Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Niezależność i brak konfliktu interesów w pracy IOD

Odpowiednie ułożenie relacji na linii Administrator Danych – Inspektor Ochrony Danych, to fundament sprawnie funkcjonującego systemu ochrony danych osobowych. Zwłaszcza, że Ogólne rozporządzenie o ochronie danych (RODO) wprost wskazuje nam jaki status w ramach organizacji powinien mieć IOD.

Art. 38 ust. 3 RODO "Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego."
Art. 38 ust. 6 RODO "Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów."

Jak zatem w praktyce zbudować stanowisko niezależnego i nieuwikłanego w konflikty interesów Inspektora Ochrony Danych? Jak zadbać o dobre i zdrowe relacje IOD z Zespołem oraz Zarządem?

Zapraszam do lektury artykułu opartego na doświadczeniach moich oraz Zespołu Lex Artist w zakresie wykonywania funkcji Administratora Bezpieczeństwa Informacji, a następnie Inspektora Ochrony Danych.

Pozostałe artykuły z serii o IOD

Pamiętaj, że na naszym blogu znajdziesz również inne artykuły poświęcone funkcji IOD:

A to jeszcze nie wszystko! W naszych kolejnych tekstach zajmiemy się innymi ważnymi elementami związanymi z funkcją IOD, takimi jak:

  • wynagrodzenie IOD, czyli jak IOD rozlicza swoją pracę,
  • odpowiedzialność IOD, czyli za co IOD może odpowiadać,
  • jaką wiedzą i kwalifikacjami powinien dysponować IOD, aby dobrze wykonywać swoje obowiązki

Jak zbudować dobrą współpracę IOD – Administrator Danych?

Relacja IOD – Administrator Danych, powinna być relacją, w której obie strony wygrywają (win-win). Jeśli którakolwiek ze stron relacji wykorzysta celowo, bądź nieświadomie, niewiedzę drugiej strony, to współpraca okaże się porażką. Nawet jeśli jedna ze stron odniesie doraźne korzyści, to długofalowo nikt nie wygra.

Fundamentem dobrej i długiej współpracy jest precyzyjne wskazanie oczekiwań każdej ze stron relacji. Następnie konfrontacja tych oczekiwań z rzeczywistością prawną. Kolejnym etapem będzie znalezienie takiego modelu współpracy, który zadowoli obie strony. Na końcu obie strony będą musiały jeszcze porozumieć się w kwestiach finansowych.

Przykład praktyczny

Proces budowania fundamentów dobrej współpracy obrazuje poniższy przykład.

ObszarOczekiwania IODOczekiwania ADO
Jakie konkretnie zadania będzie wykonywał IOD?Wizja bycia IOD z zakresem obowiązków wskazanych w RODO.Wizja współpracy z IOD, który rozwiąże wszystkie tematy związane z ochroną danych osobowych, poprowadzi RCP, zaopiniuje każdą umowę powierzenia, etc.

IOD, jako Dyrektor HR ma również audytować swój dział.

Czy oczekiwania obu stron są zgodne z prawem?Nie – stanowisko sprawowane przez IOD w organizacji, będzie w konflikcie interesów ze sprawowaniem funkcji IOD.

Strony powinny pomyśleć nad wyborem innego pracownika, zatrudnieniem IOD zewnętrznego lub zmianą stanowiska Dyrektora HR.

Jak ostatecznie ma wyglądać zakres zadań IOD?Strony muszą wzajemnie porozumieć się co ostatecznego zakresu obowiązków IOD. Może być to rozwiązanie kompromisowe w wyniku którego IOD wykona dodatkowe zadania wskazane w RODO, ale tylko te, w których czuje się kompetentny.
Jakie wynagrodzenie IOD otrzyma za swoje pracę?Wynagrodzenie IOD powinno odpowiadać ostatecznemu zakresowi obowiązków. Powinno być adekwatne do nakładów czasu poświęcanych na współpracę oraz do odpowiedzialności, ponoszonej w związku ze współpracą.

Zakres wykonywanych zadań

Jeśli chodzi o pierwszy obszar, tj. zakres wykonywanych zadań, zapraszam do pierwszego artykułu z naszej serii.

Strony relacji powinny precyzyjnie ustalić zakres współpracy, ponieważ RODO w tym względzie jest dość elastyczne.

Jeśli obie strony porozumieją się skutecznie co do zakresu obowiązków, to pozostaje jeszcze drugi ważny obszar. Zakres obowiązków i oczekiwania obu stron, muszą być zgodne z postanowieniami RODO. Przede wszystkim współpraca powinna zostać skonstruowana tak, by IOD pozostawał niezależny. Nie można także dopuścić współpracy, która będzie powodowała konflikty interesów.

IOD wykonawcą poleceń czy partnerem dla Administratora Danych? (niezależność faktyczna)

W tym miejscu, niektórzy Administratorzy, mogą poczuć się rozczarowani. Pełnienie funkcji IOD nie może polegać na przygotowywaniu przez IOD rozwiązań (np. prawnych) na zamówienie ADO. Mogą zdarzać się sytuacje, że IOD będzie miał inne zdanie niż przedstawiciel Administratora. Może wydarzyć się sytuacja, w której IOD nie zarekomenduje np. procesu marketingowego, uznając go za naruszający prawa i wolności osób, których dane dotyczą.

W przypadku różnicy zdań, ADO nie będzie mógł IOD zwolnić, bądź ukarać.

Z drugiej strony, możemy sobie wyobrazić IOD, który pełniąc swoją funkcję, neguje każdy pomysł przedstawiany przez ADO. Nie przedstawia żadnych rozwiązań i przyjmuje skrajnie asekurancką pozycję w myśl zasady „jeśli zaneguję każde działanie, to za nic nie odpowiadam”.

Powyżej przedstawione skrajne stanowiska ADO oraz IOD doprowadzą do nieustającego konfliktu i niezadowolenia obu stron relacji. Takie podejście określam jako podejście konfrontacyjne.

Dlatego już na samym początku współpracy, obie strony powinny przygotować się na to, że w jej toku na pewno pojawią się sytuacje wymagające wyjaśnienia różnicy zdań. Najlepiej, jeśli w takich sytuacjach, zarówno ADO, jak i IOD będą działać w duchu współpracy partnerskiej.

Wypracowanie partnerskiego podejścia, zaowocuje dobrą i wieloletnią współpracą między stronami. Partnerskie podejście wymaga dużej wiedzy i dojrzałości obu stron, ale korzyści, które oferuje są tego warte.

Przykłady praktyczne – podejście partnerskie vs podejście konfrontacyjne

Poniżej kilka przykładów, obrazujących podejścia oparte na rywalizacji i partnerstwie.

ObszarPodejście partnerskiePodejście konfrontacyjne
Nowy proces marketingowyIOD jest włączony w proces budowania nowego procesu przetwarzania danych osobowych. Wspólnie z zespołem marketingowym szuka legalnych rozwiązań osiągnięcia celu, który chce osiągnąć ADO.ADO nie włącza IOD w pracę nad nowym procesem marketingowym. Już po jego opracowaniu IOD otrzymuje zadanie zapewnienia zgodności z RODO. IOD nie szuka rozwiązań ani modyfikacji procesu, wskazując jedynie na to, że w jego opinii jest on niezgodny z prawem.
Pojawia się nowy, wcześniej nieprzewidziany obowiązek dla IODADO wspólnie z IOD omawiają sposób i warunki, w których współpraca zostanie rozszerzona o nowy obszar.ADO oczekuje wykonywania nowych obowiązków, a IOD nie wykonuje ich, zasłaniając się przepisami RODO.
Mimo rekomendacji IOD, z uwagi na duże korzyści biznesowe, ADO decyduje się wprowadzić rozwiązanie związane z ryzykiem prawnym w obszarze RODOADO wysłuchuje opinii IOD i nie naciska na jej zmianę. IOD mimo nieuwzględnienia prezentowanego przez siebie stanowiska, akceptuje decyzję ADO, proponuje dodatkowe rozwiązania zmniejszające ryzyko prawne.ADO naciska na IOD, aby ten zmienił swoje stanowisko. IOD kategorycznie odmawia i nie próbuje szukać rozwiązań zmniejszających ryzyko prawne.

IOD czuje się zlekceważony, ADO ma poczucie, że IOD nienależycie wykonuje swoje obowiązki.

Miał miejsce incydent RODO. ADO oraz IOD mają inne stanowisko odnośnie do zgłoszenia incydentu do regulatoraADO zapoznaje się ze stanowiskiem IOD i bierze odpowiedzialność za brak zgłoszenia incydentu do UODO. IOD akceptuje powyższy fakt i odnotowuje stan faktyczny w rejestrze incydentów.ADO chce wpłynąć na IOD, aby ten wskazał, że incydent nie wymaga zgłoszenia do regulatora. Oczekuje, że IOD zmieni pierwotne stanowisko.

IOD nie przyjmuje do wiadomości argumentów ADO, które wskazują na małą skalę i ryzyka płynące z incydentu.

W toku audytu IOD stwierdza, że brak szkoleń skutecznie obniża poziom bezpieczeństwa danych osobowych. Rekomenduje szkolenia stacjonarne (6h) dla 800 osób w 16 lokalizacjach.ADO komunikuje IOD, że brakuje mu budżetu na szkolenia w zaproponowanej przez IOD formie. Strony wspólnie modyfikują program szkoleniowy. Szkolenia odbędą się częściowo w formie zdalnej (webinary), skrócony zostanie też czas ich trwania.IOD domaga się realizacji szkoleń tylko we wskazanej przez niego formie.

ADO kategorycznie odmawia realizacji szkoleń z uwagi na bardzo duży koszt dla organizacji. Strony nawet nie próbują znaleźć satysfakcjonującego je rozwiązania

Wnioski

Powyższe przypadki nie są teorią. Wszystkie wydarzyły się w podobnych okolicznościach w toku naszej działalności. W każdej z tych sytuacji, dążyliśmy do podejmowania działań w duchu partnerskiej współpracy.

Taka współpraca niesie korzyści przede wszystkim dla samego Administratora Danych. Niezależny IOD, to gwarancja tego, że niezgodne z RODO procesy, zostaną zidentyfikowane i zatrzymane. Takie procesy nie zatrzymane w porę, mogą stać się przyczyną poważnych strat wizerunkowych, kar regulatora czy pozwów cywilnych.

ADO, który ufa swojemu IOD, wie że nie będzie on blokował wszelkich działań, tylko z obawy przed wzięciem odpowiedzialności. Pamiętajmy o roli IOD w całym procesie decyzyjnym. Teoretycznie IOD, który nie zgodzi się na żaden nowatorski proces, unika odpowiedzialności za cokolwiek. W myśl napoleońskiej maksymy: „Tylko ten nie popełnia błędów, kto nic nie robi”. To ważne, aby IOD, tam gdzie to możliwe, wychodził z inicjatywą i ułatwiał współpracę.

ADO musi dopuszczać możliwość tego, że IOD nie wyrazi aprobaty na wszystkie jego projekty i propozycje. IOD w toku audytów może punktować niedoskonałości organizacji pod względem RODO. Jeśli jednak krytyka jest konstruktywna, a ADO ma zaufanie do IOD – to efektem ich relacji mogą być dobre i skuteczne rozwiązania. Na takiej współpracy wygrywa cała organizacja.

Niezależność formalna i faktyczna

Faktycznie

Niezależność IOD powinna być i faktyczna i formalna. Przykłady niezależności faktycznej IOD, znajdziesz w tabeli z poprzedniego akapitu. Najczęściej obie te niezależności (formalna i faktyczna), idą ze sobą w parze. Możemy sobie jednak wyobrazić sytuację, że IOD formalnie zależny, jest w praktyce niezależny. IOD o bardzo mocnym i silnych charakterze i wysokich umiejętnościach interpersonalnych, może teoretycznie wywalczyć sobie przestrzeń do samodzielnego działania i niezależności faktycznej. Jednak z perspektywy kontroli organu nadzorczego, niezależność formalna jest równie istotna, co niezależność faktyczna.

Częściej jednak zdarzają się niestety sytuację odwrotne. Mimo formalnej niezależności, w praktyce IOD wykonuje bezkrytycznie wszystkie polecenia ADO. Będzie tak w przypadku pracownika, który otrzyma wszelkie gwarancje prawne i pisemne. Jego stanowisko nie będzie figurowało na liście stanowisk, które nie powinny być łączone z funkcją IOD. Jednak w praktyce z uwagi na różne czynniki interpersonalne, będzie całkowicie zależny od kierownika swojego działu lub samego ADO.

Formalnie

Wróćmy jednak do niezależności formalnej. Na czym ona polega i w jaki sposób możemy ją zagwarantować naszemu IOD?

Przede wszystkim trzeba rozróżnić dwie, różne od siebie sytuacje. IOD zewnętrzny z samej swojej natury będzie bardziej niezależny i nieuwikłany w wewnętrzne układy. Współpracę z IOD zewnętrznym będzie regulowała umowa zawierana bezpośrednio z Zarządem. Jeśli umowa jest odpowiednio skonstruowana, to pod kątem niezależności formalnej, możemy czuć się bezpieczni.

Sytuacja jest trochę bardziej skomplikowana, jeśli chodzi o niezależność IOD wewnętrznego. Jeśli utworzymy całkowicie nowe stanowisko, które będzie podlegało jedynie Zarządowi, to sytuacja nie powinna budzić wątpliwości. W praktyce jednak, pełnoetatowy IOD, sprawdzi się w większych organizacjach. W bankach czy firmach ubezpieczeniowych IOD często potrzebuje nawet dodatkowego zespołu, aby skutecznie pełnić swoją funkcję. Jednak w organizacjach b2b, które nie pracują na tak dużą skalę na danych osobowych, zapewnienie IOD pracy na pełen etat, może być trudne.

Stąd bardzo powszechna praktyka wyznaczania IOD wśród pracowników wewnętrznych, którzy pełnią tę funkcję obok swoich dotychczasowych obowiązków.

W takich sytuacjach zapewnienie niezależności IOD, jest szczególnie dużym wyzwaniem.

Konflikt interesów – jakich stanowisk nie łączyć z funkcją IOD?

Okazuje się, że nie wszystkie stanowiska, mogą być łączone z funkcją IOD. Tak wskazuje sama Europejska Rada Ochrony Danych, Prezes UODO, a także inne europejskie organy nadzorcze.

Stanowisko Grupy Roboczej art. 29 (obecnie EROD)

W Wytycznych dotyczących inspektorów ochrony danych (DPO) wskazuje się, że za powodujące konflikt interesów uważane będą:

  • stanowiska kierownicze, takie jak: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT,
  • niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Ponadto, konflikt interesów może powstać, gdy zewnętrzny IOD zostanie poproszony o reprezentowanie Administratora Danych przed sądem w sprawie dotyczącej ochrony danych osobowych.

Stanowisko Prezesa UODO

Stanowisko wyrażone przez polski organ nadzorczy, jest właściwie powtórzeniem powyższego stanowiska EROD. Prezes UODO rekomenduje również opracowanie wewnętrznej polityki określającej stanowiska będące w konflikcie interesów oraz opracowanie generalnego dokumentu dotyczącego konfliktu interesów.

Zdaniem organu, Administrator Danych powinien wprowadzić odpowiednie zabezpieczenia do wewnętrznych zasad organizacji celem zapewnienia, by ogłoszenia o rekrutacji na stanowisko IOD były sformułowane w jasny, precyzyjny sposób i niwelowały ryzyko powstania konfliktu interesów.

Europejskie organy nadzorcze

W kwietniu 2020 roku, belgijski organ ochrony danych (DPA) ukarał Administratora Danych  za powołanie dyrektora ds. zgodności, audytu i ryzyka na Inspektora Ochrony Danych. Według DPA, ta kombinacja ról powoduje konflikt interesów, a zatem stanowi naruszenie art. 38 ust. 6 RODO. Kara wynosi 50 tys. EUR.

Organy nadzorcze dały nam więc jasny sygnał, kto nie powinien być IODem.

Kto w takim razie może pełnić funkcję wewnętrznego IOD?

EROD wykluczył dość pokaźne grono stanowisk wewnętrznych, umożliwiających pełnienie funkcji IOD. Spróbujmy więc stworzyć listę stanowisk, które mogą łączyć pełnione przez siebie funkcje z byciem IOD.

W mojej opinii, na konflikty interesów znacznie mniej narażone będą np. działy prawne oraz niższe stanowiska, pod warunkiem, że nie decydują o określeniu celów i sposób przetwarzania danych.

Problem w tym, że jeśli na przykład pracownik niższego szczebla Działu HR, audytuje swój dział pod kątem RODO, to w praktyce sprawdza swoich bezpośrednich przełożonych. Trudno w tym przypadku o niezależność faktyczną.

Można jednak znaleźć rozwiązanie. Konieczne będzie przede wszystkim bezpośrednie raportowanie i rozliczanie pracy IOD, przez Zarząd. Bardzo pomocne może okazać się również trójstronne spotkanie, na którym Zarząd wytłumaczy kierownikom HR, nową rolę ich podwładnego lub podwładnej.

Oczywiście takie rozwiązanie nie będzie idealne, jednak jeśli wykluczymy taką możliwość, to okaże się, że w praktyce nikt nie będzie w pełni niezależnym IOD wewnętrznym

Za co odpowiada IOD, za co odpowiada Administrator Danych?

Wcześniej już sygnalizowałem temat konfliktu na linii IOD – Administrator. Taki konflikt może się pojawić w sytuacji w której ADO nie stosuje się do zaleceń IOD. Na przykład nie składając zawiadomienia o incydencie do organu nadzorczego. Co w takiej sytuacji? Wielu IOD, niesłusznie według mnie, obawia się, że mogą zostać pociągnięci do odpowiedzialności w przypadku kontroli Prezesa UODO.

W praktyce w powyższej sytuacji, za brak zgłoszenia naruszenia odpowiada Administrator Danych, a nie IOD. IOD nie powinien więc mieć powodów do obaw, jeśli poinformował ADO o konieczności zgłoszenia incydentu. Pamiętajmy, że RODO wprost wskazuje, że IOD nie jest odwoływany ani karany przez Administratora za wypełnianie swoich zadań. Jeśli zatem ADO decyduje się podjąć ryzyko i wbrew zaleceniom IOD, nie zgłaszać incydentu – to będzie to tylko i wyłącznie ryzyko ADO.

Z drugiej strony możemy sobie wyobrazić sytuację odwrotną. IOD nie rekomenduje zgłoszenia poważnego incydentu do regulatora. W tym przypadku, ukarany może zostać ADO. Jednak jeśli błąd IOD był ewidentny, to ADO może starać się wyciągnąć konsekwencje również od swojego IOD.

kurs IOD

Osiągnij zgodność z RODO. Zostań Super IOD!

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź terminy:

Sprawdź

IOD wewnętrzny vs. IOD zewnętrzny

W przypadku IOD zewnętrznego, znacznie łatwiej zadbać o niezależność oraz uniknąć konfliktu interesów wewnątrz organizacji. Łatwiej o niezależność faktyczną i formalną.

Konflikt interesów w przypadku IOD zewnętrznego również jednak może się pojawić. Jeśli IOD zewnętrzny obsługuje pewną liczbę organizacji (w tym konkurujących ze sobą), to może dojść do konfliktu interesów.

Na przykład klient nr 1 IOD zewnętrznego, nawiązuje współpracę z klientem nr 2 IOD zewnętrznego. Do nawiązania współpracy potrzebna jest umowa powierzenia. W tym momencie dojdzie zatem do sytuacji, w której IOD zaopiniuje współpracę oraz umowy powierzenia dwóch własnych klientów.

W przypadku większych organizacji świadczących usługi outsourcingu IOD, ten problem jest istotny i zdarza się w praktyce. Nam udało się znaleźć rozwiązania. W takich przypadkach wyłączamy się od opiniowania umowy, przekazując temat do innej firmy zrzeszonej w Związku Firm Ochrony Danych Osobowych (www.zfodo.org.pl).

Jeśli nawiązujemy więc współpracę z IOD zewnętrznym, który obsługuje pewną liczbę organizacji – warto zadać pytanie o tym w jaki sposób radzi sobie z podobnymi sytuacjami.

Podsumowanie

Współpraca z IOD, powinna opierać się na partnerstwie. Bazującą na wzajemnym szacunku obu stron. Na doświadczeniu i kompetencjach IOD. Na umiejętnościach szukania rozwiązań i kompromisów. Tylko taka współpraca będzie korzystna dla organizacji w długoterminowej perspektywie.

Im więcej czasu poświęcisz na zbudowanie solidnych fundamentów współpracy, tym większa szansa, że zbudujesz trwałą i dobrze funkcjonującą relację.

 

Pobierz artykuł - niezależność IOD

Pobierz artykuł w PDF

Powiązane artykuły

RODO szachy
Wdrożenie RODO, czyli kto jest kim na RODO szachownicy?
Agencja Rekrutacyjna a RODO
Urząd Ochrony Danych Osobowych (UODO) i europejskie organy nadzoru
kary UODO
Trzy kary UODO i ich konsekwencje: RODO promocja się skończyła

2 Odpowiedzi

  1. KINGA

    w takim razie w działalności do 10 pracowników, kiedy tak naprawdę mamy jedną osobę z wykształceniem wyższym nie medycznym czy np kierownik przychodni lub ewentualnie księgowa mogli by pełnić funkcję IOD – dodam że mamy pracownika który jest menagerem ds IT .

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.