Konstrukcja poradnika dla inspektora ochrony danych
Przechodząc do wskazania najważniejszych elementów podręcznika, należy zaznaczyć, że podzielono go na trzy główne części.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Druga część obejmuje wprowadzenie do RODO. Poruszono w niej zagadnienia dotyczące statusu i podejścia do stosowania przepisów RODO oraz wskazano powagę zasady rozliczalności, przedstawiając różne sposoby jej wykazywania. W tej części opisano przepisy RODO dotyczące wymaganego doświadczenia i kwalifikacji inspektora ochrony danych.
Trzecia część publikacji zawiera praktyczne wskazówki dotyczące zarówno zadań inspektora ochrony danych, jak i działań, przy których wykonywaniu jego zaangażowanie jest kluczowe i wymagane do zachowania zgodności z RODO.
Tę ostatnią część poradnika podzielono na siedem głównych sekcji: zadanie wstępne, zadania organizacyjne, funkcje monitorowania przestrzegania prawa, funkcje doradcze, współpraca i konsultacje z organem ochrony danych, obsługa wniosków osób, których dane dotyczą, oraz informowanie i podnoszenie świadomości. Tak szeroki przekrój zadań wskazuje, że autorzy publikacji wychodzą zdecydowanie poza katalog zadań z art. 39 RODO.
-
Zadanie wstępne dotyczące inwentaryzacji procesów przetwarzania danych osobowych
W zadaniu wstępnym, polegającym na ustaleniu zakresu środowiska administratora, warto zwrócić uwagę na działania inspektora ochrony danych, które pozwolą mu poznać zasady i funkcjonalności działających w organizacji technicznych systemów teleinformatycznych oraz architektury tych systemów. W podręczniku wskazano:
„Ponadto istotne jest, że na tym etapie inspektor ochrony danych (przy pomocy pracowników działu informatycznego i bezpieczeństwa) dokładnie zapoznaje się także z technicznymi systemami teleinformatycznymi, architekturą i politykami stosowanymi w swojej organizacji: wykorzystywanymi komputerami (lub, jeżeli są w dalszym ciągu stosowane, ręcznymi systemami katalogowania) oraz czy obejmują one urządzenia przenośne i/lub komórkowe (i/lub osobiste »własne urządzenia« odpowiednich pracowników – do których należy stosować politykę »Bring you own device [BYOD]«); czy komputery osobiste i urządzenia są stosowane online czy tylko offline, na miejscu czy także poza biurem; jakie stosuje się oprogramowanie zabezpieczające i szyfrowanie oraz czy jest ono w pełni aktualne; jakie łącza i obiekty zewnętrzne są wykorzystywane (z uwzględnieniem serwerów chmury, w szczególności jeżeli znajdują się one poza UE/EOG, np. w USA, w którym to przypadku należy sprawdzić odpowiednie ustalenia i umowy dotyczące przekazywania danych); czy jakąkolwiek część przetwarzania realizują podmioty przetwarzające (w którym to przypadku należy przejrzeć zawarte z nimi umowy); jakie są fizyczne zabezpieczenia (drzwi, pomieszczenia, hasła do sieci i komputerów itp.); czy wdrożono polityki bezpieczeństwa i szkolenia itp. itd. Na wstępnym etapie nie trzeba rozpatrywać i rozstrzygać tak wielu kwestii, ale należy przynajmniej je odnotować, nakreślić i zarejestrować” (s. 132).”
-
Zadania organizacyjne – rejestr operacji przetwarzania danych, przegląd zinwentaryzowanych operacji przetwarzania, przeprowadzenie oceny ryzyka oraz oceny skutków dla ochrony danych
Za zadania organizacyjne autorzy publikacji uznają takie działania, jak tworzenie rejestru operacji przetwarzania danych, przegląd operacji przetwarzania danych osobowych, przeprowadzenie oceny ryzyka wynikającego z operacji przetwarzania danych osobowych oraz radzenie sobie z operacjami, które mogą powodować „wysokie ryzyko”, w tym przeprowadzenie oceny skutków dla ochrony danych.
Autorzy podręcznika wskazują na słuszne podejście odnoszące się do przeprowadzenia inwentaryzacji operacji przetwarzania danych osobowych w całej organizacji. Należy przygotować wstępny spis operacji przetwarzania danych osobowych, który będzie zawierać wyłącznie ogólny zarys tych operacji. Drugim krokiem jest już przygotowanie pełnego spisu, który powinien prowadzić do stworzenia rejestru czynności przetwarzania danych osobowych (art. 30 ust. 1 RODO) oraz w pewnych przypadkach rejestru wszystkich kategorii czynności przetwarzających (art. 30 ust. 2 RODO). Omawiana publikacja zawiera przykładowe wzory: podstawowego rejestru przetwarzania danych administratora (s. 139), podstawowego rejestru przetwarzania danych podmiotu przetwarzającego (s. 141) czy szczegółowego rejestru czynności przetwarzania danych osobowych (s. 145).
-
Monitorowanie przestrzegania przepisów dotyczących ochrony danych osobowych
W zakresie funkcji monitorowania przestrzegania prawa autorzy publikacji zalecają powtarzanie wcześniej wskazanych zadań na bieżąco. Opisują także sposoby postępowania z naruszeniem ochrony danych osobowych oraz zadania dochodzeniowe, które uwzględniają rozpatrywanie skarg pochodzących np. od pracowników organizacji. Jak wskazują:
„Przyjmuje się, że administrator danych »stwierdza« naruszenie, gdy podmiot przetwarzający go o tym poinformuje; następnie administrator musi powiadomić organ ochrony danych, chyba że zastosowanie ma zastrzeżenie przewidujące, że naruszenie ochrony danych najprawdopodobniej nie zagraża prawom i swobodom osób fizycznych” (s. 191).
-
Zadania doradcze inspektora ochrony danych
W ramach zadań doradczych inspektor ochrony danych wspiera administratora danych przez informowanie go o obowiązkach spoczywających na nim na mocy przepisów RODO, promuje ochronę danych w fazie projektowania oraz jako opcję domyślną i pomaga administratorowi w jej wdrożeniu, a także doradza mu w sprawie zapewnienia i monitorowania zgodności z politykami ochrony danych, postanowieniami umów pomiędzy współadministratorem a podmiotem przetwarzającym, dwoma administratorami a podmiotem przetwarzającym i administratorem a podmiotem przetwarzającym, wiążącymi regułami korporacyjnymi i klauzulami o przekazywaniu danych. Dodatkowo może brać udział w procesie certyfikacji czy tworzenia kodeksów postępowania.
W tej części podręcznika autorzy wskazują działania, które pozwolą wykazać przestrzeganie przepisów RODO, czyli m.in.:
- „sporządzanie i formalne przyjmowanie wewnętrznych polityk ochrony danych […] w celu uregulowania takich spraw, jak:
- stosowane przez organizację papierowe formularze, formularze internetowe oraz oświadczenia o ochronie danych/prywatności na stronach internetowych, korzystanie z cookies i innych plików śledzących;
- dostęp i zmiana rejestrów itp. w odpowiednim oprogramowaniu i sprzęcie;
- wydawanie »łat« dla swojego własnego oprogramowania)
- itp.;
- zawieranie umów administracyjnych (»uzgodnień«) pomiędzy organami lub podmiotami publicznymi, w szczególności jeżeli pełnią one funkcję »współadministratorów« w stosunku do określonych operacji przetwarzania;
- sporządzanie i uzgadnianie odpowiednich umów z innymi administratorami i podmiotami przetwarzającymi oraz podpisywanie lub sporządzanie standardowych lub indywidualnie zatwierdzanych umów o przekazie danych” (s. 212).
Autorzy słusznie podkreślają, że powyższe zadania są przypisane administratorowi danych, lecz w praktyce inspektor ochrony danych powinien zostać mocno zaangażowany we wszystkie tego typu sprawy.
-
Współpraca i konsultacje z osobami, których dane dotyczą, oraz z organem nadzorczym
Lubisz mieć porządek w RODO?
My też!
Inspektor ochrony danych ma za zadanie także obsługę wniosków osób, których dane dotyczą. Autorzy podręcznika wskazują, że wnioski te mogą dotyczyć ogólnych pytań lub skarg w zakresie przetwarzania danych osobowych, przy czym inspektor ochrony danych nie może bać się podejmowania decyzji. Powinien on sam napisać lub chociaż przejrzeć odpowiedź, która będzie udzielona osobie, której dane dotyczą, oraz zadbać o to, aby w treści była zawarta informacja o możliwości złożenia skargi do organu nadzorczego.
-
Zadania dotyczące informowania pracowników oraz podnoszenia ich świadomości z zakresu ochrony danych osobowych
Zadania w zakresie informowania i podnoszenia świadomości powinny obejmować zarówno informowanie pracowników o ich prawach, jak i instruowanie administratorów oraz właścicieli konkretnych procesów biznesowych co do ich obowiązków i zakresu odpowiedzialności. Takie informowanie osób zaangażowanych w przetwarzanie danych osobowych może odbywać się w ramach szkoleń, które pokażą praktyczne sposoby realizacji np. zasad przetwarzania danych. Podstawowe informacje dotyczące operacji przetwarzania danych osobowych przez administratora powinny być zawsze łatwo dostępne na jego stronie internetowej oraz przedstawione w ulotkach i formularzach. Co ważne takie źródła informacji powinny być dostosowane do potrzeb osób niepełnosprawnych (odpowiednia wielkość czcionki lub możliwość odczytania tekstu).
Z kolei zadania dotyczące planowania i dokonywania przeglądu działań inspektora ochrony danych powinny odbywać się w ramach przygotowywania rocznych planów działań. Takie plany powinny uwzględniać przewidywany czas potrzebny na wykonanie każdego z zaplanowanych zadań oraz na wprowadzenie przewidywanych nowych zmian. Ponadto należy dokonywać regularnego przeglądu i aktualizacji tego planu, by móc podejmować konieczne działania .
Podsumowanie
Należy wskazać, że przedstawiony podręcznik na pewno porządkuje kwestie wykonywania zadań inspektora ochrony danych oraz ujednolica podejście do działań, w których konieczne jest jego zaangażowanie. Warto w tym miejscu wskazać, że zaktualizowany „Praktyczny poradnik dla Inspektorów Ochrony Danych” (publikacja autora niniejszego artykułu) będzie zawierać najważniejsze elementy podręcznika zatwierdzonego przez Komisję Europejskiej.