Inspektor ochrony danych. Dyskusja o problemach w branży

Inspektor danych osobowych to bardzo ważna rola z punktu widzenia bezpieczeństwa organizacji. Niestety w tym aspekcie również zdarzają się rozmaite patologie – na przykład zatrudnianie IOD bez należytych kompetencji za symboliczne stawki.

Prezes UODO zapoznał uczestników spotkania z działaniami podejmowanymi przez Urząd, m.in. opisał planowaną kooperację z Ministerstwem Cyfryzacji w zakresie reagowania na incydenty.

IOD – widmo

Związkowcy zwrócili uwagę na to, że w wielu organizacjach inspektor danych osobowych to rola, która jest zlecana jako dodatkowy obowiązek. W niektórych przypadkach takie osoby boją się kontaktu z UODO. Wspomniano również o tym, że o zatrudnieniu IOD w jednostkach publicznych decyduje w 100 proc. kryterium cenowe, co może prowadzić to zatrudniania niekompetentnych osób.

„To jest norma – te funkcje traktuje się jak przylepę” – stwierdził jeden ze związkowców.

Podkreślono też, że w RODO nie istnieją konkretne zapisy dotyczące wykształcenia IOD-ów.

Polityki a praktyki

Wojna na Ukrainie sprawiła, że ochrona danych osobowych zmieniła swoje oblicze. Obecnie konieczne jest podejmowanie praktycznych działań. Jedna z osób stwierdziła, że w wielu jednostkach „ochrona danych osobowych sprowadza się do napisania martwej polityki”. Przytoczono również sytuację, gdzie dokumentacja była jedynie szablonami do wypełnienia, a funkcja IOD służyła… wypisaniu jej na stronie internetowej.

Kolejną poruszoną kwestią był brak świadomości i odpowiedzialności, który niestety bywa spotykany w różnych organizacjach. „Mnie RODO nie dotyczy” – takich słów miał użyć jeden z wójtów gmin, co przytoczyła jedna z osób.

Wspomniano również o tym, że rola IOD jest ”często zagarniona przez prawników, którzy nie znają specyfiki danej instytucji”.

Rola analizy ryzyka

Duży nacisk został położony na omówienie roli analizy ryzyka w organizacjach, która w wielu przypadkach jest przeprowadzona nieprawidłowo. Związkowcy podkreślili, że poprawna analiza ryzyka jest fundamentem Krajowego Systemu Cyberbezpieczeństwa.

UODO, Ministerstwo Cyfryzacji i NASK

Prezes UODO poinformował, że Urząd prowadzi wspólne prace z Ministerstwem Cyfryzacji w celu stworzenia jednolitego systemu zgłaszania naruszeń. Jednostką odpowiedzialną za to rozwiązanie będzie system zarządzania cyberbezpieczeństwem S46, działający w ramach NASK.

Kierunek działań instytucji jest słuszny, ponieważ często incydent ochrony danych osobowych jest tożsamy z incydentem cyberbezpieczeństwa, np. podczas ataków ransomware.

W tym roku informowaliśmy o trzech takich zdarzeniach. Zaatakowano Starostwo Powiatowe w Świebodzinie, Miejsko-Gminny Ośrodek Pomocy Społecznej w Sędziszowie Małopolskim oraz Powiatowy Urząd Pracy w Policach.

27 pytań - panaceum dla IOD

Urząd Ochrony Danych Osobowych podkreślił swoją rolę jako strażnika obowiązującego prawa oraz pomocnika IOD-ów. Reprezentantka UODO przytoczyła art. 58 ust. 3 RODO, który podsumowano: ”IOD to nasi najważniejsi parterzy, którym oferujemy bezpłatną pomoc”.

UODO podkreśliło znaczenie listy 27 pytań, które były kierowane m.in. do administratorów danych. Wspomniane zestawienie zostało opublikowane w marcu 2022 roku i jest dostępne na stronie Urzędu.

Działania Urzędu Ochrony Danych Osobowych

UODO zapewniło związkowców o podejmowanych działaniach. Są nimi m.in. liczne inicjatywy edukacyjne. Wspomniano również, że pojmowanie IOD jako odizolowanej jednostki jest błędnym myśleniem.

Urząd zaznaczył, że psucie rynku poprzez zewnętrznych IOD dających jedynie szablony za określoną sumę pieniędzy jest ”szczególnie naganne”. Kluczowe jest również nieobciążanie IOD obowiązkami administratorów danych osobowych.

PUODO poinformował również o pracach mających na celu uwzględnienie stanowiska inspektora danych osobowych w wykazie stanowisk urzędniczych. Stosowne pismo zostało skierowane 3 lipca do Szefowej Służby Cywilnej. Obecnie pomysł ma być konsultowany przez ministerstwa.

Warto odnotować, że otwarcie administracji publicznej na dialog ze specjalistami w danej dziedzinie jest słusznym kierunkiem. Niedawno nasza redakcja przeprowadziła rozmowę z PUODO w serwisie LinkedIN.

Kwestia kar i szkoleń

Ciekawym aspektem było to, że kary wynikające z RODO nie muszą mieć wymiaru finansowego. Czasowe lub stałe zawieszenie przetwarzania danych to jedna z mało znanych sankcji, które należy mieć na uwadze.

Przewodniczący MZZ Jacek Zontek przytoczył przykład jednej z osób, która z własnych środków opłaca jeden z branżowych certyfikatów, bez możliwości wsparcia ze strony żadnej z instytucji. Pomysł utworzenia stosownego budżetu szkoleniowego to jedna z możliwości wzrostu kompetencji IOD.

Podsumowanie

Spotkanie należy uznać za owocne. Zarówno UODO i MZZ wykazali dalszą chęć współpracy w celu wsparcia IOD.

PUODO wyraził nadzieję, że to nie ostatnie spotkanie w tym gronie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].