niedziela, 24 lipca 2022

IOD w świetle pytań PUODO

Zawsze jak szkolę z ochrony danych osobowych to pytam "kto odpowiada za ochronę danych osobowych?". Zwykle pada odpowiedź: "IOD".

Oczywiście jedną z osób, która odpowiada za system ochrony danych osobowych jest Inspektor Ochrony Danych w skrócie IOD.

Jednym z mitów dotyczących IOD jest to, że odpowiada on za wszystko. Za wszystko to odpowiada Administrator. IOD odpowiada za doradztwo, nadzór i swoje obowiązki m.in. jako punkt kontaktowy.

Drugi mit, to że IOD albo jest hamulcowym który nie rozumie biznesu i się czepia bez sensu (bo pilnuje, żeby administrator wypełniał swe obowiązki) albo że ma podpisywać i nie marudzić, przecież wszystko jest okey (notabene w każdej organizacji, zwłaszcza większej nie wszystko jest okey). Dlatego można IOD płacić grosze i wystarczy jak się pojawi raz, dwa razy w tygodniu papiery podpisać. 

Od dawna piszę, o tych i innych mitach związanycg z funkcją IOD. Nadal iwielu administratorów źle rozumie jego rolę lub jej nie docenia. Z wielu artykułów polecam post: "IOD - mistrz Jedi, rycerz Jedi czy padawan?".

Niedawno PUODO opublikowało pytania weryfikujące funkcjonowanie IOD'ów u Administratorów i w podmiotach przetwarzających. Co wynika z tych pytań o wizji PUODO na temat IOD'ów?

Nie będę się wymądrzał jak odpowiadać itp. Zapraszam za to do mojej analizy pół żartem pół serio (choć tematyka poważna) pytań.

1) Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
Pytanie kontrolne. Jak jest, to można sprawdzać dalej. Jak nie ma to, koniec kontroli, chyba że ma być.

2) Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
Pytanie kontrolne. Czy IOD jest, jeżeli być powinien.

3) Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub - jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
To jest ciekawa kwestia. RODO nie nakazuje publikowania imienia, nazwiska czy telefonu IOD, natomiast ustawa nakazuje opublikować imię i nazwisko IOD oraz kontakt do niego. Ktoś mi wytłumaczy po co ustawodawca krajowy każe publikować imię i nazwisko IOD'a? Według mnie to nadmiarowe przetwarzanie.
No ale PUODO stosuje zasadę dura lex sed lex.

4) Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
Pytanie kontrolne. Sprawdzenie stosowania przepisów. 

5) Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
Pytanie kontrolne.

6) Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
To pozwala ocenić, czy IOD ma czas dla organizacji czy bywa raz w tygodniu na godzinę i równie dobrze mogłoby go nie być 

7) Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
To jest ciekawe pytanie. I bardzo dobre :-)))) Trzeba udowodnić, że powołało się eksperta a nie znajomego królika, ochotnika z łapanki lub najtańszego oferenta. To jasno pokazuje, że wybierając IOD trzeba się kierować jego kompetencjami i wiedzą, a nie ceną. A jakość kosztuje.

8) Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
Według mnie jedno z najważniejszych pytań. Jeżeli IOD nie ma zasobów, to nie może skutecznie działać. I mówiąc o zasobach nie chodzi tylko o kasę ale i ludzi oraz narzędzia. 

9) W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
Drugie mega ważne pytanie. Ja w czasie audytu proszę o plan szkoleń IOD. Potem sprawdzam dostęp do publikacji itp. Szybko wychodzi szydło z worka czy IOD utrzymuje wiedzę fachową czy też jego wiedza się deaktulizuje.

10) Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
Pytanie formalno-prawne ale pomaga ocenić niezależność IOD. Według mnie podległość w strukturze pod Prezesem nie świadczy jeszcze o niezależności.

11) Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
Pytanie formalno-prawne. Ale swoją drogą stawia ciekawe pytanie o zastępcę IOD, np. czy można go powołać na stałe jako wsparcie IOD? 

12) Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
To pytanie, czy IOD ma odpowiednie zasoby ludzkie. W organizacjach liczących setki lub tysiące osób świadczących pracę, samotny IOD nie ma szans wykonać należycie swoich obowiązków.

13) W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?

To jest mega ważne pytanie. Wielu IOD skarży się, że nie są włączani we wszystkie sprawy, są włączani zbyt późno lub ich uwagi nie są należycie uwzględniane. Jednocześnie w dużych organizacjach samotny IOD nic by nie robił tylko na spotkania biegach. 
No i kwestia rozliczalności - ma zbierać podpisy? Przecież to byłby przerost formy nad treścią.

14) W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

Pytanie kontrolne. Choć ważne 

15) Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

Pytanie kontrolne ale bardzo ważne.
Niestety nadal bardzo często to IOD sporządza dokumentację systemu ochrony danych osobowych. To spadek po ABI i starej ustawie.

16) W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

Widać że teoretyk pisał te pytanie. Powiem tak. Niezależnym to się jest albo nie. Trzeba mieć autorytet i tyle. No ale jak ktoś bierze "kilkaset" złotych za funkcję IOD i podpisuje tylko papierki 2-3 razy w tygodniu to ani nie ma autorytety ani niezależności.

17) W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
Kolejne pytanie teoretyka. Patrz odpowiedź wyżej.

18) W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
Lubię pytania teoretyków. To zależy od transparentności i dojrzałości organizacji. 
Ja tam zawsze mam dowód na piśmie jak coś doradzałem. Nie raz mnie to uratowało.

19) W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
Pytanie kontrolne 

20) Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
To jest ciekawe zagadnienie i ważne.

a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
Ciekawie kto prowadzi ewidencję czasu pracy w tym zakresie 

b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?
Ciekawe pytanie na osobnego posta. Z chęcią bym zobaczył jakieś wzory a potem sprawdził jak działają w praktyce. Bo wiecie papier przyjmie wszystko.

c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
Ważne pytanie kontrolne. IOD nie powinien mieć dwóch panów.

21) Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
Teoretycy kochają dokumenty. A papier przyjmie wszystko.
Choć procedury są bardzo ważne to .....

22) Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
Pytanie kontrolne. Swoją drogą jak IOD nie ma na miejscu to jak nadzoruje?

23) Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
Naprawdę teoretycy kochają papierologię.
A nie lepiej sprawdzić ile zrobił kontroli i szkoleń.

24) Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
Pytanie kontrolne 

25) Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
To jest ciekawa kwestia. Ja myślałem że komunikacja IOD i Administrator to podstawa. Oczywiście jak wszystko jest okey to można 1-2 razy do roku. Jak mamy incydenty czy zdarzenia to trzeba utrzymywać gorącą linię.

26) Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
Pytanie kontrolne 

27) Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Ciekawe pytanie. Według mnie IOD działa jak oficer Compliance na drugiej linii obrony (częściowo na trzeciej). Według mnie to komórki audytu i kontroli wraz z najwyższym kierownictwem powinny kontrolować pracę IOD.
Ale jeżeli tylko on ma wiedzę w organizacji?

Ciekawe jak PUODO będzie modyfikował pytania i jak wykorzysta to narzędzie - ankiety.

Niech moc ochrony danych osobowych będzie z wami.