Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

IOD "własny" czy z outsourcingu
plusy i minusy

Powołanie inspektora ochrony danych

Jeśli mamy obowiązek powołać IOD-a w swojej organizacji (lub planujemy go wyznaczyć z innych powodów), stajemy przed wyborem, czy osoba wyznaczona do pełnienia tej funkcji będzie naszym pracownikiem, czy też osobą z zewnątrz: z renomowanej kancelarii, firmy konsultingowej lub prowadzącą jednoosobową działalność gospodarczą.

Tu wyjaśniliśmy, kim jest IOD i kiedy należy go powołać, a tutaj - jak zgłosić jego powołanie Prezesowi UODO. Tym razem porównujemy wady i zalety różnych modeli współpracy z IOD-em.

Kryteria wyboru IOD-a

Wiele organizacji w celu ograniczenia kosztów, do pełnienia funkcji IOD-a wyznacza szeregowych pracowników, którzy mają zajmować się ochroną danych obok dotychczasowych obowiązków. Nieprawidłowy wybór IOD-a może jednak stanowić niezgodność z art. 37 ust. 5 RODO, który stanowi: „inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39”.

Zgodnie z art. 37 ust. 5 RODO kryteriami wyboru IOD-a są:

  • kwalifikacje zawodowe,
  • umiejętność wypełniania zadań wynikających z RODO.

Ponadto już przy wyborze IOD-a należy pomyśleć o zapewnieniu mu odpowiedniego statusu (art. 38 RODO), obejmującego:

  • Właściwe i niezwłoczne włączanie we wszystkie sprawy dotyczące ochrony danych osobowych.
  • Zasoby niezbędne do wypełniania zadań i utrzymania wiedzy fachowej.
  • Dostęp do danych osobowych i operacji przetwarzania.
  • Niezależność (brak instrukcji w zakresie wykonywania zadań, brak odwoływania i karania za wypełnianie zadań).
  • Bezpośrednią podległość najwyższemu kierownictwu.
  • Obowiązek zachowania tajemnicy lub poufności.
  • Brak konfliktu interesów.

Akredytowany Kurs IOD

Poniżej przedstawiamy potencjalne plusy i minusy dwóch głównych modeli powołania IOD-a, tj. powierzenia sprawowania tej funkcji własnemu pracownikowi lub firmie zewnętrznej - w świetle wynikających z RODO kryteriów wyboru IOD-a.

Nasze spostrzeżenia odnoszą się do sytuacji typowych – ich celem jest wskazanie tendencji. Poza ich zrozumieniem warto pamiętać, że zarówno wewnętrzni pracownicy, jak i zewnętrzne firmy są bardzo zróżnicowane. Wśród tych ostatnich mamy do wyboru:

  • renomowane kancelarie (uważaj na często zawyżony koszt),
  • firmy konsultingowe zajmujące się ochroną danych (zwróć uwagę na skład zespołu, w tym na obecność konsultantów ds. IT),
  • mikroprzedsiębiorców (ograniczone zasoby to często ograniczony czas dla klienta, ograniczony czas reakcji na incydenty oraz ograniczona weryfikacja merytorycznej jakości pracy),
  • nowicjuszy (firmy, które zainteresowały się ochroną danych ze względu na trend, a nie specjalizację - sprawdź ich referencje),
  • a nawet - oszustów i naciągaczy (dla przykładu, patrz tutaj).

Kwalifikacje zawodowe

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Znajomość branży i specyfiki działalności administratora.

Specjalizacja w ochronie danych osobowych. Często włączanie w projekt równolegle prawników i specjalistów z zakresu IT.


Znajomość mechanizmów przetwarzania danych osobowych w danej branży (np. produkcyjnej, sprzedaży, medycznej).

Minusy Konieczność kosztownego doszkalania pracowników mających pełnić funkcję IOD-a, mimo braku doświadczenia w ochronie danych. Rzadko zdarza się, że jedna osoba specjalizuje się zarówno w zagadnieniach formalnoprawnych, jak i z obszaru IT. Jedynie ogólna znajomość branży administratora – brak specjalizacji w przedmiocie jego działalności.

Umiejętność wypełniania zadań wynikających z RODO

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Lepsza znajomość luk i słabości organizacji, wynikająca z własnego doświadczenia. Doświadczenie oparte na obsłudze wielu klientów. Wypracowana metodyka i schematy działania. Umiejętność nie tylko wypełniania zadań IOD-a, ale także wsparcia w całym procesie wdrożenia i utrzymania zgodności z RODO. Przygotowanie i narzędzia do prowadzenia szkoleń – nie tylko najważniejszych osób, ale także personelu (przygotowanie i przekazanie materiałów szkoleniowych; niektóre firmy wykorzystują do prowadzenia szkoleń aplikacje i platformy internetowe).
Minusy Niewystarczająco silna pozycja w organizacji – brak posłuchu u innych pracowników, z którymi trzeba przeprowadzić audyt lub wymóc stosowanie odpowiednich klauzul. Braki w umiejętnościach mogą najbardziej zaboleć w sytuacjach kryzysowych – jednej osobie trudniej jest znaleźć właściwe rozwiązanie, jeśli dotyczy wielu aspektów (np. prawnego i IT). Realizacja przez IOD-a obowiązku szkolenia personelu może być odległą perspektywą, ponieważ często występuje konieczność szkolenia samego IOD-a. Do poznania luk i słabości organizacji konieczne są częstsze audyty lub większe zaangażowanie pracowników administratora.

Właściwe i niezwłoczne włączanie we wszystkie sprawy dotyczące ochrony danych osobowych.

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Stała obecność w organizacji pozwala na własną inicjatywę i pełniejszy nadzór nad sprawami dotyczącymi ochrony danych osobowych. Znajomość technik i metod audytowania pozwala wykryć więcej niezgodności zanim zrobi to organ nadzorczy lub dojdzie do incydentu.

Zwykle większa dostępność niż pojedynczej osoby, co pozwala np. skuteczniej zarządzać incydentem czy sprawniej przeprowadzić dany projekt.
Minusy Brak wystarczającej specjalizacji w ochronie danych osobowych oraz technikach audytowania stwarza ryzyko, że IOD będzie jedynie reagował na incydenty, a nie zapobiegał im w przyszłości.

W braku zespołu lub zastępcy, w razie urlopu lub choroby, IOD może nie być w stanie wesprzeć administratora np. przy zgłaszaniu incydentu organowi nadzorczemu w ciągu 72h.
Brak stałej obecności w organizacji stwarza ryzyko zapoznania się wyłącznie ze sprawami, które zostaną przekazane do wiadomości IOD-a.

Zasoby niezbędne do wypełniania zadań i utrzymania wiedzy fachowej.

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Ponieważ pracownik jest na miejscu, dużo łatwiej jest zorientować się, czego potrzebuje, aby prawidłowo wypełniać swoje zadania. Zwykle bezpośredni kontakt z najwyższym kierownictwem. Ograniczenie funkcji wyłącznie do obowiązków IOD-a. Stałe doskonalenie wiedzy fachowej we własnym zakresie.

Możliwość racjonalizacji kosztów – tj. uzależnienia wynagrodzenia od rzeczywistego czasu poświęconego na projekt RODO.
Minusy Często niewystarczające wsparcie najwyższego kierownictwa. Łączenie funkcji IOD-a z innymi zadaniami może spowodować, że IOD nie będzie miał czasu na realizację swojej funkcji. Konieczność przeznaczenia środków na doskonalenie zawodowe.

Jeśli IOD jest pracownikiem na etacie, jego wynagrodzenie nie zależy zwykle od rzeczywistego czasu poświęconego na projekt RODO.
Ryzyko zbytniego ograniczenia czasu pracy IOD-a w ten sposób, że będzie mógł on zajmować się tylko najważniejszymi dla organizacji kwestiami.

Dostęp do danych osobowych i operacji przetwarzania.

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Znajomość specyfiki przetwarzania pozwoli łatwiej odnaleźć dane osobowe i zidentyfikować przyczyny incydentów. Większa ranga i formalizacja pracy IOD-a ułatwia mu mobilizację pracowników i uzyskanie od nich niezbędnych informacji.
Minusy IOD jest najczęściej traktowany jako szeregowy pracownik organizacji, dlatego trudniej mu zmobilizować innych pracowników do pomocy przy analizach i uzyskać od nich informacje o niezgodnościach, za które mogą ponieść konsekwencje. Większa zależność od informacji od pracowników organizacji; więcej czasu potrzebne na poczynienie ustaleń – zwłaszcza w drobniejszych sprawach.

Niezależność (brak instrukcji w zakresie wykonywania zadań, brak odwoływania i karania za wypełnianie zadań).

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Brak. Faktyczna niezależność (administrator nie jest jedynym klientem, a więc współpraca z nim nie warunkuje rentowności firmy).

Niezależność jest priorytetem, ponieważ przypadek jej niezachowania zachwiałby reputacją całej firmy.
Minusy

Mimo formalnej niezależności, fakt zatrudnienia na pełny etat wiąże się z uzależnieniem od pracodawcy np. utrzymania rodziny osoby pełniącej funkcję IOD-a.

Większe ryzyko wpływu przełożonych na sposób realizacji zadań przez IOD.

Brak.

Bezpośrednia podległość najwyższemu kierownictwu.

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy W razie prawidłowego ustalenia statusu – bardziej regularny i pełniejszy kontakt IOD-a z najwyższym kierownictwem. Brak wątpliwości co do bezpośredniej podległości najwyższemu kierownictwu.
Minusy Często obowiązek będzie ignorowany lub obchodzony, ponieważ IOD pełni w organizacji także inne funkcje, w których jest podporządkowany przełożonym. Rzadszy kontakt z najwyższym kierownictwem.

Obowiązek zachowania tajemnicy lub poufności.

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Utożsamianie się z interesami pracodawcy; sporadyczny kontakt z zewnętrznymi podmiotami. Zachowanie tajemnicy jest priorytetem, ponieważ przypadek jej niezachowania zachwiałby reputacją całej firmy.
Minusy Przetwarzanie danych na zasobach pracodawcy stwarza większe ryzyko dostępu do danych przez inne osoby w ramach organizacji (w tym przez samego pracodawcę lub jego dział IT). Konieczność udostępnienia tajemnic organizacji (w ramach raportów, ustaleń, dowodów audytowych) na rzecz zewnętrznego podmiotu.

Brak konfliktu interesów.

  Wewnętrzny pracownik Wyspecjalizowana firma
Plusy Brak ryzyka uczestnictwa w konflikcie interesów między administratorem a zewnętrznymi podmiotami. Mniejsza zależność od administratora, skupienie wyłącznie na ochronie danych osobowych. Przyjęcie perspektywy zewnętrznego obserwatora, co zwiększa obiektywność.
Minusy Często IOD pełni w organizacji także inne funkcje, przez co sam przetwarza dane, a z drugiej strony – to ocenia. Powoduje to mniejszą obiektywność. W przypadku organizacji obsługujących wiele podmiotów – może zdarzyć się jednoczesna obsługa dwóch stron umowy.

Podsumowując – IOD jako własny pracownik to zwykle większa znajomość organizacji oraz branży w jakiej działa. Jego słabości to z kolei możliwy konflikt interesów w związku z innymi obowiązkami, mniejsza niezależność, dopiero kształtująca się wiedza i metodyka, a także mniejszy posłuch wśród innych pracowników, którzy mają faktycznie stosować RODO.

Zewnętrzna firma zwykle zapewnia specjalizację w ochronie danych, wypracowaną metodykę i schematy działania, a także większą niezależność i dostępność zespołu. Zatrudnienie zewnętrznych ekspertów zwiększa zwykle rangę projektu, w odróżnieniu od częstych problemów wewnętrznego IOD-a z mobilizacją pozostałych pracowników. Aby uniknąć złego wyboru, warto:

  • sprawdzić jej renomę i referencje (uważaj na oszustów i nowicjuszy),
  • zapytać, czy w zespole znajdują się konsultanci ds. bezpieczeństwa aplikacji i systemów IT,
  • zapewnić, aby oferta obejmowała wystarczającą ilość czasu na wypełnienie wszystkich zadań,
  • upewnić się, że konsultanci zapewniają szybką dostępność w razie incydentu,
  • sprawdzić, czy IOD posiada przygotowanie, materiały i narzędzia do prowadzenia szkoleń personelu,
  • zweryfikować, czy IOD posiada ubezpieczenie zawodowe,
  • zapewnić sprawny punkt kontaktowy wewnątrz swojej organizacji.

Przejęcie funkcji IOD


Dr Paweł Mielniczek
21 września 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.