Inspektor Ochrony Danych – to nowy ABI. Sprawdź, czy koniecznie trzeba go zatrudniać.

 

Dotychczasowe przepisy pozostawiały firmom wolną rękę odnośnie powołania specjalisty zajmującego się bezpieczeństwem danych (ABI). W myśl RODO takiej dowolności już nie ma – nowe prawo nakłada na niektóre firmy obowiązek zatrudnienia Data Protection Officera (DPO), czym w polskiej nomenklaturze jest Inspektor Ochrony Danych (IOD).

adult business businessman 618613

Choć polska Ustawa o Ochronie Danych Osobowych przewidywała funkcję Administratora Bezpieczeństwa Informacji (ABI), to występujący w RODO inspektor pełni odmienne funkcje.

Obowiązek zatrudnienia takiego inspektora mają przede wszystkim państwowe
i samorządowe jednostki organizacyjne. W grupie podmiotów zobligowanych do zatrudnienia takiego specjalisty znajdują się również jednostki wykonujące zadania publiczne, takie jak ochrona zdrowia, edukacja, dostawa energii czy wody.

Co więcej, obowiązek ten dotyczy również przedsiębiorstw, których działanie wymaga regularnego i systematycznego przetwarzania danych na dużą skalę. Przykładem może być platforma dla sklepów internetowych, której zadaniem jest przetwarzanie składanych zamówień.

Jeśli firma, która nie ma ustawowego obowiązku powoływania IOD zdecyduje się nie zatrudniać takiego specjalisty, musi to uzasadnić w ramach opracowanej polityki bezpieczeństwa.

RODO nie nakłada ograniczeń dotyczących formy zatrudniania IOD[1]. Może to być zarówno etatowy pracownik, jak i zewnętrzny specjalista. Osoba zatrudniona zewnętrznie musi spełniać wszystkie wymogi stawiane na tym stanowisku. W myśl przepisów jest to gwarancja niezależności, łatwość nawiązania kontaktu i współpracy z firmą, właściwe i terminowe włączanie go we wszystkie sprawy dotyczące ochrony danych osobowych oraz unikanie konfliktu interesów.

IOD w organizacji – szanse i wyzwania[2]

Podstawową zaletą zatrudniania IOD na stałe w organizacji jest możliwość szybkiego włączenia go w procesy w firmie. Co więcej, gwarantuje to pracodawcy znacznie lepszy wgląd w pracę zatrudnionego pracownika odpowiedzialnego za bezpieczeństwo.

Jednak obecność IOD jako stałego pracownika wiąże się nie tylko z korzyściami. Podstawowe wyzwanie to znalezienie człowieka o odpowiednich kwalifikacjach. W myśl RODO musi to być osoba o fachowej wiedzy na temat prawa i praktyk w zakresie ochrony danych osobowych. Powinna także mieć zarówno praktyczną jak i teoretyczną wiedzę na temat RODO oraz krajowych regulacji. Akt prawny bezpośrednio nie precyzuje wymagań formalnych. Jednak w interesie organizacji jest powierzenie tego stanowiska osobie o możliwie najwyższych kompetencjach, potwierdzonych wykształceniem
i certyfikatami. Choć potencjalnie stanowisko IOD może zająć praktykant, to  byłoby to nierozsądne i niebezpieczne.

Oprócz znalezienia fachowca oraz zapewnienia mu wynagrodzenia, firma musi również zapewnić pracownikowi środki na utrzymanie i rozwijanie wiedzy. IOD wewnątrz organizacji jest rozwiązaniem drogim, choć w wielu przypadkach (na przykład w dużych przedsiębiorstwach przetwarzających dane) niezbędnym.

Outsourcing IOD

RODO nie wyłącza odpowiedzialności żadnej firmy za przetwarzane dane osobowe niezależnie od wielkości, obrotu czy branży. Takie same zasady dotyczą banków oraz największych sklepów internetowych, lokalnych przedszkoli czy przychodni. Choć w ich przypadku powołanie IOD może okazać się konieczne ze względów formalnych, zatrudnianie stałego pracownika mija się z celem. Zatrudniony ekspert nie będzie miał wystarczająco dużo pracy, a sama organizacja nie zawsze ma odpowiednie środki.

Z tego względu istnieje możliwość zlecania tego typu usług na zewnątrz, zarówno samodzielnym ekspertom, jak i wyspecjalizowanym firmom. W przypadku podmiotów takich jak przedszkola, przychodnie i urzędy szansą jest również zatrudnienie jednego inspektora do kilku organizacji, aby w każdej z nich wykonywał on swoje obowiązki w ramach części etatu.

Zapewnienie zewnętrznemu ekspertowi dostępu do wszystkich procesów
w przedsiębiorstwie jest trudniejsze niż w przypadku pracownika na etacie. Jednak zewnętrzni eksperci to w wielu sytuacjach korzystniejszy wybór również dla większych organizacji.

Jedną z najważniejszych zalet outsource’owania tego typu usług jest możliwość sięgnięcia po specjalistów zazwyczaj nieosiągalnych jako pracownicy zatrudnieni na etat, na przykład pracowników kancelarii prawnych. Co więcej, RODO daje możliwość rozdzielenia obowiązków IOD na cały zespół. Oznacza to, że organizacja o specyficznych lub wyjątkowych potrzebach, związanych z przetwarzaniem danych osobowych, może uzyskać dostęp do całej grupy ekspertów o wąskich kwalifikacjach, którzy zapewnią jej znacznie lepszy poziom obsługi niż nawet najbardziej kompetentny pracownik wewnątrz.

Nie bez znaczenia jest również fakt, że zawarta z zewnętrznym podmiotem umowa umożliwia później dokładne ustalenie odpowiedzialności. W przypadku ewentualnych uchybień możliwe jest dochodzenie swoich praw na drodze powództwa cywilnego.

Podsumowanie

Pozornie outsourcing jest rozwiązaniem dla mniejszych organizacji, podczas gdy większe firmy powinny zatrudnić stałego pracownika zajmującego się ochroną danych osobowych. W praktyce jednak zewnętrzni eksperci są w stanie zaoferować wartości nieosiągalne dla nawet najlepszego pracownika w firmie. Przesłanki, w zależności od branży i skali działalności, mogą być zupełnie inne.

 

 

[1]     https://abi.giodo.gov.pl/inspektor-ochrony-danych/forma-zatrudnienia-inspektora-ochrony-danych

[2]     https://abi.giodo.gov.pl/inspektor-ochrony-danych/kwalifikacje-do-pelnienia-funkcji