RODO: PYTANIA I ODPOWIEDZI

Jaką rolę odgrywa IOD w procesie wdrażania dyrektywy NIS 2 w organizacji?

ODPOWIEDŹ

Rola Inspektora Ochrony Danych (IOD) w procesie wdrażania dyrektywy NIS 2 w organizacji rodzi zasadne pytania — zwłaszcza w kontekście ryzyka konfliktu interesów.

Zgodnie z art. 38 ust. 6 RODO, IOD może wykonywać inne zadania i obowiązki, ale tylko pod warunkiem, że nie prowadzą one do konfliktu interesów. W praktyce oznacza to, że IOD nie powinien pełnić funkcji związanych z określaniem celów i sposobów przetwarzania danych osobowych, ponieważ osłabia to jego niezależność i obiektywizm.

Dyrektywa NIS 2 nakłada na organizacje liczne obowiązki w zakresie cyberbezpieczeństwa, m.in. przeprowadzanie ocen ryzyka, wdrażanie środków technicznych i organizacyjnych czy zgłaszanie incydentów. Jeśli jednak IOD zostanie zaangażowany w te procesy w sposób decyzyjny, pojawia się problem: w praktyce oceni działania, które sam wcześniej zaplanował lub wdrożył. To klasyczny przykład konfliktu interesów.

Potwierdzają to także decyzje Prezesa UODO, w których jasno wskazano, że powierzanie IOD zadań mogących prowadzić do konfliktu interesów stanowi naruszenie przepisów RODO (np. tutaj). IOD nie może bowiem jednocześnie projektować rozwiązań (np. w zakresie cyberbezpieczeństwa) i być ich późniejszym kontrolerem. Taka podwójna rola podważa jego bezstronność i naraża organizację na ryzyko zarzutu naruszenia przepisów.

Dlatego angażowanie IOD w projekt NIS 2 powinno ograniczać się do roli doradczej i nadzorczej — bez powierzania mu zadań decyzyjnych czy wykonawczych w zakresie cyberbezpieczeństwa. Tylko w ten sposób organizacja może zapewnić jego niezależność, a jednocześnie uniknąć potencjalnych konfliktów interesów.

Czytaj także:


Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>