Jako iSecure od dawna świadczymy usługi w zakresie outsourcingu – przed 25 maja 2018 r. była to funkcja zewnętrznego administratora bezpieczeństwa informacji (ABI), a od momentu obowiązywania RODO, zewnętrznego inspektora ochrony danych (IOD). A że działamy na rynku od 2010 r. spokojnie możemy pokusić się o próbę pokazania tak zalet jak i wad takiego outsourcingu.
Istnieją organizacje, które mają obowiązek wyznaczenia inspektora ochrony danych, ale z moich obserwacji wynika, że sporo podmiotów, pomimo braku takiego wymogu, powołuje IOD z dwóch powodów:
- na tzw. wszelki wypadek, bo gdyby się okazało, że jednak mamy taki obowiązek, to nie ma problemu kary, która grozi za jego niepowołanie,
- z chęci wyznaczenia konkretnej osoby do nadzorowania tematyki ochrony danych osobowych mimo braku formalnego wymogu, ponieważ organizacja czuje, że jest to istotne.
Wydaje się, że najlepszym rozwiązaniem jest zatrudnienie takiej osoby na oddzielne stanowisko i z tym jestem w stanie się zgodzić, jednak i w takim rozwiązaniu widzę pewne wady, ale o tym później. Takie rozwiązanie najlepiej sprawdza się w dużych jednostkach, często w grupach przedsiębiorstw czy firmach posiadających wiele oddziałów. Mniejsze podmioty mogą po prostu nie mieć budżetu na zatrudnienie wykwalifikowanego specjalisty. Należy bowiem pamiętać, że koszty osobowe to nie jedyny wydatek związany z etatem inspektora ochrony danych. Nasz IOD powinien na bieżąco podnosić swoje kwalifikacje np. poprzez uczestnictwo w szkoleniach i seminariach, dostęp do fachowej literatury, ponieważ bez tego może nie nadążyć za wszelkimi istotnymi zmianami, przepisów prawa, czy też ich interpretacji, nie mówiąc już o nowinkach związanych z rozwojem nowych technologii, które także mogą mieć ogromny wpływ choćby na bezpieczeństwo danych osobowych.
Wyznaczony inspektor ochrony danych powinien mieć odpowiednie kwalifikacje zawodowe i na pewno fachową wiedzę na styku prawa i IT oraz praktykę w dziedzinie ochrony danych osobowych. Największym błędem przy wyznaczeniu IOD jest nakazanie decyzją służbową, zatrudnionemu już na innym stanowisku pracownikowi czy współpracownikowi, wykonywania dodatkowo zadań IOD. Nawet jeżeli „mianowana” osoba posiada odpowiednie kwalifikacje, ale wykonywanie dotychczasowych obowiązków jest dla niej na tyle angażujące, że na obowiązki IOD po prostu może nie starczyć czasu, to takie wyznaczenie powoduje potencjalny konflikt interesów i finalnie może doprowadzić do niezgodności z RODO. Niestety jest to bardzo częsta praktyka nawet wśród podmiotów mających obowiązek wyznaczenia IOD.
Etatowy IOD zapewnia niewątpliwie następujące korzyści:
- organizacja ma go na wyłączność i bezpośrednio na miejscu
- własny pracownik jest również na przysłowiowe „każde zawołanie”
Dodatkowo przy dużych podmiotach albo takich, które posiadają złożoną strukturę terytorialną (centrala, oddziały, biura sprzedaży, itp.) jak również przy grupach kapitałowych, do zalet można jeszcze dodać:
- dobrą znajomość słabych stron organizacji poprzez stałą w niej obecność
- lepsze spojrzenie na potrzeby biznesowe organizacji
- większą znajomość specyfikacji organizacji
Wygląda to całkiem nieźle, ale żeby móc to porządnie ocenić, konieczne jest teraz spojrzenie na zalety i wady zewnętrznego inspektora ochrony danych.
Zacznę od aspektu finansowego, ponieważ na początku artykułu wspominałam o budżecie. Przy outsourcingu IOD jest on przynajmniej trzykrotnie niższy niż ten, który należałoby zapewnić przy zatrudnieniu inspektora na etat. Odchodzą również koszty systematycznego szkolenia takiej osoby, ponieważ specjaliści w firmach oferujących takie usługi szkolą się na bieżąco oraz wymieniają zdobytą wiedzą z pozostałymi specjalistami. Zwłaszcza ten ostatni aspekt ma niebagatelne znaczenie – wszak forum wymiany informacji z innymi profesjonalistami to podstawa do skutecznego wspierania Klienta przy obsłudze w zakresie ochrony danych osobowych.
Bardzo dużą zaletą jest posiadane doświadczenia przez IOD zdobytego u wcześniej lub równolegle obsługiwanych Klientów. Często zdobyta w ten sposób praktyka jest bardziej wartościowa niż np. samo wykształcenie prawnicze albo ukończenie coraz popularniejszych studiów podyplomowych z ochrony danych osobowych. Osobiście mam wykształcenie informatyczne, ale po 12 latach pełnienia funkcji ABI/IOD, na ten moment jestem już chyba bardziej prawnikiem niż informatykiem :).
Jeżeli chodzi o dostępność IOD, to rzeczywiście etatowiec co do zasady jest na miejscu, jednak z zewnętrznym IOD zawsze można umówić się na spotkanie bezpośrednie lub zorganizować z nim spotkanie online co zwłaszcza w czasach pandemii stało się bardzo popularne. Oczywiście każda szanująca się firma świadcząca omawiane usługi zapewnia swoim klientom dostępność IOD via telefon i e-mail na bieżąco. Outsourcing IOD to także zapewnienie ciągłości usług bez względu na urlop czy chorobowe. Oczywiście nie oznacza to, że dedykowany do obsługi IOD nie chodzi na urlopy (wypoczęty IOD to najlepszy IOD 🙂 ) czy nie choruje (niestety…), ale w tym czasie zawsze jest zastępowany przez specjalistę o analogicznych kompetencjach co gwarantuje profesjonalny dostawca usługi. Co więcej, gdy zaistnieje taka potrzeba np. przy jakimś projekcie Klienta, IOD może otrzymać wsparcie ze strony dodatkowego specjalisty zatrudnionego w firmie świadczącej usługi outsourcingu np. informatyka zorientowanego na kwestie bezpieczeństwa IT.
Pamiętajmy też, że istnieje możliwość elastycznego świadczenia usług IOD np. klient może zapewnić sobie stały dyżur IOD w określonym dniu tygodnia czy miesiąca. W ten sposób można bardzo łatwo zniwelować jedną z zalet etatowego IOD, o której pisałam wcześniej.
Z moich obserwacji wynika też, że zewnętrzny IOD posiada zdecydowanie większą siłę przebicia w kontaktach z kadrą zarządzającą organizacji. Zewnętrznemu IOD na pewno też łatwiej zmobilizować pracowników Klienta do przekazania np. informacji niezbędnych do przeprowadzenia audytu.
Nie można też nie wspomnieć o tym, że jedną z ważniejszych zalet outsourcingu jest rzeczywista niezależność zewnętrznego IOD. Etatowy IOD może być podatny na naciski ze strony swojego pracodawcy ze względu na chęć, a tak naprawdę potrzebę utrzymania pracy. Priorytetem firmy oferującej usługę outsourcingu IOD jest realizowanie tejże usługi w sposób profesjonalny i w pełni zgodny z przepisami, dlatego każde zalecenie wydane przez reprezentującego ją specjalistę, będzie zawsze podtrzymane, nawet jeżeli nie będzie się podobało reprezentantom Klienta. Firma oferująca usługę outsourcingu IOD nie może sobie pozwolić na utratę reputacji poprzez brak niezależności, nawet kosztem utraty Klienta.
Na koniec chciałabym podsumować zalety posiadania zewnętrznego inspektora ochrony danych, których przeciwieństwa mogą być potencjalnie wadami w przypadku zatrudnienia IOD na etacie:
- niższy budżet
- powołanie osoby z odpowiednimi kwalifikacjami
- stałe podnoszenie kwalifikacji
- praktyka i doświadczenie wynikające z realizacji zadań u innych Klientów
- dostęp do specjalistcznej wiedzy w ramach zespołu firmy świadczącej usługi outsourcingu
- zapewnienie ciągłości obsługi (brak urlopów, chorobowego, itp.)
- silna pozycja w relacjach z kadrą zarządzającą
- pełna niezależność
Jednym z brutalnych plusów, które również należy mieć na uwadze będzie kwestia ew. odszkodowania za wyrządzenie szkody. W przypadku etatowego pracownika odszkodowanie za wyrządzoną szkodę, w przypadku nieumyślnego działania, nie może przewyższać kwoty jego trzymiesięcznego wynagrodzenia, a jak wiemy, sankcje przewidziane w RODO są zdecydowanie większe… Natomiast odpowiedzialność z firmą zewnętrzną zawsze można negocjować, a do tego wiele tego typu podmiotów korzysta również z wyspecjalizowanych polis ubezpieczeniowych.
