Administratorze pilnuj swojego IOD!

19 lutego 2019

Obowiązek wyznaczenia Inspektora ochrony danych dla jednych Administratorów stanowił ulgę, a dla innych spory kłopot. Jedni ucieszyli się, że komuś „zrzucą” obowiązki związane z RODO i zdejmą z siebie odpowiedzialność, a drudzy stresowali się tym, gdzie znaleźć profesjonalistę, który im dobrze doradzi i skąd wziąć pieniądze na jego pensję.

Jedno jest pewne – realizacja obowiązków przez IOD wywołała sporo dyskusji, a w niektórych przypadkach nawet komplikacji, a wszystko przez niewiedzę…

Po co jest IOD?

IOD to specjalista, który posiada kwalifikacje zawodowe - wiedzę fachową na temat prawa o ochronie danych osobowych i przepisów, na podstawie których działa Administrator oraz posiada umiejętności praktycznego wykorzystania wiedzy, tak aby doradzać Administratorowi jak ma realizować obowiązki przewidziane w RODO i monitorować przestrzegania przepisów i polityk Administratora. IOD ma być swego rodzaju pośrednikiem między Administratorem a Urzędem Ochrony Danych Osobowych oraz osobami, których dane są przetwarzane.

Czy to oznacza, że Administrator nie musi mieć wiedzy o RODO?

Nic bardziej błędnego. IOD nie jest po to, żeby wyręczać Administratora w jego obowiązkach. Administrator musi przede wszystkim wiedzieć z czego ma rozliczyć i czego wymagać od swojego IOD. W końcu mu za to płaci – bez względu na to czy z własnej kieszenią jako przedsiębiorca, czy z pieniędzy publicznych w przypadku podmiotów i jednostek budżetowych. A poza tym RODO nakłada obowiązki i odpowiedzialność na Administratora i to od niego może być wymagane rozliczenie się ze zgodnego z prawem przetwarzania i zabezpieczania danych osobowych. Dlatego każdy Administrator powinien mieć podstawową wiedzę o przepisach prawa z zakresu ochrony danych osobowych.

Jaką odpowiedzialność i za co ponosi IOD?

Przepisy nie zawierają informacji o jakiejkolwiek odpowiedzialności IOD za niewłaściwe, niepełne czy błędne doradzanie Administratorowi. Natomiast odpowiedzialność, w tym karna i finansowa, dla Administratora za nierealizowanie obowiązków, jakie nakładają na niego zapisy RODO i krajowej ustawy o ochronie danych osobowych została jasno określona w przepisach.

Jakie podejście mają dziś Administratorzy, którzy wyznaczyli IOD?

Na podstawie naszego doświadczenia określiliśmy kilka typów podejścia Administratorów do tematu RODO.

1.      Nie znam się, mam od tego IOD.

Administrator w zakresie RODO ma wiedzę tylko taką jaką przedstawi mu IOD. Nie wie jakie obowiązki sam powinien realizować. Często darzy dużym zaufaniem IOD, który nie zawsze jest profesjonalistą. Twierdzi, że płaci IOD i to IOD bierze odpowiedzialność za stosowanie zasad RODO.

Niebezpieczeństwo: IOD może wykorzystać niewiedzę Administratora, niewiele dla niego robiąc i ciesząc się niewymagającym wielkiego zaangażowania etatem. Administrator może być narażony na przykre konsekwencje za nierealizowanie swoich obowiązków.

2.      Nie mam możliwości finansowych, mam IOD jakiego dał mi urząd.

Taka postawa dotyczy najczęściej dyrektorów i kierowników podmiotów publicznych, ponieważ mają związane ręce i nie mają wielu możliwości wyegzekwowania odpowiednich środków na prawidłową organizację ochrony danych. Urząd Gminy lub Urząd Miasta zaproponował konkretną osobę na stanowisko IOD.

Niebezpieczeństwo: IOD, który pełni tę funkcję w wielu podmiotach nie jest w stanie należycie przyłożyć się do swoich obowiązków, zaniedbuje zwłaszcza mniejsze podmioty. Administrator nie zawsze jest świadomy własnej odpowiedzialności – Urząd jej nie weźmie na siebie.

3.      Wiem jak ważny to temat, ale nie znam osoby z okolic, która jest specjalistą i wsparłaby nas jako IOD.

Administrator wie, że powinien mieć profesjonalistę na stanowisku IOD, żeby go wspierał, ale z braku innej opcji funkcję tą powierzył jednemu z dotychczasowych pracowników, który dopiero powoli wdraża się w temat ochrony danych osobowych, ale ze względu na brak czasu nie jest w stanie zorganizować ochrony danych w 100%.

Niebezpieczeństwo: Niewiedza IOD może spowodować kłopoty wynikające z niewłaściwej interpretacji przepisów, a tym samym narazić Administratora na odpowiedzialność.

4.      Wiem, że to ważny temat, dlatego zatrudniliśmy na etat specjalistę.

Administrator poważnie traktuje swoje obowiązki i ma wsparcie wyspecjalizowanego IOD, który chętnie zdobywa nową wiedzę z zakresu praktyk ochrony danych osobowych. Jeżeli tylko współpraca między IOD i Administratorem będzie partnerska, to jest szansa na prawidłową organizację ochrony danych.

 

Czego należy wymagać od IOD?

 W pierwszej kolejności należałoby wymagać od powołanego IOD potwierdzenia jego kompetencji (referencji, zaświadczeń, certyfikatów). IOD powinien przedstawić Administratorowi plan działania np. na najbliższe 3 miesiące, w którym zawrze zakres działań do realizacji. Taki plan może być potwierdzeniem, że IOD wie czym ma się zająć, ale też pozwala na rozliczenie IOD z organizacji jego pracy. Sam fakt powołania IOD nie gwarantuje Administratorowi żadnego bezpieczeństwa.

Drogi Administratorze zadaj sobie pytanie: czy Twój Inspektor ochrony danych to profesjonalista czy słup?