W podsumowaniu wyników Państwowego Inspektora Ochrony Danych zwrócona została uwaga na następujące kwestie tj.: konflikt interesów, powołanie kilku inspektorów, ciągłość pełnienia funkcji przez inspektora, raportowanie przez IOD kierownictwu, informowanie o powołaniu inspektora, prowadzenie nadzoru i audytów przez IOD.

Konflikt interesów

W trakcie kontroli stwierdzono, że niektórzy administratorzy wyznaczyli jako IOD kierownika administratora danych lub wyznaczony IOD pełnił funkcję pełnomocnika ds. bezpieczeństwa lub inne funkcje związane z podejmowaniem decyzji dotyczących celów, zakresu itp. przetwarzania danych. W takich przypadkach zachodzi niezgodny z RODO konfliktu interesów.

Litewski organ przypomina, iż konflikt interesów na gruncie RODO może powodować łączenie funkcji IOD między innymi wyższymi stanowiskami kierowniczymi (np. CEO, Chief Operating Officer, Chief Financial Officer, Chief Medical Officer, Head of Marketing, szef działu kadr lub IT), ale może to być również stanowisko niższego szczebla w strukturze organizacji, jeżeli wykonywanie tych obowiązków lub funkcji wymaga określenia celów i sposobów przetwarzania danych.”

Powołanie kilku inspektorów

Kontrola zwraca uwagę, że wytyczne dotyczące inspektora ochrony danych stanowią, że w zależności od wielkości i struktury organizacji może być konieczne utworzenie grupy IOD (IOD i jego pracownicy). W takich przypadkach należy jasno przygotować wewnętrzną strukturę grupy oraz określić zadania i obowiązki każdego z jej członków.

Podobnie w przypadku outsourcingu funkcji IOD grupa osób pracujących dla tego podmiotu może efektywnie realizować zadania IOD jako zespół kierowany przez przydzieloną klientowi wiodącą osobę kontaktową.

Litewski organ zwraca uwagę, że w przypadku konieczności posiadania więcej niż jednego inspektora ochrony danych, należy powołać jednego IOD i stworzyć jego zespół z odpowiednio jasno określonymi obowiązkami.

Ciągłość pełnienia funkcji przez inspektora

W trakcie kontroli ustalono, że część administratorów korzystała z usług zewnętrznych dostawców usług IOD. Podczas kontroli zdarzały się przypadki, że umowa o świadczenie usług inspektora ochrony danych określała limity godzinowe świadczenia usług, np. że usługi IOD obejmują nie więcej niż 60 godzin rocznie, a administrator danych nie zapewnił środków za ciągłość działania inspektora po upływie ustalonego limitu godzin.

Litewski organ ochrony danych stwierdza, że należy zapewnić ciągłość działania IOD, w związku z czym w takich przypadkach należy określić i uregulować jak realizowana będzie funkcja inspektora ochrony danych po upływie ustalonego limitu
godzin świadczenia usług.

Raportowanie przez IOD kierownictwu

Art. 38 ust. 3 RODO stanowi, że IOD podlega bezpośrednio najwyższemu kierownictwu administratora danych lub podmiotu przetwarzającego
dane. Wytyczne dotyczące pełnienia funkcji IOD wyjaśniają, że „bezpośrednie raporty zapewniają, że kierownictwo wyższego szczebla (np. zarząd) jest świadome porad i zaleceń IOD w ramach wykonywania swojego mandatu w zakresie informowania i doradzania administratorowi danych lub podmiotowi przetwarzającemu.

W trakcie kontroli stwierdzono, że niektórzy administratorzy danych nie regulowali form raportowania do kierownictwa oraz nie zapewniono cykliczności raportowania do najwyższego kierownictwa. Zdaniem organu ochrony konieczne jest uregulowanie przez administratora tej kwestii tj. zarówno formy jak i częstotliwości dokonywania rozliczeń przez IOD.

Informowanie o powołaniu inspektora ochrony danych

Kontrola zwraca uwagę, że pracownicy muszą być odpowiednio informowani np. poprzez okresowe przesyłanie informacji/przypomnień, o wyznaczonym IOD i jego funkcjach, tak aby mogli łatwo i bezpośrednio się z nim kontaktować i rozwiązywać kwestie związane ze stosowaniem RODO.
 

Również w kwestii informowania o powołaniu litewski organ ochrony danych przypomina, że w przypadku powołania IOD, zmiany lub zaprzestania pełnienia przez niego obowiązków należy poinformować Państwowego Inspektora Ochrony Danych.

Prowadzenie nadzoru i audytów przez IOD

W zakresie prowadzenia nadzoru i audytów przez IOD litewski organ ochrony danych zwrócił uwagę na dwa aspekty.

Po pierwsze wskazał, iż w trakcie kontroli stwierdzono, że brak jest odrębnej dokumentacji postępowania, jakie czynności są podejmowane i kto podejmuje decyzje, w przypadku gdy administrator nie zgadza się z opinią inspektora ochrony danych. W ocenie organu niezbędnym jest ustalenie i przygotowanie procedur działania w takich przypadkach.

Kolejna kwestia to prowadzenie audytów przez IOD. W trakcie kontroli ustalono, że chociaż RODO stanowi, że inspektorzy ochrony danych muszą przeprowadzać oceny i/lub audyty zgodności z wymogami RODO, to tylko niewielka liczba inspektorów przeprowadzała takie oceny/audyty.

Kontrola stwierdza, iż  IOD  musi okresowo przeprowadzać oceny/audyty zgodności z wymogami RODO oraz informować administratora danych o wynikach ocen.

Jednocześnie istotnym jest to, że to administrator danych powinien zapewnić inspektorowi ochrony danych wszelkie możliwości przeprowadzenia tych ocen/audytów.

Badanie litewskiego Państwowego Inspektora Ochrony Danych wpisuje się w skoordynowane działania zaplanowane przez Europejską Rada Ochrony Danych. EROD 5 marca br. poinformowała, iż przez cały bieżący rok 26 organów ochrony danych weźmie udział przygotowaniu i przeprowadzeniu badania dotyczącego wyznaczania i zajmowania stanowiska inspektorów ochrony danych.

Źródło: https://vdai.lrv.lt/lt/naujienos/apibendrinti-duomenu-apsaugos-pareigunu-veiklos-patikrinimu-rezultatai

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl