W Kongresie RODO zorganizowanym we wtorek przez Wolters Kluwer Polska wzięło udział kilkuset przedstawicieli przedsiębiorstw, instytucji publicznych i kancelarii prawnych.  Dyskutowali oni o praktycznych aspektach wdrażania reformy ochrony danych osobowych. Uczestnicy zwracali uwagę, że osoby, które wcześniej nie zajmowały się ochroną danych osobowych, mogą mieć trudności z wykonywaniem funkcji inspektora ochrony danych.

Elastyczność inspektora

Jak podkreślała Aneta Sieradzka z Kancelarii Prawnej Sieradzka Partners, przepisy RODO są elastyczne w zakresie powoływania inspektora ochrony danych, jednak nie każdy powinien zostać IOD. Nie ma określonego kierunku studiów czy rodzaju certyfikatów, jakie IOD powinien posiadać. IOD to nowy zawód, bo można być inspektorem i tylko tym się zajmować.

Przepisy nie narzucają również czasu pracy inspektora, to administrator powinien zdecydować o tej kwestii. Ważne jednak, że określić zasady, na jakich IOD będzie dyspozycyjny i dostępny w każdym czasie dla administratora i instytucji.

Czytaj też: Gdyby nie RODO, Facebook nie rozmawiałaby z nami o wycieku danych>>

 


Nie każdy może być inspektorem

Ważne cechy inspektora, które wymienia mec. Sieradzka to jego kwalifikacje - musi znać przepisy RODO, ale kluczowe jest ich umiejętne stosowanie w praktyce, bo tu zazwyczaj pojawiają się bariery. IOD powinien też posiadać certyfikaty ukończenia szkoleń i kursów, nie ma określonej liczby takich zaliczeń, ale ważne jest, żeby były określonej jakości.

Wskazane jest również, żeby IOD ukończył studia podyplomowe oraz posiadał doświadczenie i wiedzę w danej branży. – Nie wyobrażam sobie dobrego inspektora nieznającego specyfiki branży. Trzeba znać problemy danej branży, bo każda ma inną specyfikę – podkreśliła mec. Sieradzka.

IOD musi chcieć być IOD

Co istotne, IOD musi chcieć się zajmować ochroną danych, nie powinna to być decyzja zarządu czy szefa jednostki. Jak podkreśla mec. Jolanta Fiedeń-Zabłotny, ekspert prawa pracy i prawa oświatowego, są małe placówki edukacyjne m.in. w małych miejscowościach, gdzie IOD zostaje pracownik sekretariatu, „bo nie ma wyboru, bo ktoś musi być IOD”.

- Taka osoba nie ma praktycznej wiedzy, jak przepisy stosować. Bywa też, że dyrektorzy placówek nie widzieli swoich inspektorów, a IOD musi być namacalny, musi być z nim kontakt – podkreśliła.

Konieczna znajomość prawa

Jak podkreślają eksperci, kwalifikacje i wiedza oraz znajomość krajowych i europejskich przepisów prawa jest konieczna w wypełnianiu funkcji inspektora ochrony danych. Mec. Aneta Sieradzka podkreślała, że niezbędna jest znajomość operacji przetwarzania danych również w kontekście, jakie kategorie danych przetwarza się w instytucji.

– IOD musi mieć świadomość w zakresie procedur administracyjnych i funkcjonowania jednostek podmiotów publicznych oraz w specyfice działania organów nadzorczych w relacji do podmiotów publicznych - podkreśla.

Według ekspertów i praktyków IOD to ważna postać w instytucji, która dba o bezpieczeństwo podmiotu i pracowników. Należy zadać sobie pytanie, czy został powołany, bo przepisy tego wymagają czy jest po to, żeby realnie pomagać.

Ważne jest także rzetelne podejście do pełnionej funkcji i wysoki poziom etyki zawodowej inspektora ochrony danych. Bardzo ważna jest też kwestia poufności i zachowania w tajemnicy wszystkich informacji, do których IOD ma dostęp. Również cechy osobowe osoby pełniącej funkcję IOD są bardzo ważne.

Zobacz też komentarz praktyczny Inspektor ochrony danych osobowych – wyznaczenie i status>>

Administrator i IOD

Administrator powinien zapewniać, żeby IOD był niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych. - Nie w mniej lub bardziej ważne, ale we wszystkie. To on ocenia jakie instytucja będzie stosować środki w przypadku incydentów, itp. – podkreśla Aneta Sieradzka.

Eksperci podkreślają, że ważny jest dobry kontakt administratora z inspektorem ochrony danych. Administrator powinien zadbać o bezpośrednio kontakt z IOD, powinien być zawsze dyspozycyjny. Oprócz stałego kontaktu, niezbędne jest, żeby administrator umożliwił IOD wykonywanie jego działań. IOD ma podlegać najwyższemu kierownictwu instytucji m.in. w celu eliminacji konfliktu interesów.


Świadomość pracowników

Istotne jest, żeby pracownicy jednostki mieli świadomość, że inspektor ochrony danych w instytucji jest i wiedzieli, gdzie go szukać. - Świadomość pracowników trzeba permanentnie podnosić – zaznacza mec. Sieradzka.

Czytaj też: Nie ma jednolitych zasad dotyczących monitoringu>>