Inspektor Ochrony Danych w podmiotach

publicznych

Magdalena Gąsior

Zastępca Administratora Bezpieczeństwa Informacji

Warmińsko-Mazurski Urząd Wojewódzki w Olsztynie

Wyznaczenie IOD

ZAWSZE gdy:

•

Przetwarzania dokonują organ lub podmiot publiczny – niezależnie od zakresu przetwarzanych
danych

o

Wyjątek: sądy w zakresie sprawowania wymiaru sprawiedliwości

•

Administrator danych, który wyznaczył IOD, zawiadamia Prezesa Urzędu Ochrony Danych
Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty
elektronicznej lub numer telefonu inspektora

•

Administrator danych podaje dane inspektora ochrony danych do publicznej wiadomości

Podmioty publiczne

W rozumieniu art. 5 § 2 pkt 3 KPA:



ministrowie;



centralne organy administracji rządowej;



Wojewodowie i działające w ich lub we własnym imieniu inne terenowe organy administracji

rządowej (zespolonej i niezespolonej);



organy jednostek samorządu terytorialnego, organy państwowe oraz inne podmioty, gdy są one

powołane z mocy prawa lub na podstawie porozumień.

Podmioty publiczne

W rozumieniu art. 9 ustawy o finansach publicznych:



organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;



jednostki samorządu terytorialnego oraz ich związki;



związki metropolitalne;



jednostki budżetowe;



samorządowe zakłady budżetowe;



agencje wykonawcze;



instytucje gospodarki budżetowej;



państwowe fundusze celowe;



ZUS i zarządzane przez niego fundusze oraz KRUS i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;



Narodowy Fundusz Zdrowia;



samodzielne publiczne zakłady opieki zdrowotnej;



uczelnie publiczne;



Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;



państwowe i samorządowe instytucje kultury;



inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów

badawczych, banków i spółek prawa handlowego.

Wymagania i kwalifikacje

Kwalifikacje

zawodowe

Wiedza fachowa na

temat prawa i

praktyk w dziedzinie

ochrony danych

Umiejętność

wypełniania zadań

Wymagania i kwalifikacje



Odpowiednia wiedza z zakresu krajowych i europejskich przepisów o ochronie danych

osobowych (RODO, KRI, Normy ISO, ePrivacy, dyrektywa policyjna)



Regularne szkolenia dla IOD



Wiedza na temat procesów przetwarzania danych, systemów informatycznych oraz

zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych



Wiedza w zakresie procedur administracyjnych i funkcjonowania jednostki



Umiejętności interpersonalne i umiejętność wykonywania zadań

Status IOD w organizacji

Gwarancje niezależności

◦

bezpośrednia podległość najwyższemu kierownictwu

◦

zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych

◦

wspieranie w wypełnianiu jego zadań

◦

zakaz wydawania instrukcji co do wykonywania przez niego zadań

◦

unikanie konfliktu interesów

(nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów

przetwarzania danych)

◦

zakaz odwoływania i karania za wypełnianie zadań

◦

zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań

◦

zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa informacji w
jednostki zależy w dużej mierze od działalności IOD

Wspieranie w wypełnianiu zadań IOD



Wymiar czasu umożliwiający wykonywanie zadań



Wsparcie finansowe, infrastrukturalne i kadrowe (pomieszczenia, sprzęt, wyposażenie,

wynagrodzenie, szkolenia)



Umożliwienie dostępu do innych działów w jednostce: IT, kadry, prawny, ochrona w celu

zapewnienia przepływu informacji i zapewnienia wsparcia IOD



Oficjalne zakomunikowanie pracownikom faktu wyznaczenia IOD



Powołanie zespołu inspektora ochrony danych

Im bardziej skomplikowane procesy przetwarzania danych, tym więcej środków

należy przeznaczyć na IOD.

Gwarancje niezależności



zakaz wydawania instrukcji co do wykonywania przez niego zadań (co robić,

kiedy, w jaki sposób)



zakaz odwoływania i karania za wypełnianie zadań (obawa przed nałożeniem kary

może być wystarczająca do utrudnienia wykonywania zadań)



„Normalne” traktowanie na podstawie odrębnych przepisów (kodeks pracy,

kodeks karny, wewnętrzne regulacje)

Unikanie konfliktu interesów



IOD nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów

przetwarzania danych



IOD nie może być:



dyrektor generalny,



dyrektor wydziału (referatu),



sekretarz,



kierownicy komórek organizacyjnych

Status IOD w organizacji

Gwarancje niezależności

◦

bezpośrednia podległość najwyższemu kierownictwu

◦

wspieranie w wypełnianiu jego zadań

◦

zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych

◦

zakaz wydawania instrukcji co do wykonywania przez niego zadań

◦

unikanie konfliktu interesów

(nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów

przetwarzania danych)

◦

zakaz odwoływania i karania za wypełnianie zadań

◦

zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań

◦

zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa
informacji w jednostki zależy w dużej mierze od działalności IOD

IOD

forma zatrudnienia

umowa o pracę

zlecenie

umowa z podmiotem

zewnętrznym

Kilka organów lub podmiotów publicznych

- jeden IOD

ZADANIA - katalog otwarty

1.

monitorowanie przestrzegania RODO i dalszych przepisów:

◦

gromadzenie informacji w celu identyfikacji procesów przetwarzania,

◦

analiza i sprawdzanie zgodności tego przetwarzania

◦

informowanie, doradzanie i rekomendowanie

2.

zwiększanie świadomości o obowiązkach spoczywających na nich na podstawie RODO i innych przepisów,

szkolenia personelu oraz powiązane z tym audyty

3.

udzielanie zaleceń, opiniowanie na żądanie oceny skutków przetwarzania (art. 35), np. w zakresie:

◦

czy przeprowadzać ocenę, czy wykonać samemu, czy zlecać

◦

metodologii

◦

zabezpieczeń stosowanych do łagodzenia zagrożeń

◦

prawidłowości przeprowadzonej oceny i zgodności wyników z RODO

4.

współpraca z organem nadzorczym, funkcja punktu kontaktowego, prowadzenie uprzednich konsultacji

5.

działanie w oparciu o analizę ryzyka związanego z operacjami przetwarzania, z uwzględnieniem charakteru,

zakresu, kontekstu i celu przetwarzania

Zadania ABI

Ograniczenie w przepisach do dwóch zadań:

1.

zapewniania przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

◦

sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych
osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

◦

nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2,
oraz przestrzegania zasad w niej określonych,

◦

zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z
przepisami o ochronie danych osobowych;

2.

prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Przepisy wykonawcze określają sposób i tryb wykonywania zadań

ABI ≠ IOD

Obowiązkowe

powołanie IOD

w podmiotach

publicznych

Odpowiedni

poziom wiedzy

fachowej i

kwalifikacje

współmierne

do procesów

przetwarzania

danych;

umiejętność

wykonywania

zadań

Gwarancja

niezależności

w strukturze

organizacji i w

wykonywaniu

zadań

Jeden IOD

może być

powołany dla

kilku

podmiotów

System

ochrony

danych

wprowadzony

w oparciu o

analizę ryzyka

IOD ma

znaczący

wpływ na

system

ochrony

danych w

jednostce, jest

jego

współtwórcą

Dziękuję za uwagę

Magdalena Gąsior

Zastępca ABI

89 52 32 319

536 513 475

mgasior@uw.olsztyn.pl