOD, jest w pełni świadom niemożliwości bycia ekspertem, we wszystkich obszarach, o których pisałem w poprzednim akapicie.
To niemożliwe!
Możliwe jest za to takie ułożenie sobie współpracy wewnątrz organizacji, aby obszary w których IOD czuje się mniej pewnie, powierzyć innym osobom.
Jeśli IOD nie jest prawnikiem – sugeruję powierzyć prace nad umowami powierzenia czy klauzulami zgód, działowi prawnemu.
Jeśli IOD nie jest informatykiem, niech za obszar bezpieczeństwa IT odpowiada odpowiednio kompetentny informatyk.
Jeśli IOD ma lęk przed wystąpieniami publicznymi i nie chce szkolić pracowników – niech powierzy to działanie zewnętrznym lub wewnętrznym trenerom.
Rozwiązań i sposobów poradzenia sobie z brakiem wiedzy i umiejętności w poszczególnych obszarach jest bardzo dużo.
Największym błędem jest próba bycia ekspertem w każdej sferze, na którą oddziałuje RODO.
Co IOD prawnik powinien przeczytać?
W dzisiejszym wpisie przygotowałem coś dla wszystkich IODów, specjalizujących się w obszarze prawniczym.
Poniższa tabela zawiera ważne akty prawne/rekomendacje/opinie/publikacje, które powinien znać każdy IOD – prawnik.
Wykaz podstawowych aktów prawnych / wytycznych / innych materiałów dla Inspektora Ochrony Danych:
Akty prawne
| Lp. | Nazwa | Liczba stron | Link |
|---|---|---|---|
| 1. | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) | 88 | LINK |
| 2. | Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) | 58 | LINK |
| 3. | Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tekst jedn. Dz.U. z 2019 r. poz. 123, 730, ze zm.) | 2 | LINK |
| 4. | Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (tekst jedn. Dz.U. z 2018 r. poz. 1954 ze zm.) | 10 | LINK |
| 5. | Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy (tekst jedn. Dz.U. z 2019 r. poz. 1040,1043) | 6 | LINK |
| 6. | Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej (tekst jedn. Dz.U. z 2018 r. poz. 2369) | 9 | LINK |
Wytyczne / poradniki Prezesa Urzędu Ochrony Danych Osobowych
| Lp. | Nazwa | Liczba stron | Link |
|---|---|---|---|
| 7. | Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony | 5 | LINK
|
| 8. | Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców – poradnik przygotowany przez Prezesa Urzędu Ochrony danych Osobowych | 44 | LINK |
| 9. | Jak rozumieć podejście oparte na ryzyku według RODO? – poradnik przygotowany przez Prezesa Urzędu Ochrony danych Osobowych (część I) | 21 | LINK |
| 10. | Jak stosować podejście oparte na ryzyku? – poradnik przygotowany przez Prezesa Urzędu Ochrony danych Osobowych (część II) | 42 | LINK |
| 11. | Wskazówki i wyjaśnienia Prezesa Urzędu Ochrony Danych Osobowych dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO | 16 | LINK |
| 12. | Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego | 28 | LINK |
Decyzje Prezesa Urzędu Ochrony Danych Osobowych
| Lp. | Nazwa | Liczba stron | Link |
|---|---|---|---|
| 13. | Decyzje Prezesa Urzędu Ochrony Danych Osobowych (opublikowane na stronie www.uodo.gov.pl, wg. stanu na 12.08.2019 r. publikowanych jest 113 decyzji) | … | LINK
|
Opinie i wytyczne Europejskiej Rady Ochrony Danych / Grupy Roboczej Art. 29
| Lp. | Nazwa | Liczba stron | Link |
|---|---|---|---|
| 14. | Wytyczne 1/2018 dotyczące certyfikacji i określania kryteriów certyfikacji zgodnie z artykułami 42 i 43 rozporządzenia 2016/679 | 18 | LINK
|
| 15. | Wytyczne 2/2018 w sprawie wyjątków określonych w art. 49 rozporządzenia 2016/679 | 18 | LINK |
| 16. | Wytyczne 3/2018 dotyczące terytorialnego zakresu stosowania RODO (język angielski) | 23 | LINK |
| 17. | WP 262 Wytyczne dotyczące art. 49 (język angielski) | 17 | LINK |
| 18. | WP 261 Wytyczne dotyczące akredytacji podmiotów certyfikujących (język angielski) | 12 | LINK |
| 19. | WP 260 Wytyczne dotyczące przejrzystości na podstawie rozporządzenia 2016/679 | 45 | LINK |
| 20. | WP 259 Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679 | 35 | LINK |
| 21. | WP 257 Dokument roboczy ustanawiający tabelę zawierającą elementy i zasady, które mają zostać uwzględnione w wiążących regułach korporacyjnych dla podmiotów przetwarzających (język angielski) | 22 | LINK |
| 22. | WP 256 Dokument roboczy ustanawiający tabelę zawierającą elementy i zasady, które mają zostać uwzględnione w wiążących regułach korporacyjnych (język angielski) | 20 | LINK |
| 23. | WP 254 Dokument dotyczący adekwatności (język angielski) | 9 | LINK |
| 24. | WP 253 Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 | 18 | LINK |
| 25. | WP 251 Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE | 44 | LINK |
| 26. | WP 250 Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzenia 2016/679 | 39 | LINK |
| 27. | WP 249 Opinia 2/2017 na temat przetwarzania danych w miejscu pracy | 28 | LINK |
| 28. | WP 248 Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 | 29 | LINK |
| 29. | WP 244 Wytyczne dotyczące ustalania wiodącego organu nadzorczego właściwego dla administratora lub podmioty przetwarzającego | 14 | LINK |
| 30. | WP 243 Wytyczne dotyczące inspektorów ochrony danych | 26 | LINK |
| 31. | WP 242 Wytyczne dotyczące prawa do przenoszenia danych | 24 | LINK |
| 32. | WP 169 Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” | 38 | LINK |
| 33. | WP 89 Opinia 4/2004 w sprawie przetwarzania danych osobowych przy nadzorze z użyciem kamer video | 33 | LINK |
Materiały pomocnicze
| Lp. | Nazwa | Liczba stron | Link |
|---|---|---|---|
| 34. | P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018 | 923 | –
|
| 35. | E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2017 | 1168 | – |
| 36. | M. Sakowska-Baryła (red), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz | 684 | – |
| 37. | P. Litwiński (red.), P. Barta / D. Dörre-Kolasa, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018 | 648 | – |
| PODSUMOWANIE |
|---|
| ŁĄCZNIE 4 264 + stron |
Wyliczona przez z nas powyżej, liczba stron jest mocno szacunkowa. Podobnie jak zaprezentowany wykaz „lektur”, który w konkretnym przypadku może być krótszy, ale też i dłuższy. Każdy Inspektor Ochrony Danych powinien bowiem zapoznać się także z przepisami sektorowymi dotyczącymi obszaru działalności podmiotu, który go wyznaczył na tę funkcję np. medycyna, oświata, samorząd terytorialny itp. Ostateczna ilość i obszerność materiałów z którymi będzie musiał zaznajomić się IOD zależeć będzie od branży, w której działa administrator i przedmiotu jego działalności, a także zakresu obowiązków IOD.
Ponadto wytycznych EROD czy UODO cały czas przybywa. Powyższe zestawienie rośnie z miesiąca na miesiąc.
Wnioski
Mam kilka wniosków, płynących z lektury powyższej tabeli:
- Jeśli jesteś początkującym prawnikiem i właśnie zostałeś człowiekiem od RODO w swojej organizacji, to potrzebujesz dużo czasu, aby rzetelnie zapoznać się z powyższą listą.
- Profesjonalne pełnienie funkcji IODa w dużej organizacji na doczepkę, obok 20 innych ważnych obszarów, jest niemożliwe.
- Bycie dobrym prawnikiem w obszarze RODO wymaga specjalizacji. Nie wyobrażam sobie naszych ekspertów zajmujących się równocześnie prawem nowych technologii czy zamówień publicznych.
Chcesz zostać super IOD? Zapraszamy na szkolenie!
Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu. Sprawdź terminy:
SprawdźA jak z ilością potrzebnej do przyswojenia wiedzy radzi sobie nasz ekspert?
Podsumowanie
Lista lektur obowiązkowych z samego obszaru prawnego jest pokaźna. I wciąż rośnie. Jako IODowie potrzebujemy czasu na zapoznanie się z ww. pozycjami. Potrzebujemy się nieustannie doskonalić i aktualizować naszą wiedzę.
Jeśli ktoś trywializuję naszą pracę do poziomu jednego Rozporządzenia (RODO), liczącego sobie zaledwie 99 artykułów – niech załączona tabela będzie krótką i celną ripostą.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 (jako IOD).
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.