iSecure logo
Blog

Zewnętrzny Inspektor Ochrony Danych (IOD) – wady i zalety

Zakres danych w umowach o świadczenie usług telekomunikacyjnych
Kategorie

Jako iSecure od dawna świadczymy usługi w zakresie outsourcingu – przed 25 maja 2018 r. była to funkcja zewnętrznego administratora bezpieczeństwa informacji (ABI), a od momentu obowiązywania RODO, zewnętrznego inspektora ochrony danych (IOD). A że działamy na rynku od 2010 r. spokojnie możemy pokusić się o próbę pokazania tak zalet jak i wad takiego outsourcingu.

Istnieją organizacje, które mają obowiązek wyznaczenia inspektora ochrony danych, ale z moich obserwacji wynika, że sporo podmiotów, pomimo braku takiego wymogu, powołuje IOD z dwóch powodów:

  • na tzw. wszelki wypadek, bo gdyby się okazało, że jednak mamy taki obowiązek, to nie ma problemu kary, która grozi za jego niepowołanie,
  • z chęci wyznaczenia konkretnej osoby do nadzorowania tematyki ochrony danych osobowych mimo braku formalnego wymogu, ponieważ organizacja czuje, że jest to istotne.

Wydaje się, że najlepszym rozwiązaniem jest zatrudnienie takiej osoby na oddzielne stanowisko i z tym jestem w stanie się zgodzić, jednak i w takim rozwiązaniu widzę pewne wady, ale o tym później. Takie rozwiązanie najlepiej sprawdza się w dużych jednostkach, często w grupach przedsiębiorstw czy firmach posiadających wiele oddziałów. Mniejsze podmioty mogą po prostu nie mieć budżetu na zatrudnienie wykwalifikowanego specjalisty. Należy bowiem pamiętać, że koszty osobowe to nie jedyny wydatek związany z etatem inspektora ochrony danych. Nasz IOD powinien na bieżąco podnosić swoje kwalifikacje np. poprzez uczestnictwo w szkoleniach i seminariach, dostęp do fachowej literatury, ponieważ bez tego może nie nadążyć za wszelkimi istotnymi zmianami, przepisów prawa, czy też ich interpretacji, nie mówiąc już o nowinkach związanych z rozwojem nowych technologii, które także mogą mieć ogromny wpływ choćby na bezpieczeństwo danych osobowych.

Wyznaczony inspektor ochrony danych powinien mieć odpowiednie kwalifikacje zawodowe i na pewno fachową wiedzę na styku prawa i IT oraz praktykę w dziedzinie ochrony danych osobowych. Największym błędem przy wyznaczeniu IOD jest nakazanie decyzją służbową, zatrudnionemu już na innym stanowisku pracownikowi czy współpracownikowi, wykonywania dodatkowo zadań IOD. Nawet jeżeli „mianowana” osoba posiada odpowiednie kwalifikacje, ale wykonywanie dotychczasowych obowiązków jest dla niej na tyle angażujące, że na obowiązki IOD po prostu może nie starczyć czasu, to takie wyznaczenie powoduje potencjalny konflikt interesów i finalnie może doprowadzić do niezgodności z RODO. Niestety jest to bardzo częsta praktyka nawet wśród podmiotów mających obowiązek wyznaczenia IOD.

 

Etatowy IOD zapewnia niewątpliwie następujące korzyści:

  • organizacja ma go na wyłączność i bezpośrednio na miejscu
  • własny pracownik jest również na przysłowiowe „każde zawołanie”

Dodatkowo przy dużych podmiotach albo takich, które posiadają złożoną strukturę terytorialną (centrala, oddziały, biura sprzedaży, itp.) jak również przy grupach kapitałowych, do zalet można jeszcze dodać:

  • dobrą znajomość słabych stron organizacji poprzez stałą w niej obecność
  • lepsze spojrzenie na potrzeby biznesowe organizacji
  • większą znajomość specyfikacji organizacji

 

Wygląda to całkiem nieźle, ale żeby móc to porządnie ocenić, konieczne jest teraz spojrzenie na zalety i wady zewnętrznego inspektora ochrony danych.

Zacznę od aspektu finansowego, ponieważ na początku artykułu wspominałam o budżecie. Przy outsourcingu IOD jest on przynajmniej trzykrotnie niższy niż ten, który należałoby zapewnić przy zatrudnieniu inspektora na etat. Odchodzą również koszty systematycznego szkolenia takiej osoby, ponieważ specjaliści w firmach oferujących takie usługi szkolą się na bieżąco oraz wymieniają zdobytą wiedzą z pozostałymi specjalistami. Zwłaszcza ten ostatni aspekt ma niebagatelne znaczenie – wszak forum wymiany informacji z innymi profesjonalistami to podstawa do skutecznego wspierania Klienta przy obsłudze w zakresie ochrony danych osobowych.

Bardzo dużą zaletą jest posiadane doświadczenia przez IOD zdobytego u wcześniej lub równolegle obsługiwanych Klientów. Często zdobyta w ten sposób praktyka jest bardziej wartościowa niż np. samo wykształcenie prawnicze albo ukończenie coraz popularniejszych studiów podyplomowych z ochrony danych osobowych. Osobiście mam wykształcenie informatyczne, ale po 12 latach pełnienia funkcji ABI/IOD, na ten moment jestem już chyba bardziej prawnikiem niż informatykiem :).

Jeżeli chodzi o dostępność IOD, to rzeczywiście etatowiec co do zasady jest na miejscu, jednak z zewnętrznym IOD zawsze można umówić się na spotkanie bezpośrednie lub zorganizować z nim spotkanie online co zwłaszcza w czasach pandemii stało się bardzo popularne. Oczywiście każda szanująca się firma świadcząca omawiane usługi zapewnia swoim klientom dostępność IOD via telefon i e-mail na bieżąco. Outsourcing IOD to także zapewnienie ciągłości usług bez względu na urlop czy chorobowe. Oczywiście nie oznacza to, że dedykowany do obsługi IOD nie chodzi na urlopy (wypoczęty IOD to najlepszy IOD 🙂 ) czy nie choruje (niestety…), ale w tym czasie zawsze jest zastępowany przez specjalistę o analogicznych kompetencjach co gwarantuje profesjonalny dostawca usługi. Co więcej, gdy zaistnieje taka potrzeba np. przy jakimś projekcie Klienta, IOD może otrzymać wsparcie ze strony dodatkowego specjalisty zatrudnionego w firmie świadczącej usługi outsourcingu np. informatyka zorientowanego na kwestie bezpieczeństwa IT.

Pamiętajmy też, że istnieje możliwość elastycznego świadczenia usług IOD np. klient może zapewnić sobie stały dyżur IOD w określonym dniu tygodnia czy miesiąca. W ten sposób można bardzo łatwo zniwelować jedną z zalet etatowego IOD, o której pisałam wcześniej.

Z moich obserwacji wynika też, że zewnętrzny IOD posiada zdecydowanie większą siłę przebicia w kontaktach z kadrą zarządzającą organizacji. Zewnętrznemu IOD na pewno też łatwiej zmobilizować pracowników Klienta do przekazania np. informacji niezbędnych do przeprowadzenia audytu.

Nie można też nie wspomnieć o tym, że jedną z ważniejszych zalet outsourcingu jest rzeczywista niezależność zewnętrznego IOD. Etatowy IOD może być podatny na naciski ze strony swojego pracodawcy ze względu na chęć, a tak naprawdę potrzebę utrzymania pracy. Priorytetem firmy oferującej usługę outsourcingu IOD jest realizowanie tejże usługi w sposób profesjonalny i w pełni zgodny z przepisami, dlatego każde zalecenie wydane przez reprezentującego ją specjalistę, będzie zawsze podtrzymane, nawet jeżeli nie będzie się podobało reprezentantom Klienta. Firma oferująca usługę outsourcingu IOD nie może sobie pozwolić na utratę reputacji poprzez brak niezależności, nawet kosztem utraty Klienta.

 

Na koniec chciałabym podsumować zalety posiadania zewnętrznego inspektora ochrony danych, których przeciwieństwa mogą być potencjalnie wadami w przypadku zatrudnienia IOD na etacie:

  • niższy budżet
  • powołanie osoby z odpowiednimi kwalifikacjami
  • stałe podnoszenie kwalifikacji
  • praktyka i doświadczenie wynikające z realizacji zadań u innych Klientów
  • dostęp do specjalistcznej wiedzy w ramach zespołu firmy świadczącej usługi outsourcingu
  • zapewnienie ciągłości obsługi (brak urlopów, chorobowego, itp.)
  • silna pozycja w relacjach z kadrą zarządzającą
  • pełna niezależność

Jednym z brutalnych plusów, które również należy mieć na uwadze będzie kwestia ew. odszkodowania za wyrządzenie szkody. W przypadku etatowego pracownika odszkodowanie za wyrządzoną szkodę, w przypadku nieumyślnego działania, nie może przewyższać kwoty jego trzymiesięcznego wynagrodzenia, a jak wiemy, sankcje przewidziane w RODO są zdecydowanie większe… Natomiast odpowiedzialność z firmą zewnętrzną zawsze można negocjować, a do tego wiele tego typu podmiotów korzysta również z wyspecjalizowanych polis ubezpieczeniowych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Czy muszę udostępniać dane na żądanie osoby fizycznej? Jeżeli tak, to jak bezpiecznie zrealizować prawo dostępu do danych?

Europejska Rada Ochrony Danych (EROD) udostępniła wytyczne do konsultacji publicznych przedstawiając różne aspekty prawa dostępu do danych https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_pl. Konsultacje zostały zakończone, pierwszą część wytycznych opisałem w poprzednim artykule https://www.isecure.pl/blog/prawo-dostepu-do-danych-w-oczach-erod/, teraz zapraszam na drugą część. Na co powinieneś zwrócić uwagę obsługując wniosek dostępu do danych? Za wytycznymi ERODu powtórzmy ogólne zasady prawa dostępu do danych. Co […]

“Zgłoś incydent!” iSecure z pomocą w analizie naruszeń ochrony danych osobowych

Ktoś z Twojej organizacji udostępnił przypadkiem wezwanie do zapłaty niewłaściwemu odbiorcy? A może wysłałeś e-mailem ważne dokumenty do wielu odbiorców spoza firmy i zapomniałeś o skorzystaniu z opcji UDW? Mam dla Ciebie złą wiadomość – najprawdopodobniej doszło do naruszenia ochrony danych osobowych. Taki incydent wymaga dogłębnej analizy, ponieważ na przedsiębiorcy ciąży szereg obowiązków związanych z […]

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Jak stworzyć stronę internetową zgodną z RODO? Część 1 – regulaminy.

Zajmując się doradztwem z zakresu ochrony danych osobowych na pewno weryfikowaliście klauzule informacyjne, opiniowaliście umowy powierzenia czy wykonywaliście audyt funkcjonującej strony internetowej. Co jednak możemy zrobić, gdy takiej strony nie ma, a dopiero powstaje? Mam nadzieję, że poniższy artykuł pozwoli uporządkować zawartość dokumentów, w których przedsiębiorca powinien zamieścić odpowiednie obowiązki informacyjne, nakazane przepisami prawa.   […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki