Tu wyjaśniliśmy, kim jest IOD i kiedy należy go powołać, a tutaj - jak zgłosić jego powołanie Prezesowi UODO.
Tym razem porównujemy wady i zalety różnych modeli współpracy z IOD-em.
Kryteria wyboru IOD-a

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zgodnie z art. 37 ust. 5 RODO kryteriami wyboru IOD-a są:
- kwalifikacje zawodowe,
- umiejętność wypełniania zadań wynikających z RODO.
Ponadto już przy wyborze IOD-a należy pomyśleć o zapewnieniu mu odpowiedniego statusu (art. 38 RODO), obejmującego:
- Właściwe i niezwłoczne włączanie we wszystkie sprawy dotyczące ochrony danych osobowych.
- Zasoby niezbędne do wypełniania zadań i utrzymania wiedzy fachowej.
- Dostęp do danych osobowych i operacji przetwarzania.
- Niezależność (brak instrukcji w zakresie wykonywania zadań, brak odwoływania i karania za wypełnianie zadań).
- Bezpośrednią podległość najwyższemu kierownictwu.
- Obowiązek zachowania tajemnicy lub poufności.
- Brak konfliktu interesów.
Poniżej przedstawiamy potencjalne plusy i minusy dwóch głównych modeli powołania IOD-a, tj. powierzenia sprawowania tej funkcji własnemu pracownikowi lub firmie zewnętrznej - w świetle wynikających z RODO kryteriów wyboru IOD-a.
Przykładowe porównanie kosztów etatu specjalisty ds. RODO
z kosztem outsourcingu RODO
Składniki kosztów:
- Wynagrodzenie netto
- ZUS
- Ubezpieczenie zdrowotne
- Podatek
- Budżet szkoleniowy
- Koszty L4
- FF/FGŚP
- Sprzęt/Oprogramowanie
- Benefity
- Wynajem biura
- Kadry i płace
Nasze spostrzeżenia odnoszą się do sytuacji typowych – ich celem jest wskazanie tendencji. Poza ich zrozumieniem warto pamiętać, że zarówno wewnętrzni pracownicy, jak i zewnętrzne firmy są bardzo zróżnicowane. Wśród tych ostatnich mamy do wyboru:
- renomowane kancelarie (uważaj na często zawyżony koszt),
- firmy konsultingowe zajmujące się ochroną danych (zwróć uwagę na skład zespołu, w tym na obecność konsultantów ds. IT),
- mikroprzedsiębiorców (ograniczone zasoby to często ograniczony czas dla klienta, ograniczony czas reakcji na incydenty oraz ograniczona weryfikacja merytorycznej jakości pracy),
- nowicjuszy (firmy, które zainteresowały się ochroną danych ze względu na trend, a nie specjalizację - sprawdź ich referencje),
- a nawet - oszustów i naciągaczy (dla przykładu, patrz tutaj).
Kwalifikacje zawodowe
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Znajomość branży i specyfiki działalności administratora. |
Specjalizacja w ochronie danych osobowych. Często włączanie w projekt równolegle prawników i specjalistów z zakresu IT.
|
Minusy | Konieczność kosztownego doszkalania pracowników mających pełnić funkcję IOD-a, mimo braku doświadczenia w ochronie danych. Rzadko zdarza się, że jedna osoba specjalizuje się zarówno w zagadnieniach formalnoprawnych, jak i z obszaru IT. | Jedynie ogólna znajomość branży administratora – brak specjalizacji w przedmiocie jego działalności. |
Umiejętność wypełniania zadań wynikających z RODO
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Lepsza znajomość luk i słabości organizacji, wynikająca z własnego doświadczenia. | Doświadczenie oparte na obsłudze wielu klientów. Wypracowana metodyka i schematy działania. Umiejętność nie tylko wypełniania zadań IOD-a, ale także wsparcia w całym procesie wdrożenia i utrzymania zgodności z RODO. Przygotowanie i narzędzia do prowadzenia szkoleń – nie tylko najważniejszych osób, ale także personelu (przygotowanie i przekazanie materiałów szkoleniowych; niektóre firmy wykorzystują do prowadzenia szkoleń aplikacje i platformy internetowe). |
Minusy | Niewystarczająco silna pozycja w organizacji – brak posłuchu u innych pracowników, z którymi trzeba przeprowadzić audyt lub wymóc stosowanie odpowiednich klauzul. Braki w umiejętnościach mogą najbardziej zaboleć w sytuacjach kryzysowych – jednej osobie trudniej jest znaleźć właściwe rozwiązanie, jeśli dotyczy wielu aspektów (np. prawnego i IT). Realizacja przez IOD-a obowiązku szkolenia personelu może być odległą perspektywą, ponieważ często występuje konieczność szkolenia samego IOD-a. | Do poznania luk i słabości organizacji konieczne są częstsze audyty lub większe zaangażowanie pracowników administratora. |
Właściwe i niezwłoczne włączanie we wszystkie sprawy dotyczące ochrony danych osobowych.
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Stała obecność w organizacji pozwala na własną inicjatywę i pełniejszy nadzór nad sprawami dotyczącymi ochrony danych osobowych. | Znajomość technik i metod audytowania pozwala wykryć więcej niezgodności zanim zrobi to organ nadzorczy lub dojdzie do incydentu. Zwykle większa dostępność niż pojedynczej osoby, co pozwala np. skuteczniej zarządzać incydentem czy sprawniej przeprowadzić dany projekt. |
Minusy | Brak wystarczającej specjalizacji w ochronie danych osobowych oraz technikach audytowania stwarza ryzyko, że IOD będzie jedynie reagował na incydenty, a nie zapobiegał im w przyszłości. W braku zespołu lub zastępcy, w razie urlopu lub choroby, IOD może nie być w stanie wesprzeć administratora np. przy zgłaszaniu incydentu organowi nadzorczemu w ciągu 72h. |
Brak stałej obecności w organizacji stwarza ryzyko zapoznania się wyłącznie ze sprawami, które zostaną przekazane do wiadomości IOD-a. |
Zasoby niezbędne do wypełniania zadań i utrzymania wiedzy fachowej.
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Ponieważ pracownik jest na miejscu, dużo łatwiej jest zorientować się, czego potrzebuje, aby prawidłowo wypełniać swoje zadania. | Zwykle bezpośredni kontakt z najwyższym kierownictwem. Ograniczenie funkcji wyłącznie do obowiązków IOD-a. Stałe doskonalenie wiedzy fachowej we własnym zakresie. Możliwość racjonalizacji kosztów – tj. uzależnienia wynagrodzenia od rzeczywistego czasu poświęconego na projekt RODO. |
Minusy | Często niewystarczające wsparcie najwyższego kierownictwa. Łączenie funkcji IOD-a z innymi zadaniami może spowodować, że IOD nie będzie miał czasu na realizację swojej funkcji. Konieczność przeznaczenia środków na doskonalenie zawodowe. Jeśli IOD jest pracownikiem na etacie, jego wynagrodzenie nie zależy zwykle od rzeczywistego czasu poświęconego na projekt RODO. |
Ryzyko zbytniego ograniczenia czasu pracy IOD-a w ten sposób, że będzie mógł on zajmować się tylko najważniejszymi dla organizacji kwestiami. |
Dostęp do danych osobowych i operacji przetwarzania.
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Znajomość specyfiki przetwarzania pozwoli łatwiej odnaleźć dane osobowe i zidentyfikować przyczyny incydentów. | Większa ranga i formalizacja pracy IOD-a ułatwia mu mobilizację pracowników i uzyskanie od nich niezbędnych informacji. |
Minusy | IOD jest najczęściej traktowany jako szeregowy pracownik organizacji, dlatego trudniej mu zmobilizować innych pracowników do pomocy przy analizach i uzyskać od nich informacje o niezgodnościach, za które mogą ponieść konsekwencje. | Większa zależność od informacji od pracowników organizacji; więcej czasu potrzebne na poczynienie ustaleń – zwłaszcza w drobniejszych sprawach. |
Niezależność (brak instrukcji w zakresie wykonywania zadań, brak odwoływania i karania za wypełnianie zadań).
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Brak. | Faktyczna niezależność (administrator nie jest jedynym klientem, a więc współpraca z nim nie warunkuje rentowności firmy). Niezależność jest priorytetem, ponieważ przypadek jej niezachowania zachwiałby reputacją całej firmy. |
Minusy |
Mimo formalnej niezależności, fakt zatrudnienia na pełny etat wiąże się z uzależnieniem od pracodawcy np. utrzymania rodziny osoby pełniącej funkcję IOD-a. Większe ryzyko wpływu przełożonych na sposób realizacji zadań przez IOD. |
Brak. |
Bezpośrednia podległość najwyższemu kierownictwu.
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | W razie prawidłowego ustalenia statusu – bardziej regularny i pełniejszy kontakt IOD-a z najwyższym kierownictwem. | Brak wątpliwości co do bezpośredniej podległości najwyższemu kierownictwu. |
Minusy | Często obowiązek będzie ignorowany lub obchodzony, ponieważ IOD pełni w organizacji także inne funkcje, w których jest podporządkowany przełożonym. | Rzadszy kontakt z najwyższym kierownictwem. |
Obowiązek zachowania tajemnicy lub poufności.
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Utożsamianie się z interesami pracodawcy; sporadyczny kontakt z zewnętrznymi podmiotami. | Zachowanie tajemnicy jest priorytetem, ponieważ przypadek jej niezachowania zachwiałby reputacją całej firmy. |
Minusy | Przetwarzanie danych na zasobach pracodawcy stwarza większe ryzyko dostępu do danych przez inne osoby w ramach organizacji (w tym przez samego pracodawcę lub jego dział IT). | Konieczność udostępnienia tajemnic organizacji (w ramach raportów, ustaleń, dowodów audytowych) na rzecz zewnętrznego podmiotu. |
Brak konfliktu interesów.
Wewnętrzny pracownik | Wyspecjalizowana firma | |
---|---|---|
Plusy | Brak ryzyka uczestnictwa w konflikcie interesów między administratorem a zewnętrznymi podmiotami. | Mniejsza zależność od administratora, skupienie wyłącznie na ochronie danych osobowych. Przyjęcie perspektywy zewnętrznego obserwatora, co zwiększa obiektywność. |
Minusy | Często IOD pełni w organizacji także inne funkcje, przez co sam przetwarza dane, a z drugiej strony – to ocenia. Powoduje to mniejszą obiektywność. | W przypadku organizacji obsługujących wiele podmiotów – może zdarzyć się jednoczesna obsługa dwóch stron umowy. |
Podsumowując – IOD jako własny pracownik to zwykle większa znajomość organizacji oraz branży w jakiej działa. Jego słabości to z kolei możliwy konflikt interesów w związku z innymi obowiązkami, mniejsza niezależność, dopiero kształtująca się wiedza i metodyka, a także mniejszy posłuch wśród innych pracowników, którzy mają faktycznie stosować RODO.
Zewnętrzna firma zwykle zapewnia specjalizację w ochronie danych, wypracowaną metodykę i schematy działania, a także większą niezależność i dostępność zespołu. Zatrudnienie zewnętrznych ekspertów zwiększa zwykle rangę projektu, w odróżnieniu od częstych problemów wewnętrznego IOD-a z mobilizacją pozostałych pracowników. Aby uniknąć złego wyboru, warto:
- sprawdzić jej renomę i referencje (uważaj na oszustów i nowicjuszy),
- zapytać, czy w zespole znajdują się konsultanci ds. bezpieczeństwa aplikacji i systemów IT,
- zapewnić, aby oferta obejmowała wystarczającą ilość czasu na wypełnienie wszystkich zadań,
- upewnić się, że konsultanci zapewniają szybką dostępność w razie incydentu,
- sprawdzić, czy IOD posiada przygotowanie, materiały i narzędzia do prowadzenia szkoleń personelu,
- zweryfikować, czy IOD posiada ubezpieczenie zawodowe,
- zapewnić sprawny punkt kontaktowy wewnątrz swojej organizacji.