Inspektor Ochrony Danych w jednostkach publicznych

Jednostki publiczne podlegają pod obowiązujące regulacje dotyczące ochrony danych…

Od maja 2018 roku we wszystkich krajach UE obowiązują nowe przepisy o ochronie danych osobowych. Nowe, bo ujednolicone przez RODO dla wszystkich krajów członkowskich. Skoro dla wszystkich to i dla Polski. RODO ma wspierać ochronę prywatności i bardzo dobrze. Istotną zmianą dla Polski w przepisach jest to, że RODO nakłada obowiązek wyznaczenia Inspektora Ochrony Danych w trzech kategoriach podmiotów. Już pierwsza z wymienionych w art. 37 ust. 1 RODO odnosi się do jednostek publicznych. Czytamy w niej, że Administrator i podmiot przetwarzający wyznaczają IOD, zawsze, gdy przetwarzania dokonują organ lub podmiot publiczny… Nie można zapominać, że samo RODO nie zawiera wskazówek ani rozwiązań, które mogłyby być przyjęte przez każdą z jednostek publicznych. Akt ten wymaga aktywności administratorów w realizacji nałożonych na nich obowiązków. Jednostka publiczna wyznaczająca Inspektora Ochrony Danych nie tylko spełni obowiązek prawny, ale i też zyska wsparcie na gruncie spełnienia wymagań prawnych.

Jednostki publiczne przetwarzają duże ilości danych osobowych…

Danymi osobowymi są informacje, dzięki którym można zidentyfikować danego człowieka. Przeważnie są to imię i nazwisko, PESEL, numer telefonu, NIP, adres e-mail czy inne cechy charakterystyczne dla konkretnej osoby. Jednostki publiczne to różne organizacje, które przetwarzają różne dane osobowe. Od tych zwykłych po te szczególnie chronione. Ilości tych danych są duże ze względu na fakt pełnienia funkcji publicznych polegających m.in. na wspieraniu społeczeństwa. Skoro dane osobowe znajdujące się w zasobach jednostek publicznych są duże to samo się nasuwa stwierdzenie, że powinny być właściwie chronione. Pierwszym krokiem do właściwej ochrony jest przeprowadzenie Wdrożenia RODO. Raport Najwyższej Izby Kontroli z maja 2020 roku przedstawia wyniki wdrożenia RODO w jednostkach publicznych i ocenia je pozytywnie. Skoro więc pierwszy krok został wykonany to na pewno należy wykonać kolejny. Tym kolejnym jest wyznaczenie Inspektora Ochrony Danych.

Dla zachowania zgodności z przepisami, każda jednostka publiczna powinna mieć IOD-a….

W wstępie tego artykułu już udowodniliśmy, że na podstawie przepisów prawa jednostki publiczne mają obowiązek prawny wyznaczenia IOD. Pamiętajmy, że wymóg wymogiem, ale dobry Inspektor Ochrony Danych wspiera każdą jednostkę publiczną w wypełnianiu obowiązków nałożonych na nią na gruncie ochrony danych osobowych. Dane osobowe są przetwarzane przez jednostki publiczne na podstawie różnorodnych konstrukcji prawnych. Specyfiką działalności jednostek publicznych jest również to, że część zadań realizują poprzez współdziałanie a ich kompetencje określone są w przepisach prawa. W związku z tym, warto mieć w zespole osobę, która rozróżni podstawy przetwarzania danych osobowych. Przetwarzanie danych osobowych przez jednostki publiczne wiąże się często z potrzebą rozstrzygnięcia, które dobra lub cele powinny stanowić priorytet działania. Tu może pomóc motyw 154 RODO, ale na pewno wesprze nas dobry Inspektor Ochrony Danych. Pamiętajmy, IOD w jednostce publicznej wspierać nas będzie w kilku kluczowych obszarach, taki jak, m.in.:

• Zgodność z RODO – zapewnienie przetwarzania danych zgodnie z wymaganiami RODO;
• Bezpieczeństwo danych – nadzór nad procesami przetwarzania danych osobowych oraz wskazania stosowania właściwych środków bezpieczeństwa;
• Komunikacja z organem nadzorczym – łącznik między jednostką publiczną a organem nadzorczym;
• Edukacja – edukacja pracowników jednostki publicznej w zakresie przetwarzania danych osobowych.

Wymagania na gruncie ochrony danych osobowych, a prawne zadania IOD….

Przed administratorami danych jednostek publicznych stoi szereg wyzwań na gruncie właściwego przestrzegania wymagań stawianych przez RODO. Zadania jakie musi wypełniać Inspektor Ochrony Danych zgodnie z tym aktem nie odzwierciedlają tych wyzwań. IOD zgodnie z art. 39 RODO wspiera organizację poprzez informowanie, monitorowanie, udzielanie zaleceń, współpracę z organem czy pełnieniem punktu kontaktowego. Dla tych, którzy już wiedzą jakie zadania ma do spełnienia administrator to mało. Wiedzieć to powinni wszyscy, którzy przeprowadzili proces wdrożenia RODO. Zgodnie ze wspomnianym już wyżej raportem NIK z kontroli jednostek publicznych, RODO jest w nich wszystkich wdrożone. Skoro wdrożone to wiedzą już, że potrzebują szerszego wsparcia od IOD-a. Pamiętajmy również, że jednostki publiczne nie działają same i w próżni. Często, w celu realizacji określonych zadań potrzebuje wsparcia z zewnątrz. Klasycznym przykładem jest outsourcing usług IT. W takim przypadku kluczową sprawą będzie dobór podmiotów przetwarzających oraz właściwe powierzenie przetwarzania danych osobowych. W tych procesach również może wesprzeć IOD, dlatego ważne jest, aby wybrać właściwą osobę na to stanowisko.

Prowadzenie dokumentacji dotyczącej ochrony danych osobowych spoczywa na administratorze…

Wskazaliśmy już wyżej, jakie zadania zgodnie z RODO stoją przed Inspektorem Ochrony Danych. Odnieśliśmy się też do tego, że administrator ma znacznie więcej wymagań. Przykładem może być konieczność opracowania, wdrożenia i prowadzenia właściwej dokumentacji. Inspektor Ochrony Danych powinien pomóc w opracowaniu i aktualizacji tej dokumentacji oraz w prowadzeniu innych działań związanych z ochroną danych, takich jak analizy ryzyka czy wprowadzanie procedur w celu minimalizacji ryzyka naruszenia przepisów o ochronie danych. Powinien pomóc, a nie opracować. Jednostki publiczne mogą skorzystać z usług Outsourcingu IOD. Wybór podmiotu zewnętrznego zagwarantuje nie tylko profesjonalne podejście do zadań IOD-a, ale również wsparcie administratorów danych w wypełnieniu ich zadań. Na rynku polskim istnieje taka praktyka, że profesjonalni Inspektorzy Ochrony Danych z firm zewnętrznych wykonujący swoje obowiązki w jednostkach publicznych wykonują wiele zadań spoczywających na administratorach. Takie podejście na pewno zwiększa sprawność działań administratora oraz zwiększa ochronę danych w danej jednostce publicznej.

Efektywna pomoc IOD jest w interesie jednostki publicznej…

Nie ma co ukrywać, zasadniczą rolą IOD-a w jednostce publicznej będzie doradzanie i weryfikacja prawidłowości stosowania wymagań RODO. Przy wyborze specjalisty, zwłaszcza z podmiotu zewnętrznego mającego doświadczenie w obsłudze jednostek publicznych, ta rola się zwiększy. Taka osoba pomoże np. w opracowaniu rejestru czynności przetwarzania danych osobowych, o którym mowa w art. 30 RODO. Z doświadczeń we współpracy z klientami wiem, że opracowanie tego rejestru stanowi dla wielu z nich duży problem. Podobną sytuację mamy przy analizie ryzyka. Ta też sprawia problem różnym jednostkom publicznym. Po co się męczyć, jak można znaleźć rozwiązanie na zewnątrz. Dobry IOD powinien podnosić swoją wiedzę. Zatrudniony na etacie, będzie generować dodatkowe koszty. Koszty pochodzące z pieniędzy publicznych. Zewnętrzny szkoli się w ramach organizacji, w której pracuje. Pamiętajmy, IOD w jednostce publicznej nie oznacza, że przenosi się na niego odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. To zawsze administrator danych będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych.

Należy dokonać dobrego wyboru

Wybór firmy zewnętrznej pozwoli w pewnym stopniu ograniczyć ryzyko niezgodności i potencjalnych kar nakładanych przez UODO. Wiele firm (nie wszystkie jednak) gwarantuje również w swoich umowach wzięcie odpowiedzialności na siebie za ewentualne kary administracyjne nałożone przez ten urząd. Oczywiście odpowiedzialność ta jest ograniczona np. do następstwa braku dochowania należytej staranności, ale zawsze. Wszystko o czym napisaliśmy powyżej jednoznacznie wskazuje, że w interesie kierownictwa każdej jednostki publicznej jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, Inspektora Ochrony Danych, który będzie mógł efektywnie realizować swoje obowiązki.