IODo-DPO

IOD/DPO - umiejętności, wiedza, zaangażowanie oraz zakres prac i obowiązków


Krzysztof Sługocki, 12.12.2018Krzysztof.Slugocki@gmail.com

Propozycja ta powstała w konsekwencji realizacji moich ostatnich zobowiązań względem kilku organizacji. Publikacją tej propozycji nie aspiruję do czegokolwiek – publikuję, bo rzecz się w tych kilku miejscach chyba oczekiwanie sprawdziła. Brałem ostatnio udział także w pewnej rozmowie – najwłaściwiej to chyba należy napisać – kwalifikacyjnej. Za zadanie miałem nakreślić charakterystykę „Mistrza IODo od RODO”. No i nakreślona tu charakterystyka się „zakwalifikowała”. Jest to propozycja przepisu (opisu, algorytmu, charakterystyki) na zaistnienie „oczekiwanie dobrego, skutecznego i pożądanego inspektora ochrony danych osobowych – IOD/DPO” w zakresie odpowiedzi na pytanie: jakie są najważniejsze etapy zdobywania wiedzy i umiejętności, zaangażowania, prac i zakresy obowiązków realizowania się IOD/DPO? Można z tego opisu dowolnie korzystać w miarę potrzeb, celów i możliwości.

(1) Wstęp

Jest to jedna z wielu możliwych form zaistnienia takiej propozycji – może być dowolnie modyfikowana i dopasowywana do danej Organizacji. W przypadku Organizacji, która formalnie nie jest zobowiązana do zaistnienia w niej IOD/DPO, w uznaniu autora tych treści oraz w oparciu o dotychczasowe doświadczenie – także powinna zaistnieć „osoba wiodąca” w ochronie danych osobowych (z adekwatnie do potrzeb podobnym zakresem koniecznych prac i obowiązków).

(2) Kwestie fundamentalne (w skrócie)

Z szerokiego opisu zawartego poniżej, przygotowanego w oparciu o wskazywane w nim kluczowe przepisy RODO, wynikają w streszczeniu następujące kwestie fundamentalne dla wykonywania obowiązków IOD/DPO (w takiej też kolejności wskazywane etapy realizowania się IOD/DPO powinny być wprowadzane):

  1. Nabycie koniecznej wiedzy i umiejętności oraz realizacja uświadamiania wszystkich tych w danej Organizacji, którzy mają do czynienia z danymi osobowymi, że mają do czynienia z danymi osobowymi oraz z konsekwencjami (w rozumieniu RODO) tego faktu.
  2. Planowe i adekwatne dla danej Organizacji nadzorowanie budowania, korygowania i doskonalenia stanu zaistnienia rejestru (katalogu) czynności przetwarzania jako najbardziej pożądanego i skutecznego narzędzia w realizacji obowiązków wynikających z RODO.
  3. Budowanie stanu wykazywania (najlepiej poprzez ciągle doskonalony rejestr czynności przetwarzania) zgodnego z prawem przetwarzania danych osobowych względem wszystkich skatalogowanych czynności przetwarzania.
  4. Budowanie stanu skutecznej i ciągle doskonalonej realizacji obowiązków informacyjnych wobec podmiotów danych osobowych względem wszystkich skatalogowanych czynności przetwarzania.
  5. Budowanie stanu świadomej gotowości (co do trybów i zakresów) wykonywania praw przez osobę (podmiot danych), której dane osobowe dotyczą w ramach danej czynności przetwarzania.
  6. Budowanie i doskonalenie ciągłości stanu uwzględniania charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyk naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia oraz stanu wdrażania odpowiednich środków technicznych i organizacyjnych tak aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać (najlepiej poprzez adekwatnie i stosownie rozbudowywany i doskonalony rejestr czynności przetwarzania).
  7. Dokonywanie i doskonalenie ocen ryzyk (ocen ciągłych i powtarzalnych; względem skatalogowanych czynności przetwarzania) naruszenia praw lub wolności (doskonalenie metodologii dokonywania tych ocen powinno być adekwatne do danych czynności przetwarzania).
  8. Dokonywanie i doskonalenie (w konsekwencji oceny ryzyk) oceny skutków realizowanych i planowanych czynności przetwarzania dla ochrony danych osobowych (dla ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych).
  9. Do równie fundamentalnych należą także wskazania zawarte niżej w punkcie (16) i (17).

(3) Centralna idea RODO

Centralna idea RODO została ustanowiona brzmieniem art. 5 ust. 2: „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”. Jedną z najskuteczniejszych możliwości wypełnienia obowiązku wynikającego ze wskazanego wyżej przepisu jest zaistnienie w danej Organizacji (nie dotyczy to wszystkich organizacji) inspektora ochrony danych osobowych (IOD/DPO), którego głównym celem podejmowanych działań ma być dążenie do wypełnienia obowiązku wynikającego ze wskazanego wyżej przepisu we wszystkich aspektach przepisów pozostałych.

(4) RODO stosuje się do… czynności przetwarzania

W art. 2 ust. 1 stanowi się, że „rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”. Czyli w pierwszym etapie działań podejmowanych przez IOD/DPO ma być doprowadzenie do zaistnienia stanu rozpoznania zasobów (informacje, procesy, ludzie,…) danej Organizacji pod kątem wskazania tych, gdzie występują dane osobowe, które są przetwarzane w sposób całkowicie lub częściowo zautomatyzowany (czynność przetwarzania) lub są przetwarzane w sposób inny niż zautomatyzowany poprzez zbiór danych osobowych (w zbiorze, ze zbioru, do zbioru) (to także czynność przetwarzania). Ukoronowaniem tego etapu jest zaistnienie rejestru (katalogu) czynności przetwarzania w rozumieniu art. 30. Rejestr czynności przetwarzania powinien być w sposób ciągły aktualizowany (a także udoskonalany w miarę bieżących potrzeb i stanu świadomości).

(5) Rejestr czynności przetwarzania

Zaistnienie rejestru czynności przetwarzania (etap drugi) powinno przyczynić się (zatem jego konstrukcja i zawartość powinna temu sprzyjać) do wykazania przestrzegania art. 5 ust. 1 w odniesieniu do wyszczególnionych tam zasad dotyczących przetwarzania danych osobowych względem każdej ze skatalogowanych czynności przetwarzania (w ramach sprzężenia zwrotnego w tym etapie nastąpić tu właśnie powinna nadzorowana prze IOD/DPO aktualizacja i doskonalenie samego rejestru czynności przetwarzania).

(6) Zasady przetwarzania

Najważniejszą zasadą (art. 5 ust. 1) jest zasada „przetwarzania zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”)”. A to oznacza, że najlepiej poprzez właśnie odpowiednio modyfikowany i doskonalony rejestr czynności przetwarzania, IOD/DPO powinien dążyć do wykazywania (art. 5 ust. 2) zgodnego z prawem przetwarzania w rozumieniu art. 6 ust. 1.

(7) Najważniejszy obowiązek IOD/DPO

Najważniejszą kwestią realizacji wskazywanych tu kolejnych etapów działań podejmowanych przez IOD/DPO jest ciągłość konieczności angażowania tych wszystkich w danej Organizacji, którzy mają do czynienia z danymi osobowymi w ramach danych czynności przetwarzania. Konieczną rzeczą (i to jest główny obowiązek IOD/DPO) jest budowanie nowego stanu świadomości pojmowania ochrony danych osobowych – dotyczy to tych wszystkich w danej organizacji, którzy mają, być może mają lub będą mieli do czynienia z danymi osobowymi. Idea nadrzędna: „Tylko świadomy klient wewnętrzny pozwoli przygotować i wprowadzić w danej Organizacji skuteczną, zgodną z prawem, rzetelną i przejrzystą realizację obowiązku ochrony danych osobowych w rozumieniu RODO”.

(8) Wykazywanie zgodnego z prawem przetwarzania

W nowym stanie prawnym ochrony danych osobowych chodzi po prostu o to, że każdy, kto ma do czynienia ze zautomatyzowanym przetwarzaniem danych osobowych lub z przetwarzaniem danych osobowych poprzez zbiór danych osobowych (w zbiorze, ze zbioru, do zbioru,…), czyli inny niż zautomatyzowany – czyli każdy kto ma do czynienia z czynnością przetwarzania danych osobowych winien być świadom tego, że ma do czynienia z czynnością przetwarzania i musi zaistnieć stan możliwości wykazania tej świadomości (najlepiej kojarzony z rejestrem czynności przetwarzania) oraz musi zaistnieć stan możliwości wykazania zgodnego z prawem przetwarzania w rozumieniu art. 6 ust. 1 RODO.

(9) Obowiązek informacyjny

Tak rozumiany stan istnienia rejestru czynności przetwarzania powinien wspomóc (można to rozumieć jako kolejny etap lub w ramach danego dziejącego się etapu) wypełnianie obowiązków wynikających z art. 13 i 14. Chodzi o skuteczne (w rozumieniu art. 12) wypełnianie obowiązków informacyjnych wobec tych, których dane osobowe są przetwarzane w ramach danej czynności przetwarzania.

(10) Prawa podmiotów danych

Jednym z najważniejszych elementów tego zakresu obowiązków są tryby wykonywania praw przez osobę, której dane osobowe dotyczą w ramach danej czynności przetwarzania. IOD/DPO powinien doprowadzić do stanu świadomego wypełniania obowiązków informacyjnych przez tych, którzy mają do czynienia z przetwarzaniem danych osobowych w ramach skatalogowanych czynności przetwarzania oraz powinien wspomagać wykonywanie skatalogowanych w odniesieniu do danych czynności przetwarzania praw (w szczególności w odniesieniu do art. 15-22 i 34) tych, których przetwarzane dane dotyczą (o ile zaistnieje konieczność realizacji tych praw).

(11) Wdrażanie odpowiednich środków

Względem skatalogowanych czynności przetwarzania IOD/DPO zdecydowanie najbardziej znacząco powinien w ramach swych działań przyczyniać się do (art. 24) „uwzględniania charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyk naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” oraz do „wdrażania odpowiednich środków technicznych i organizacyjnych” tak „aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać”. Czyli na pierwszym planie w dalszym ciągu powinien się znajdować ciągle rozbudowywany i doskonalony rejestr czynności przetwarzania jako najważniejsze narzędzie wypełniania kluczowych obowiązków. W tym kontekście właśnie w tym samym art. 24 dalej się stanowi: „Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

(12) Polityki ochrony danych

IOD/DPO powinien, względem coraz lepiej skatalogowanych (zmapowanych) czynności przetwarzania, przyczyniać się, inicjować, współtworzyć, nadzorować,… polityki ochrony danych – czyli tu dalej w rozumieniu art. 24 ust. 2 – „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych”.

(13) Ocena ryzyka naruszenia praw i wolności

W ramach realizacji obowiązków związanych z wypełnianiem art. 24 najważniejsze kwestie są wskazywane brzmieniem art. 32: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”. Czyli w ramach swych działań IOD/DPO względem skatalogowanych (właściwie i świadomie w tych aspektach zmapowanych) czynności przetwarzania podejmuje się dokonywania (ciągłej, powtarzalnej, doskonalonej) oceny ryzyka naruszenia praw lub wolności (metodologia dokonywania tych ocen powinna być adekwatna do danych czynności przetwarzania).

(14) DPIA względem planowanych czynności przetwarzania

W konsekwencji działań podejmowanych w związku z art. 24 i 32 IDO/DPO powinien najbardziej znacząco się przyczynić do realizacji obowiązków wynikających z art. 35: „Jeżeli dany rodzaj przetwarzania” (w ramach skatalogowanych czynności przetwarzania) – „w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”. W literaturze przedmiotu ten etap jest określany mianem realizacji DPIA.

(15) DPIA względem dziejących się czynności przetwarzania

Co do zasady jest tu mowa o „ocenie skutków planowanych operacji przetwarzania dla ochrony danych osobowych”, której dokonuje się „przed rozpoczęciem przetwarzania” w ramach „planowanych” czynności przetwarzania. Ale zaleca się aby – zanim zostanie osiągnięty etap dotyczący planowanych czynności przetwarzania – DPIA dokonywać względem także już skatalogowanych (dziejących się i zmapowanych) czynności przetwarzania, jeżeli „ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem” przetwarzanie danych osobowych w ramach danej czynności przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (w ramach ciągłości rozpoznawania takiego ryzyka).

(16) Inne etapy, obowiązki, prace

Ewentualne kolejne „etapy” prac IOD/DPO mogą być związane: ze współpracą z krajowym organem nadzorczym, z monitorowaniem ewentualnych zatwierdzanych kodeksów postępowania, ze współpracą z podmiotami przetwarzającymi i innymi administratorami, z procesami certyfikacyjnymi, z przekazywaniem danych osobowych do państw trzecich lub organizacji międzynarodowych.

(17) Dodatkowe, niezbędne i zasadne zaangażowania i inspiracje

IOD/DPO powinien także w sposób ciągły: doskonalić swoją wiedzę i praktykę działań, weryfikować swoją wiedzę i podejmowane działania w szczególności poprzez pielęgnowanie szerokich kontaktów z podobnie zaangażowanymi osobami i podmiotami, uczestniczyć w znaczących wydarzeniach związanych z ochroną danych osobowych; śledzić na bieżąco działania różnych krajowych organów nadrzędnych w UE; śledzić na bieżąco orzecznictwo krajowe (a także UE jak i w innych krajach); mieć dostęp do aktualnej literatury dotyczącej ochrony danych osobowych.

(18) Uzupełnienie

RODO, Rozdział IV Administrator i podmiot przetwarzający, Sekcja 4 Inspektor ochrony danych

Artykuł 37 Wyznaczenie inspektora ochrony danych

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

2. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

3. Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.

4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

7. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

Artykuł 38 Status inspektora ochrony danych

1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Artykuł 39 Zadania inspektora ochrony danych

1. Inspektor ochrony danych ma następujące zadania:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.