Samorządy niechętnie powołują Inspektorów Danych Osobowych

Zbyt małe stawki dla Inspektorów Danych Osobowych, powierzanie im dodatkowych obowiązków będących w konflikcie z zadaniami IOD określonymi w RODO, fikcyjne stanowisko IOD w placówce — to tylko niektóre “grzechy” samorządów, które często traktują obowiązek powołania Inspektora Danych Osobowych jako czystą formalność, bez świadomości, jak istotna jest ta funkcja. Konsekwencje takich praktyk mogą być bardzo kosztowne. 

Samorządy niechętnie powołują Inspektorów Danych Osobowych

Dorota Kraskowska

5 czerwca 2020

Na kosztach związanych z zatrudnieniem IOD oszczędza wiele jednostek samorządowych: szkoły i przedszkola, biblioteki, miejskie ośrodki pomocy społecznej, gminne ośrodki kultury. Tego typu jednostki często nie zatrudniają inspektorów na etat, ale korzystają z zewnętrznych inspektorów, którzy świadczą usługi dla wielu podmiotów. Taki “wielozadaniowy” IOD, który świadczy usługi dla kilkunastu, a nawet kilkudziesięciu podmiotów, nie jest w stanie zagwarantować administratorowi wykonania wszystkich zadań na odpowiednim poziomie. Sytuacja jeszcze bardziej komplikuje się, jeśli w kilku obsługiwanych przez IOD podmiotach dojdzie do incydentów naruszenia danych osobowych albo zaistnieje konieczność przeprowadzenia szkoleń pracowników w tym samym czasie w różnych lokalizacjach.

IOD ma większe szanse na godziwe stawki w urzędach gminy, ale już biblioteki czy ośrodki pomocy społecznej z reguły nie mogą sobie pozwolić na etatowych Inspektorów Danych Osobowych. 

W przypadku wielu jednostek samorządowych o zatrudnieniu IOD nie decyduje fachowa wiedza, ale cena, jaką dany podmiot jest w stanie zapłacić za pełnienie tej funkcji. Takie podejście wiąże się z poważnym zagrożeniem bezpieczeństwa przetwarzanych przez jednostki danych osobowych. O tym, jak kosztowne są konsekwencje takich oszczędności wiele jednostek samorządowych przekona się dopiero w chwili, kiedy dojdzie do naruszeń związanych z przetwarzanymi danymi osobowymi. 

Niestety samorządom zdarza się także “zatrudnianie” fikcyjnych IOD. Inspektor istnieje tylko na papierze, a w rzeczywistości nikt w jednostce nie zajmuje się ochroną danych osobowych. Sytuacje kryzysowe są zarządzane w takiej sytuacji przez zdalnych fachowców, których jakość usług pozostawia wiele do życzenia.

CZYTAJ TEŻ RODO w przedszkolu

Zadania Inspektora Danych Osobowych

Zgodnie z  art. 37 ust. 1 RODO obowiązek ustanowienia IOD mają następujące podmioty:

  • Organy lub podmioty publiczne (z wyjątkiem sądów). RODO wskazuje także, że Inspektora Ochrony Danych powinny powoływać również podmioty prywatne, realizujące zadania publiczne, np. dostarczanie energii i wody. 

  • Administratorzy, których działalność opiera się na operacjach przetwarzania danych, które z uwagi na swój charakter, cele lub zakres wymagają monitorowania osób, których dotyczą. W tej kategorii znajdą się zarówno podmioty przetwarzające dane, jak i te, których działalność jest nierozerwalnie związana z ich przetwarzaniem.

  • Administratorzy, których działalność opiera się na operacjach przetwarzania danych osobowych szczególnych kategorii osób, a więc danych wrażliwych. Ta kategoria może odnosić się do danych dotyczących naruszeń prawa lub wyroków skazujących.

Do zadań Inspektora Danych Osobowych, określonych w  art. 38 ust. 4  oraz art. 39 ust. 1 RODO  należą m.in.: 

  • informowanie, a także doradzanie administratorowi, podmiotowi przetwarzającemu oraz pracownikom przetwarzającym dane osobowe na temat obowiązków spoczywających na nich na mocy rozporządzenia RODO oraz innych przepisów o ochronie danych,

  • monitorowanie przestrzegania niniejszego rozporządzenia RODO oraz innych przepisów o ochronie danych,

  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania oceny skutków,

  • współpraca z Prezesem Urzędu Ochrony Danych Osobowych,

  • pełnienie funkcji punktu kontaktowego dla Prezesa UODO w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz prowadzenie konsultacji we wszelkich innych sprawach,

  • pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia RODO.

Zgodnie z przepisami RODO, Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. IOD powinien posiadać nie tylko wiedzę na temat krajowych i europejskich przepisów o ochronie danych osobowych czy wiedzę z zakresu stosowanych praktyk w tej dziedzinie, ale również wiedzę na temat procesów biznesowych i branży, w jakiej działa administrator. Pomocna będzie również znajomość procedur administracyjnych oraz wiedza na temat systemów informatycznych i zabezpieczeń stosowanych przez administratora.

CZYTAJ TEŻ Jak prezes UODO nakłada administracyjne kary pieniężne?

Profesjonalny IOD = stały monitoring procesów związanych z przetwarzaniem danych osobowych

Samorządy nie zdają sobie sprawy, że odpowiedni fachowiec na stanowisku Inspektora Ochrony Danych może znacznie ograniczyć ryzyko wystąpienia wszelkiego rodzaju incydentów dotyczących naruszeń bezpieczeństwa danych osobowych, a w przypadku ich wystąpienia — profesjonalnie zarządzi sytuacją kryzysową i co istotne — cały czas będzie monitorować procesy związane z przetwarzaniem danych osobowych i pracować nad podnoszeniem świadomości pracowników w zakresie ochrony tych danych. 

To, co uświadomi samorządom konieczność zastosowania właściwego podejścia podczas zatrudniania IOD będzie z pewnością pierwszy spektakularny incydent związany z naruszeniem bezpieczeństwa danych osobowych w jednostce podległej samorządom. Na razie wymienione wyżej praktyki są stosowane przez samorządy powszechnie — głównie z przyczyn finansowych. Kiedy pierwszy samorząd zapłaci wysoką karę za wyciek danych osobowych? To tylko kwestia czasu, biorąc pod uwagę stosowane przez te jednostki systemy informatyczne, zabezpieczenia, świadomość pracowników oraz kreatywność oszustów wyłudzających dane osobowe. 

Czy można wyznaczyć zastępcę Inspektora Ochrony Danych Osobowych?Czy można wyznaczyć zastępcę Inspektora Ochrony Danych Osobowych? Katarzyna Grum

   

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!