Co w sytuacji, gdy zarząd poleci mi wykonanie takiej analizy jako IOD i ograniczy swoją rolę jedynie do zapoznania się z nią oraz jej podpisania?
ODPOWIEDŹ
Ciężar wykonania analizy ryzyka nie może spoczywać wyłącznie na inspektorze ochrony danych. Zgodnie z przepisami RODO to na administratorze danych ciąży obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych oraz wykazanie, że przetwarzanie odbywa się zgodnie z prawem. Z kolei zadaniem IOD w tym procesie jest wsparcie merytoryczne: IOD doradza, wskazuje, edukuje oraz monitoruje przestrzeganie przepisów, a nie operacyjnie projektuje i wykonuje analizę za administratora.
Sytuacja, w której zarząd poleca IOD-owi samodzielne sporządzenie analizy ryzyka, ograniczając swoją rolę wyłącznie do zapoznania się z nią i złożenia podpisu, jest nieprawidłowa. Przymuszenie IOD-a do samodzielnego wykonania analizy ryzyka i doboru zabezpieczeń może powodować złamanie zasady niezależności IOD i prowadzić do niedopuszczalnego konfliktu interesów.
Przepisy wymagają, aby IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań oraz aby ewentualne inne jego obowiązki nie powodowały konfliktu interesów. Gdyby IOD samodzielnie wyliczał ryzyko, a następnie decydował o doborze konkretnych środków bezpieczeństwa, w przyszłości musiałbyś oceniać i monitorować skuteczność własnych decyzji, co wprost podważa jego niezależną funkcję kontrolno-doradczą.
Zarządzanie ryzykiem to proces obejmujący całą organizację. Aby analiza była rzetelna i obiektywna, konieczne jest zaangażowanie innych komórek organizacyjnych, a przede wszystkim działu IT oraz właścicieli poszczególnych procesów biznesowych. Prawidłowa identyfikacja sprzętu, oprogramowania, podatności czy dostawców usług chmurowych wymaga specjalistycznej wiedzy, którą dysponuje np. kierownik działu IT, a nie IOD.
