Inspektor Ochrony Danych w podmiotach
publicznych
Magdalena Gąsior
Zastępca Administratora Bezpieczeństwa Informacji
Warmińsko-Mazurski Urząd Wojewódzki w Olsztynie
Wyznaczenie IOD
ZAWSZE gdy:
•
Przetwarzania dokonują organ lub podmiot publiczny – niezależnie od zakresu przetwarzanych
danych
o
Wyjątek: sądy w zakresie sprawowania wymiaru sprawiedliwości
•
Administrator danych, który wyznaczył IOD, zawiadamia Prezesa Urzędu Ochrony Danych
Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty
elektronicznej lub numer telefonu inspektora
•
Administrator danych podaje dane inspektora ochrony danych do publicznej wiadomości
Podmioty publiczne
W rozumieniu art. 5 § 2 pkt 3 KPA:
ministrowie;
centralne organy administracji rządowej;
Wojewodowie i działające w ich lub we własnym imieniu inne terenowe organy administracji
rządowej (zespolonej i niezespolonej);
organy jednostek samorządu terytorialnego, organy państwowe oraz inne podmioty, gdy są one
powołane z mocy prawa lub na podstawie porozumień.
Podmioty publiczne
W rozumieniu art. 9 ustawy o finansach publicznych:
organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
jednostki samorządu terytorialnego oraz ich związki;
związki metropolitalne;
jednostki budżetowe;
samorządowe zakłady budżetowe;
agencje wykonawcze;
instytucje gospodarki budżetowej;
państwowe fundusze celowe;
ZUS i zarządzane przez niego fundusze oraz KRUS i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
Narodowy Fundusz Zdrowia;
samodzielne publiczne zakłady opieki zdrowotnej;
uczelnie publiczne;
Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
państwowe i samorządowe instytucje kultury;
inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów
badawczych, banków i spółek prawa handlowego.
Wymagania i kwalifikacje
Kwalifikacje
zawodowe
Wiedza fachowa na
temat prawa i
praktyk w dziedzinie
ochrony danych
Umiejętność
wypełniania zadań
Wymagania i kwalifikacje
Odpowiednia wiedza z zakresu krajowych i europejskich przepisów o ochronie danych
osobowych (RODO, KRI, Normy ISO, ePrivacy, dyrektywa policyjna)
Regularne szkolenia dla IOD
Wiedza na temat procesów przetwarzania danych, systemów informatycznych oraz
zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych
Wiedza w zakresie procedur administracyjnych i funkcjonowania jednostki
Umiejętności interpersonalne i umiejętność wykonywania zadań
Status IOD w organizacji
Gwarancje niezależności
◦
bezpośrednia podległość najwyższemu kierownictwu
◦
zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych
◦
wspieranie w wypełnianiu jego zadań
◦
zakaz wydawania instrukcji co do wykonywania przez niego zadań
◦
unikanie konfliktu interesów
(nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów
przetwarzania danych)
◦
zakaz odwoływania i karania za wypełnianie zadań
◦
zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań
◦
zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa informacji w
jednostki zależy w dużej mierze od działalności IOD
Wspieranie w wypełnianiu zadań IOD
Wymiar czasu umożliwiający wykonywanie zadań
Wsparcie finansowe, infrastrukturalne i kadrowe (pomieszczenia, sprzęt, wyposażenie,
wynagrodzenie, szkolenia)
Umożliwienie dostępu do innych działów w jednostce: IT, kadry, prawny, ochrona w celu
zapewnienia przepływu informacji i zapewnienia wsparcia IOD
Oficjalne zakomunikowanie pracownikom faktu wyznaczenia IOD
Powołanie zespołu inspektora ochrony danych
Im bardziej skomplikowane procesy przetwarzania danych, tym więcej środków
należy przeznaczyć na IOD.
Gwarancje niezależności
zakaz wydawania instrukcji co do wykonywania przez niego zadań (co robić,
kiedy, w jaki sposób)
zakaz odwoływania i karania za wypełnianie zadań (obawa przed nałożeniem kary
może być wystarczająca do utrudnienia wykonywania zadań)
„Normalne” traktowanie na podstawie odrębnych przepisów (kodeks pracy,
kodeks karny, wewnętrzne regulacje)
Unikanie konfliktu interesów
IOD nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów
przetwarzania danych
IOD nie może być:
dyrektor generalny,
dyrektor wydziału (referatu),
sekretarz,
kierownicy komórek organizacyjnych
Status IOD w organizacji
Gwarancje niezależności
◦
bezpośrednia podległość najwyższemu kierownictwu
◦
wspieranie w wypełnianiu jego zadań
◦
zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych
◦
zakaz wydawania instrukcji co do wykonywania przez niego zadań
◦
unikanie konfliktu interesów
(nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów
przetwarzania danych)
◦
zakaz odwoływania i karania za wypełnianie zadań
◦
zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań
◦
zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa
informacji w jednostki zależy w dużej mierze od działalności IOD
IOD
forma zatrudnienia
umowa o pracę
zlecenie
umowa z podmiotem
zewnętrznym
Kilka organów lub podmiotów publicznych
- jeden IOD
ZADANIA - katalog otwarty
1.
monitorowanie przestrzegania RODO i dalszych przepisów:
◦
gromadzenie informacji w celu identyfikacji procesów przetwarzania,
◦
analiza i sprawdzanie zgodności tego przetwarzania
◦
informowanie, doradzanie i rekomendowanie
2.
zwiększanie świadomości o obowiązkach spoczywających na nich na podstawie RODO i innych przepisów,
szkolenia personelu oraz powiązane z tym audyty
3.
udzielanie zaleceń, opiniowanie na żądanie oceny skutków przetwarzania (art. 35), np. w zakresie:
◦
czy przeprowadzać ocenę, czy wykonać samemu, czy zlecać
◦
metodologii
◦
zabezpieczeń stosowanych do łagodzenia zagrożeń
◦
prawidłowości przeprowadzonej oceny i zgodności wyników z RODO
4.
współpraca z organem nadzorczym, funkcja punktu kontaktowego, prowadzenie uprzednich konsultacji
5.
działanie w oparciu o analizę ryzyka związanego z operacjami przetwarzania, z uwzględnieniem charakteru,
zakresu, kontekstu i celu przetwarzania
Zadania ABI
Ograniczenie w przepisach do dwóch zadań:
1.
zapewniania przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
◦
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych
osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
◦
nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2,
oraz przestrzegania zasad w niej określonych,
◦
zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z
przepisami o ochronie danych osobowych;
2.
prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
Przepisy wykonawcze określają sposób i tryb wykonywania zadań
ABI ≠ IOD
Obowiązkowe
powołanie IOD
w podmiotach
publicznych
Odpowiedni
poziom wiedzy
fachowej i
kwalifikacje
współmierne
do procesów
przetwarzania
danych;
umiejętność
wykonywania
zadań
Gwarancja
niezależności
w strukturze
organizacji i w
wykonywaniu
zadań
Jeden IOD
może być
powołany dla
kilku
podmiotów
System
ochrony
danych
wprowadzony
w oparciu o
analizę ryzyka
IOD ma
znaczący
wpływ na
system
ochrony
danych w
jednostce, jest
jego
współtwórcą
Dziękuję za uwagę
Magdalena Gąsior
Zastępca ABI
89 52 32 319
536 513 475
mgasior@uw.olsztyn.pl