Polityka i prawo
Inspektor ochrony danych. Dyskusja o problemach w branży
19 września w Warszawie odbyło się spotkanie Międzyzakładowego Związku Zawodowego Inspektorów Ochrony Danych oraz Funkcjonariuszy Bezpieczeństwa Informacji z Prezesem Urzędu Ochrony Danych Osobowych Mirosławem Wróblewskim. Dialog między IOD a PUODO był owocny i rzeczowy.
Inspektor danych osobowych to bardzo ważna rola z punktu widzenia bezpieczeństwa organizacji. Niestety w tym aspekcie również zdarzają się rozmaite patologie – na przykład zatrudnianie IOD bez należytych kompetencji za symboliczne stawki.
Prezes UODO zapoznał uczestników spotkania z działaniami podejmowanymi przez Urząd, m.in. opisał planowaną kooperację z Ministerstwem Cyfryzacji w zakresie reagowania na incydenty.
IOD – widmo
Związkowcy zwrócili uwagę na to, że w wielu organizacjach inspektor danych osobowych to rola, która jest zlecana jako dodatkowy obowiązek. W niektórych przypadkach takie osoby boją się kontaktu z UODO. Wspomniano również o tym, że o zatrudnieniu IOD w jednostkach publicznych decyduje w 100 proc. kryterium cenowe, co może prowadzić to zatrudniania niekompetentnych osób.
„To jest norma – te funkcje traktuje się jak przylepę” – stwierdził jeden ze związkowców.
Podkreślono też, że w RODO nie istnieją konkretne zapisy dotyczące wykształcenia IOD-ów.
Czytaj też
Polityki a praktyki
Wojna na Ukrainie sprawiła, że ochrona danych osobowych zmieniła swoje oblicze. Obecnie konieczne jest podejmowanie praktycznych działań. Jedna z osób stwierdziła, że w wielu jednostkach „ochrona danych osobowych sprowadza się do napisania martwej polityki”. Przytoczono również sytuację, gdzie dokumentacja była jedynie szablonami do wypełnienia, a funkcja IOD służyła… wypisaniu jej na stronie internetowej.
Kolejną poruszoną kwestią był brak świadomości i odpowiedzialności, który niestety bywa spotykany w różnych organizacjach. „Mnie RODO nie dotyczy” – takich słów miał użyć jeden z wójtów gmin, co przytoczyła jedna z osób.
Wspomniano również o tym, że rola IOD jest ”często zagarniona przez prawników, którzy nie znają specyfiki danej instytucji”.
Rola analizy ryzyka
Duży nacisk został położony na omówienie roli analizy ryzyka w organizacjach, która w wielu przypadkach jest przeprowadzona nieprawidłowo. Związkowcy podkreślili, że poprawna analiza ryzyka jest fundamentem Krajowego Systemu Cyberbezpieczeństwa.
Czytaj też
UODO, Ministerstwo Cyfryzacji i NASK
Prezes UODO poinformował, że Urząd prowadzi wspólne prace z Ministerstwem Cyfryzacji w celu stworzenia jednolitego systemu zgłaszania naruszeń. Jednostką odpowiedzialną za to rozwiązanie będzie system zarządzania cyberbezpieczeństwem S46, działający w ramach NASK.
Kierunek działań instytucji jest słuszny, ponieważ często incydent ochrony danych osobowych jest tożsamy z incydentem cyberbezpieczeństwa, np. podczas ataków ransomware.
W tym roku informowaliśmy o trzech takich zdarzeniach. Zaatakowano Starostwo Powiatowe w Świebodzinie, Miejsko-Gminny Ośrodek Pomocy Społecznej w Sędziszowie Małopolskim oraz Powiatowy Urząd Pracy w Policach.
Czytaj też
27 pytań - panaceum dla IOD
Urząd Ochrony Danych Osobowych podkreślił swoją rolę jako strażnika obowiązującego prawa oraz pomocnika IOD-ów. Reprezentantka UODO przytoczyła art. 58 ust. 3 RODO, który podsumowano: ”IOD to nasi najważniejsi parterzy, którym oferujemy bezpłatną pomoc”.
UODO podkreśliło znaczenie listy 27 pytań, które były kierowane m.in. do administratorów danych. Wspomniane zestawienie zostało opublikowane w marcu 2022 roku i jest dostępne na stronie Urzędu.
Działania Urzędu Ochrony Danych Osobowych
UODO zapewniło związkowców o podejmowanych działaniach. Są nimi m.in. liczne inicjatywy edukacyjne. Wspomniano również, że pojmowanie IOD jako odizolowanej jednostki jest błędnym myśleniem.
Urząd zaznaczył, że psucie rynku poprzez zewnętrznych IOD dających jedynie szablony za określoną sumę pieniędzy jest ”szczególnie naganne”. Kluczowe jest również nieobciążanie IOD obowiązkami administratorów danych osobowych.
PUODO poinformował również o pracach mających na celu uwzględnienie stanowiska inspektora danych osobowych w wykazie stanowisk urzędniczych. Stosowne pismo zostało skierowane 3 lipca do Szefowej Służby Cywilnej. Obecnie pomysł ma być konsultowany przez ministerstwa.
Warto odnotować, że otwarcie administracji publicznej na dialog ze specjalistami w danej dziedzinie jest słusznym kierunkiem. Niedawno nasza redakcja przeprowadziła rozmowę z PUODO w serwisie LinkedIN.
Czytaj też
Kwestia kar i szkoleń
Ciekawym aspektem było to, że kary wynikające z RODO nie muszą mieć wymiaru finansowego. Czasowe lub stałe zawieszenie przetwarzania danych to jedna z mało znanych sankcji, które należy mieć na uwadze.
Przewodniczący MZZ Jacek Zontek przytoczył przykład jednej z osób, która z własnych środków opłaca jeden z branżowych certyfikatów, bez możliwości wsparcia ze strony żadnej z instytucji. Pomysł utworzenia stosownego budżetu szkoleniowego to jedna z możliwości wzrostu kompetencji IOD.
Podsumowanie
Spotkanie należy uznać za owocne. Zarówno UODO i MZZ wykazali dalszą chęć współpracy w celu wsparcia IOD.
PUODO wyraził nadzieję, że to nie ostatnie spotkanie w tym gronie.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
user_1071288
Co to jest w ogóle za związek? Nie ma o nim nigdzie informacji, oprócz KRS. Skąd się nagle wziął Międzyzakładowy Związek Zawodowy Inspektorów Ochrony Danych oraz Funkcjonariuszy Bezpieczeństwa Informacji?