Plan Pracy: Wyzwania dla Inspektora Ochrony Danych

Wróciliśmy do rzeczywistości. Okres świąteczny i urlopowy dobiegł końca. Początek nowego roku to moment, w którym organizacje skrupulatnie planują zadania na najbliższych dwanaście miesięcy. Planowanie zadań w obszarze ochrony danych osobowych nierozerwalnie związane jest z rozpoczęciem nowego roku w praktycznie każdej organizacji.

Jako dobrą praktykę z zakresu ochrony danych osobowych uznaje się przygotowanie i wdrożenia przez inspektorów ochrony danych (dalej: IOD) planu działań z uwzględnieniem działań o charakterze stałym oraz incydentalnym. Plan ten powinien być zatwierdzony przez administratora często w porozumieniu z działem prawnym i działem IT. Forma planu działań leży w gestii IOD. Osobiście plan pracy przygotowuję w formie elektronicznej uwzględniając każdy miesiąc roku. Plan ten udostępniany jest administratorowi oraz w razie potrzeby menedżerom działów w przypadku, kiedy działania IOD obejmują audyty, sprawdzenia, dedykowane szkolenia. Wcześniejsze poinformowanie osób zainteresowanych pozwala zaplanować prace biorąc pod uwagę zasoby ludzkie oraz czas jaki może zostać poświęcony IOD.

Zadania o charakterze stałym można podzielić na kilka grup:

  1. Na czele zgodnie z art. 39 RODO do zadań IOD należy monitorowanie przestrzegania prawa ochrony danych w organizacji. Często klienci zadają pytania co tak naprawdę kryje się pod pojęciem monitorowania? Czy monitorowanie oznacza, że IOD odpowiada za pełną zgodność organizacji z RODO? Odpowiadamy stanowcze nie. Musimy wyprowadzić klientów z błędnego myślenia. Monitorowanie nie oznacza odpowiedzialności za zgodność organizacji, w tym osobistej odpowiedzialności IOD w przypadkach naruszenia przepisów z zakresu ochrony danych osobowych. Monitorowanie oznacza w dużej mierze analizowanie i pomoc by procesy biznesowe klienta związane z przetwarzaniem danych osobowych były zgodne z zasadami wynikającymi z RODO oraz aktami towarzyszącymi. Immamentnie związanym z tym zadaniem jest działanie polegające na bieżącym monitoringu prawnym. IOD powinien śledzić wytyczne organów, stronę internetową UODO, strony branżowe w celu zaznajomienia się z nowymi czy też zaktualizowanymi trendami w obszarze ochrony danych osobowych – to bardzo ważne w celu maksymalnego zabezpieczenia interesów klienta.
  2. IOD zobowiązany jest do informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO. W przeważającej liczbie przypadków informowanie ww. kategorii podmiotów polega na przekazywaniu informacji o tematach związanych z ochroną danych osobowych czy to w formie alertów prawnych, biuletynów, newsletterów.
  3. Jako ważny aspekt działań IOD o charakterze stałym należy zakwalifikować przeprowadzanie cyklicznych audytów i sprawdzeń. Audyty mogą dotyczyć całej organizacji lub określonego działu względnie procesu związanego z przetwarzaniem danych osobowych. Sposób przeprowadzenia audytu leży w gestii IOD. IOD może bazować na ankietach, spotkaniach on – line, spotkaniach fizycznych.
  4. Do zadań stałych IOD może należeć również prowadzenie rejestru czynności przetwarzania/prowadzenie rejestru kategorii czynności przetwarzania lub wsparcie administratora w prowadzeniu tych rejestrów.
  5. Nieodzownym elementem pracy IOD jest pomoc w obsłudze żądań podmiotów danych. O ile niektóre organizacje nie zmagają się z lawiną żądań o tyle niektórzy klienci z procesem obsługi żądań zmagają się praktycznie codziennie.
  6. Kolejna grupa zadań o charakterze stałym to pomoc w obsłudze naruszeń ochrony danych osobowych. Temat ten wzbudza najwięcej emocji w przypadku realnego wystąpienia naruszenia ochrony danych. Oczywiście każda organizacja chciałaby by procedura obsługi naruszeń nigdy nie zafunkcjonowała w praktyce, ale jeśli już coś się wydarzy wtedy pomoc IOD jest nieoceniona. Pomoc ta dotyczy głównie analizy naruszenia, przygotowywania zawiadomienia do organu nadzorczego, przygotowanie zawiadomienia do podmiotów danych informującego o naruszeniu w przypadku ziszczenia się przesłanek określonych odpowiednio w art. 33 i 34 RODO, wpisie do rejestru naruszeń oraz przygotowanie zaleceń w celu zapobiegania przyszłym naruszeniom.
  7. IOD w planie zadań powinien uwzględnić pomoc w zawieraniu umów powierzenia przetwarzania danych osobowych zgodnie z wymogami stawianymi przez art. 28 RODO oraz nadzór nad weryfikacją podmiotów przetwarzających. Pomoc IOD w procesie zawierania umów jest tak naprawdę uzależniona od skali zawieranych umów. Oczywiście najmniej czasochłonna jest weryfikacja podmiotów przetwarzających na podstawie ankiet, ale zdarzają się przypadki, w których weryfikacja procesora polegająca na fizycznym/zdalnym audycie, który trwa od kilku do kilkunastu dni. Wtedy obciążenie IOD jest dość duże i warto uwzględnić takie audyty w planie pracy.
  8. Warto wspomnieć, że IOD w planie pracy powinien uwzględnić udział w procesie analizy ryzyka. IOD pełni w tym przypadku rolę osoby koordynującej i opiniującej całość, a nie przygotowującej analizę ryzyka. Zadanie to jest zarezerwowane dla administratora/właściciela biznesowego procesu związanego z przetwarzaniem danych osobowych. Nie ulega wątpliwości, że temat analizy ryzyka jest tematem ważnym, czasochłonny często bagatelizowany przez klientów z uwagi chociażby na brak narzędzi do ich przeprowadzenia.
  9. Plan pracy powinien uwzględniać pozycję IOD w przypadku zatrudniania osób oraz przeprowadzania szkoleń czy to w formie fizycznych spotkań czy też za pośrednictwem platformy e-learningowej. Warto zadbać o to by proces podnoszenia świadomości pracowników/współpracowników był procesem ciągłym i powtarzalnym. Klienci często żyją w przekonaniu, że raz odbyte szkolenie przez pracownika załatwia ten temat. Szkolenia powinny być periodycznie powtarzane.

Do zadań o charakterze incydentalnym możemy zaliczyć przede wszystkim pomoc i udział w kontroli ze strony organu nadzorczego. O ile zadania o charakterze stałym, wprost wynikających z przepisów RODO możemy zaplanować uwzględniając czasochłonność (bazując np. na wcześniejszych doświadczeniach) o tyle zadania wpadkowe i ich czasochłonność uzależniona jest od wielu czynników, często ciężkich do przewidzenia.

Autor

Katarzyna Stańczak

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego
w Warszawie. Ukończyła na tym samym uniwersytecie studia podyplomowe na kierunku Ochrona danych osobowych i informacji niejawnych. Od 2018 roku wykładowca na studiach podyplomowych
na kierunku Inspektor Ochrony Danych w Wyższej Szkole Bankowej w Toruniu oraz Bydgoszczy.
Doświadczenie w zakresu prawa ochrony danych osobowych nabyła w jednej z wiodących warszawskich kancelarii prawnych oraz w kilku firmach konsultingowych. Doradzała klientom m.in.
z branży produkcyjnej, budowlanej, medycznej oraz pożyczkowej. Wspierała wdrożenie RODO w organizacjach pozarządowych działających na terenie Warszawy. Autorka artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych.