Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Obowiązek powołania inspektora ochrony danych spoczywa na wielu firmach ze względu na skalę lub specyfikę prowadzonej działalności gospodarczej. Wybór specjalisty, który weźmie na siebie ciężar nadzoru prawidłowości przestrzegania RODO w całej organizacji, wcale jednak nie jest taki prosty, jak mogłoby się wydawać. Wyjaśniamy, na czym polega outsourcing funkcji inspektora ochrony danych, jakie obowiązki ma taka osoba i czego możesz od niej oczekiwać.
Kim jest IOD w firmie?
Podstawowym zadaniem IOD jest monitorowanie zgodności przetwarzania danych osobowych w firmie. Pełni on rolę strażnika, który nadzoruje prawidłowość poszczególnych procesów związanych z przetwarzaniem danych, sygnalizuje administratorowi dostrzeżone nieprawidłowości. Jest też łącznikiem między pracownikami a pracodawcą (administratorem) oraz między administratorem a organem nadzoru i osobami, których dane dotyczą.
Nic nie stoi na przeszkodzie, aby IOD pełnił w organizacji również inne funkcje, ale nie mogą one powodować konfliktu interesów z jego obowiązkami, jako inspektora.
Obowiązek powołania inspektora ochrony danych spoczywa na każdej organizacji, której główna działalność obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób fizycznych na dużą skalę.
Jak wygląda odpowiedzialność funkcji IOD?
Inspektor Ochrony Danych nie ponosi odpowiedzialność za niezgodność organizacji z przepisami RODO. Obowiązek przetwarzania danych osobowych zgodnie z rozporządzeniem spoczywa na administratorze, ewentualnie podmiocie przetwarzającym. Niemniej jednak IOD może ponosić odpowiedzialność na zasadach ogólnych. Jeżeli jest pracownikiem administratora, będzie to odpowiedzialność porządkowa i materialna przewidziana w kodeksie pracy.
Możliwe jest też pociągnięcie IOD do odpowiedzialności w związku np. z utrudnianiem kontroli lub jej udaremnieniem. W przypadku relacji B2B odpowiedzialność IOD powstaje w związku z niewykonaniem lub nienależytym wykonaniem zobowiązania.
O odpowiedzialności IOD można więc mówić w sytuacji, kiedy dostrzegł on nieprawidłowość w zakresie przetwarzania danych osobowych, ale nie przekazał tej informacji administratorowi, ale już nie wtedy, kiedy informacja została przekazana, ale niczego z nią nie uczyniono.
Czy możesz wyznaczyć jednego inspektora ochrony danych dla kilku firm, które stanowią grupę kapitałową?
Zgodnie z art. 37 ust. 2 RODO, grupa przedsiębiorców może wyznaczyć jednego inspektora ochrony danych, o ile będzie z nim można łatwo nawiązać kontakt z każdej jednostki organizacyjnej. Warto więc zadbać o to, aby każda firma wchodząca w skład grupy kapitałowej dysponowała danymi kontaktowymi. W umowie z IOD można też przewidzieć maksymalny czas na odpowiedź na wiadomość.
Takie rozwiązanie sprawdzi się przede wszystkim w modelu outsourcingu. Trudno będzie o zapewnienie należytej jakości obsługi w modelu in-house.
Obowiązki Inspektora Ochrony Danych
Inspektor ochrony danych przyjmuje na siebie wiele obowiązków, które zbiorczo można określić, jako „zapewnienie zgodności działań organizacji z RODO”. Czego można oczekiwać od IOD?
Monitorowanie zgodności przetwarzania danych osobowych
Aby móc ocenić zgodność poszczególnych procesów w organizacji, IOD musi je najpierw poznać. Warto więc zadbać o dobrą współpracę między administratorem a IOD już od samego początku, żeby przepływ informacji następował płynnie.
Tworzenie i aktualizacja dokumentacji
Rozporządzenie RODO wprowadza konieczność tworzenia dużej ilości dokumentów, jak:
- rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania,
- procedura zgłaszania naruszeń do organu nadzoru,
- rejestr naruszeń RODO,
- raport z oceny skutków dla ochrony danych osobowych,
- polityka ochrony danych osobowych,
- umowy z podmiotami przetwarzającymi,
- plan ciągłości działania na wypadek awarii skutkującej naruszeniem poufności lub integralności RODO,
- klauzule informacyjne.
Tych dokumentów jest oczywiście znacznie więcej i należy je na bieżąco aktualizować.
Ścisła współpraca z administratorem danych osobowych
Przy wykonywaniu swoich obowiązków IOD powinien ściśle współpracować z administratorem. Oznacza to konieczność wymiany informacji, ale też sugerowanie zmian w zakresie modelu funkcjonowania organizacji, jeżeli mogą one przyczynić się w większym stopniu do jej bezpieczeństwa.
Przeprowadzenie audytów zgodności z RODO
Na IOD spoczywa obowiązek przeprowadzania audytów zgodności funkcjonowania organizacji z RODO. To bardzo ważne, ponieważ każda firma z biegiem czasu ewoluuje. Trzeba więc monitorować, czy ta ewolucja odbywa się w zgodzie z obowiązującymi przepisami. Nie chodzi przy tym jedynie o ocenę procesów biznesowych, ale też:
- witryn internetowych,
- profili w mediach społecznościowych,
- działań marketingowych.
Audyt zgodności powinien być dokonywany w odniesieniu do treści rozporządzenia, ale również wytycznych krajowego organu nadzoru, Grupy Roboczej oraz orzecznictwa krajowego i europejskiego.
Reprezentacja organizacji przed organem nadzoru
Inspektor ochrony danych odpowiada za reprezentację firmy w postępowaniach kontrolnych prowadzonych przez Urząd Ochrony Danych Osobowych. Pełni także funkcję punktu kontaktowego między administratorem lub podmiotem przetwarzającym a osobami, których dane dotyczą.
Outsourcing IOD vs IOD in-house. Który model współpracy wybrać?
Administrator danych osobowych może wybierać między dwoma podstawowymi modelami świadczenia usług przez IOD. Pierwszy z nich to tzw. in-house, czyli utworzenie w strukturze organizacji komórki, w ramach której inspektor ochrony danych może wykonywać swoje obowiązki. Zaletą takiego rozwiązania jest z pewnością lepszy „culture fit”, czyli dopasowanie do standardów organizacji. Z drugiej strony koszt utworzenia i utrzymania takiego stanowiska jest wysoki. Sam proces rekrutacyjny zwykle trwa również długo.
Z kolei outsourcing funkcji IOD można wdrożyć znacznie szybciej i niższym kosztem. Mogą pojawić się kłopoty z „dotarciem się” modelu funkcjonowania organizacji oraz IOD, ale jeśli uda wypracować się sprawny model komunikacji, produktywność zewnętrznego podmiotu jest często znacznie wyższa, niż w przypadku wewnętrznej komórki. Outsourcing gwarantuje też niezależność i obiektywne spojrzenie na model działania organizacji, podczas gdy korzystanie z pomocy własnych pracowników może kończyć się „przymykaniem oka” na wiele spraw, które mogą skutkować eskalacją problemów na późniejszym etapie.
Praktyka pokazuje, że polski rynek wciąż cierpi na deficyt doświadczonych inspektorów ochrony danych osobowych. Mnogość dostępnych kursów (często wręcz realizowanych on-line) powoduje, że swoje usługi oferują osoby, które nie dysponują wystarczającą wiedzą i doświadczeniem, aby zapewnić bezpieczeństwo RODO w organizacji. Dlatego warto rozważyć nawiązanie współpracy z kancelarią prawną, która specjalizuje się w obszarze RODO od lat. To gwarancja dostępu do branżowej wiedzy i praktycznego podejścia.
Decydując się na outsourcing obowiązków IOD kancelarii prawnej organizacja zyskuje wsparcie całego zespołu specjalistów zamiast pomocy jednego pracownika.
Kiedy warto rozważyć outsourcing IOD?
Wdrożenie outsourcingu IOD może wdawać się skomplikowanym przedsięwzięciem. Kiedy organizacja powinna rozważyć oddelegowanie obowiązków inspektora ochrony danych zewnętrznej firmie?
- brak wystarczających zasobów finansowych, technicznych lub organizacyjnych do systematycznego nadzoru nad pracownikami,
- częsta rotacja na stanowisku IOD lub problemy ze znalezieniem profesjonalisty spełniającego stawiane mu wymagania,
- potrzeba dostępu specjalistycznego doradztwa, zwłaszcza w branżach określanych mianem „heavily regulated”, jak healthcare, telekomunikacja, bankowości i finanse, czy ubezpieczenia,
- ograniczony przepływ wiedzy od etatowego IOD do członków zespołu,
- regularne naruszenia ochrony danych osobowych pojawiające się w takich działach, jak marketing lub sprzedaż.
Jaka jest cena usługi outsourcingu IOD?
Cena outsourcingu usług IOD zależy od wielu czynników, w tym skali i specyfiki prowadzonej działalności, miejsca świadczenia usługi, jej zakresu i częstotliwości. Duże znaczenie ma też doświadczenie zespołu oferującego swoje usługi.
Kancelarie prawne, które mogą pochwalić się wieloletnią praktyką w obsłudze obszaru RODO, licznymi certyfikatami i szkoleniami oraz dostępem do wysoko wykwalifikowanych konsultantów z pewnością będą droższe, niż małe biura doradcze. Jest to jednak inwestycja w bezpieczeństwo organizacji. Warto przypomnieć, że za naruszenia na gruncie RODO wysokość kar jest liczona w milionach euro.
Mimo tych wszystkich zastrzeżeń outsourcing usługi IOD potrafi być nawet 3-krotnie tańszy niż umowa o pracę! Optymalizujesz więc koszty, zyskując w zamian znacznie więcej.
Zakres usług zewnętrznego IOD
Decydując się na współpracę z IOD w ramach outsourcingu możesz oczekiwać dokładnie takiego samego zakresu wsparcia, jak w przypadku usługi świadczonej stacjonarnie. W szczególności będzie to:
- wsparcie operacyjne i bieżące konsultacje,
- audyty i kontrole poszczególnych działów oraz całej organizacji,
- szkolenia pracowników w zakresie RODO,
- zarządzanie incydentami, w tym raportowanie ich do organu nadzoru oraz podejmowanie niezbędnych działań względem osób, których dane dotyczą,
- tworzenie i aktualizacja dokumentacji oraz procedur, w tym polityki bezpieczeństwa, rejestrów przetwarzania, klauzul informacyjnych oraz umów powierzenia,
- utrzymywanie kontaktu z organem nadzoru oraz pełnienie funkcji punktu kontaktowego.
Co otrzymasz od nas w ramach usługi Outsourcing IOD?
Decydując się na współpracę z Kancelarią Linke Kulicki, otrzymujesz kompleksowe wsparcie zespołu specjalistów. Od lat zajmujemy się ochroną danych osobowych w organizacjach, wdrażamy RODO i nadzorujemy prawidłowość jego stosowania w przedsiębiorstwach o zróżnicowanym profilu działalności. Dlaczego warto nas wybrać?
Każdą współpracę rozpoczynamy od szczegółowego audytu. W ten sposób określamy sytuację wyjściową w zakresie RODO i ustalamy priorytety działań, usuwając w pierwszej kolejności największe zagrożenia. Dokonujemy oceny skutków poszczególnych procesów dla ochrony danych oraz identyfikujemy ryzyko z nimi związane.
Przeanalizujemy firmową dokumentację. Zaktualizujemy ją i uzupełnimy ewentualne braki, zapewniając pełną zgodność organizacji z RODO. Zapewniamy wsparcie w postępowaniu przed organem nadzoru. Zapraszamy do współpracy wszystkie firmy, które chcą mieć pewność, że zarządzają danymi osobowymi w sposób bezpieczny i efektywny.