INSPEKTOR OCHRONY DANYCH to KONIECZNOŚĆ OD 25 MAJA 2018 r.

By 28 listopada 2017Blog

Risk-based

Zmiany wprowadzone w maju 2016 r. do porządku prawnego ochrony danych osobowych przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
w sprawie ochrony osób fizycznych […]– dalej zwanym: RODO) – należy dostrzegać już dziś. Pozostało nam pół roku na przygotowanie się do podjęcia decyzji o organizacji ochrony danych w nowym stanie prawnym. W niniejszym opracowaniu poddano analizie zapisy art. 37 ust. 5 Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Zapisy art. 24 ust. 1 RODO określają obowiązki administrator / dyrektora w zakresie celu i charakteru przetwarzania danych oraz możliwość wykazania zgodnego z rozporządzeniem zabezpieczenia danych w wymiarze organizacyjnym. Dla prawidłowej wykładni przedmiotowego przepisu niezbędne jest zastosowanie wykładni w oparciu o obowiązujące akty prawne z obszaru regulacji odnoszących się do kwalifikacji zawodowych. W obecnym stanie prawnym administrator danych osobowych w tym rozumieniu administrator może:

schemt1

Schemat nr 1

*) USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 poz. 922)

Wariant pierwszy oznacza sprawowanie nadzoru nad procesami przetwarzania danych osobowych przez wybraną, a następnie powołaną i zgłoszoną do GIODO osobę lub reprezentanta usługodawcy w pełni realizującą zadania ustawowe.

Wariant drugi określa zadania i czynności ustawowe wykonywane przez samego administratora, co podkreślono w stanowisku GIODO.

ADMINISTRATORZE PAMIĘTAJ

Od 25 maja 2018 r obowiązkiem administratora danych będzie – wyznaczenie Inspektora Ochrony Danych Osobowych (dalej jako: IODO) i dokonanie zmian przepisów wewnętrznych placówki zgodnie z ustawowymi delegacjami. W celu zilustrowania szczegółowych działań administratora danych zakres czynności ujęto w formie tabelarycznego bilansu potrzeb z komentarzem i wariantami rozwiązań.

SPECYFIKACJA ISTOTNYCH WARUNKÓW BEZPIECZEŃSTWA INFORMACJI

Zadanie 1 – weryfikacja kandydata na IODo

  1. Art. 37 ust 5 – Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk
    w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa
    w art. 39.

Definicja – kwalifikacja to określony, formalnie potwierdzony zestaw efektów uczenia się, czyli wiedzy, umiejętności i kompetencji społecznych. Uzyskiwany w wyniku procesu potwierdzania kompetencji zgodnych z ustalonymi wymaganiami. Wymagania oznaczają następujące w trakcie cyklu kształcenia nabywanie wiedzy oraz przystąpienie i zdanie egzaminu. W ustawie z dnia 22 grudnia 2015 r. o Zintegrowanym Systemie Kwalifikacji (Dz. U. z 2016 r. poz. 64) w art. 2 pkt. 1 definiuje się pojęcie certyfikacji określając je jako proces, „w wyniku którego osoba ubiegająca się o nadanie określonej kwalifikacji, po uzyskaniu pozytywnego wyniku walidacji, otrzymuje od uprawnionego podmiotu certyfikującego dokument potwierdzający nadanie określonej kwalifikacji”. Tym samym zgodnie z polskimi przepisami o Zintegrowanym Systemie Kwalifikacji (ZSK) obejmuje ogół rozwiązań służących ustanawianiu, nadawaniu oraz zapewnianiu jakości tych kwalifikacji. Przez system rozumie się ogół działań państwa związanych z formalnym potwierdzaniem efektów wszelkiego rodzaju uczenia się. Kwalifikacje pełne nadawane są wyłącznie
w systemie oświaty i szkolnictwa wyższego w zróżnicowanych formach edukacyjnych.

Wniosek – osoba potencjalnie wyznaczana do pełnienia czynności Inspektora to kandydat legitymujący się jednoznacznie udokumentowanymi kwalifikacjami zawodowymi,
a dodatkowo –
zgodnie z wytycznymi GIODO musi posiadać umiejętności współmierne do charakteru skomplikowania i ilości danych przetwarzanych w ramach jednostki. Szczególnie istotne w tym zakresie jest rozpoznawanie przepisów prawa oświatowego i specyfiki działania organizacji.

Zadanie 2 – zapewnienie włączania do działań IODO

  1. Art. 38 ust 1 – administrator zapewnia, by inspektor ochrony danych był właściwie
    i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Rolą Inspektora jest systematyczne angażowanie się w procesy związane z przetwarzaniem danych i ocena zgodności ilości gromadzonych, utrwalanych i przechowywanych danych
w różnych operacjach –
np. rekrutacja kandydatów do pracy, monitoring wizyjny organizacji z ograniczeniem czasowym zapisów, usługi zewnętrzne [IT]. Zaangażowanie IODO to także sytuacje utraty danych i wyjaśnienie przyczyn, określenie sprawców zdarzenia i ocena wyrządzonych szkód.

Wniosek – Inspektor w oparciu o przepisy ogólne, resortowe i wewnętrzne procedury dokonuje weryfikacji i oceny przesłanek legalnego przetwarzania danych, a także współpracuje w przygotowaniu zapisów w odpowiednich dokumentach wewnętrznych – statut, schemat organizacyjny, organizacyjna podległość, zadania nadzoru, weryfikacja
i aktualizacja kompleksowej dokumentacji przetwarzania i zabezpieczenia danych.

Zadanie 3 – szkolenia i audyty

  1. Art. 39 ust. 1 lit b – monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

IOD mają obowiązek przeprowadzania wewnętrznych audytów bezpieczeństwa danych, które dla podmiotów realizujących zadania publiczne muszą być zgodne z uregulowaniami zawartymi w § 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności […]. Zapisy art. 37 ust. 5 RODO słusznie zatem zauważają potrzebę posiadania / legitymowania się kwalifikacjami zawodowymi IOD, które można skutecznie uzyskać w zgodności z istniejącymi przepisami prawa krajowego
o warunkach uzyskania uprawnień audytora bezpieczeństwa informacji.

Wniosek – IODO musi posiadać wydany przez jednostkę certyfikującą dokument
o nabyciu uprawnień audytora w obszarach bezpieczeństwa informacji.

Zadanie 4 – doskonalenie IODO

  1. Art. 38 ust. 2 – 2.Administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania,
    a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

W oparciu o Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 7 sierpnia 2014 r.
w sprawie
klasyfikacji zawodów i specjalności na potrzeby rynku pracy oraz zakresu jej stosowania (Dz. U. z 2014 r. poz. 1145 ze zm.), ustawodawca określił pod nr indywidualnego kodu: 242212 umieścił zawód: „Inspektor ochrony danych osobowych”.

Wniosek – Inspektor w nowym porządku prawnym oznacza zawód i wynikającą z niego odpowiedzialność z tytułu wykonania zadań. W brzmieniu cytowanego artykuły ustawodawca wskazuje potrzebę zapewnienia zasobów do wykonania prac na rzecz administratora
i podwyższanie poziomu wiedzy Inspektora.

Zadanie 5 –podległość IODO

  1. Art. 38 ust. 3 – Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora.

Wniosek – podobnie jak w regulacji dotyczącej powołania ABI od 2015 r, Inspektor podlega bezpośrednio Dyrektorowi szkoły. Należy zatem wprowadzić instytucję Inspektora do schematu organizacyjnego szkoły w zgodności z cytowanym przepisem. Ilustracją podległości jest prezentowany schemat nr 2.

schemt2

Schemat nr 2 – przykład podległości Inspektora art. 38 ust. 3

Autor: Jarosław Feliński jest wykładowcą prekursorem kształcenia z zakresu Zarządzania Bezpieczeństwem Informacji od 2004 roku, twórcą autorskiego programu studiów podyplomowych dla ABI od 2013 i IODO od 2016.  Konsultant ODO podmiotów administracji publicznej i przedsiębiorców.  Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych [SIODO].

Zobacz szkolenie Jarosława Felińskiego http://gigacon.org/event/rodo-to-nie-rodeo/