Funkcja Inspektora Ochrony Danych to nie tylko prestiż :).
Wszyscy wiemy jak bywa z powoływaniem IOD. Czasem do tej funkcji powołuje się osoby z doświadczeniem lub co najmniej legitymujące się wykształceniem w tym kierunku. Jednak znacznie częściej bywa, iż ów IOD to, jak mawia jedna z koleżanek „po fachu”, ta osoba w firmie, która „nie zdążyła uciec do windy”. Każdy, kto wykonuje tę funkcję, dłużej niż kilka dni, gwałtownie się orientuje, iż nie jest to żaden miód. Trzeba nie tylko posiadać sporą wiedzę i zaplecze w postaci kolegów, do których można się zwrócić z problemami, ale przede wszystkim, sporo informacji na temat firmy, profilu jej działalności, organizacji, wykorzystywanych zasobów i to nie tylko sprzętowych, ale także ludzkich. Na inspektorze spoczywa dość spora odpowiedzialność. To on ma doradzać, na każde żądanie administratora, jak postępować w związku z przetwarzaniem danych osobowych i mimo, iż sam nie odpowiada za przyjęte rozwiązania lub postępowanie administratora, to na nim się skupi odpowiedzialność, jeżeli coś pójdzie nie tak. Łatwo powiedzieć – doradzać, wspierać administratora, a skąd brać wiedzę? Jak przewidzieć jakie konsekwencje przyniesie przyjęte lub planowane rozwiązanie? Jak zabezpieczyć administratora przed ewentualnymi nieprzewidzianymi skutkami? Do tego wszystkiego dochodzi jeszcze gąszcz przepisów, niejednoznaczna interpretacja, wytyczne, i… jeszcze jedno:
Mogłoby się wydawać, iż zupełnie naturalnym narzędziem pracy inspektora w firmie jest szklana kula, w której znajduje się wszystko co dotyczy firmy.
Skąd zatem brać informacje niezbędne do skutecznego doradzania administratorowi? Jak wyciągnąć skrywane przez pracowników świadomie lub nie, tajemnice? Jak drogi inspektorze, pisząc opinię dla administratora weźmiesz pod uwagę wszystkie mechanizmy funkcjonujące w firmie? Przecież wiadomo, iż procedury jakieś są, ale czy są stosowane? Czy są przeglądane, uaktualniane? Czy te osoby, które powinny – znają je? A jeżeli znają, to czy na pewno rozumieją je zgodnie z intencjami autorów?
Jak się dowiedzieć, iż planowane są jakieś zmiany, na przykład w systemie informatycznym, które mogą wpłynąć na bezpieczeństwo przetwarzania? Jak się dowiedzieć o planach firmy, poinformować odpowiednio wcześnie o potrzebie przeprowadzenia chociażby oceny skutków dla ochrony danych?
W takich sytuacjach IOD pozostaje sam jak palec i chyba każdy inspektor to potwierdzi, pod sporą presją czasu, bo niestety dowiedział się ostatni. Ten fach wymaga wiedzy, doświadczenia i zdolności jasnowidzenia. O ile w tym ostatnim kilka można pomóc o tyle w zdobywaniu wiedzy i doświadczenia już tak.
Przepisy mówią o konieczności adekwatnego włączania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych. Ale co to tak naprawdę oznacza? Gdzie kończy się bezpieczeństwo danych osobowych, a zaczyna obszar, który inspektora nie powinien interesować? Mówiąc kolokwialnie, bardzo często do przetwarzania danych używamy tych samych zasobów co do innych czynności. Ba, ludzie, którzy wykonują swoje zadania, czasem wykonują także zadania związane z przetwarzaniem danych osobowych – jak to rozdzielić i czy koniecznie trzeba? A co oznaczać ma owo „Właściwe włączanie” – czy to informacja na piśmie, czy tylko możliwość sprawdzania?
Źródła wiedzy.
Podstawowym źródłem wiedzy inspektora ochrony danych powinien być dobrze sporządzony i dobrze zarządzany rejestr czynności przetwarzania. Bez tego narzędzia praca IOD’a jest niezmiernie trudna. Na podstawie zebranych w rejestrze informacji można uzyskać wiedzę na temat profilu działalności firmy, ale też kierunków jej rozwoju.
Drugim źródłem wiedzy jest dokumentacja bezpieczeństwa. Polityki, procedury – ogólnie rzecz ujmując, regulacje wewnętrzne – to informacja jak firma powinna funkcjonować w poszczególnych zakresach swojej działalności.
Trzecim źródłem są samodzielnie zebrane spostrzeżenia inspektora. Spostrzeżenia wynikające z bieżącej pracy – takich jest najwięcej. Warto się jednak zastanowić nad tym jak usystematyzować owo gromadzenie spostrzeżeń. Czy przypadkiem nie można by tu upiec kilku pieczeni na jednym ogniu – na przykład sprawdzić, czy procedury działają poprawnie, czy są przeglądane, czy pracownicy posiadają odpowiednią wiedzę, czy mają odpowiednie upoważnienia. Wreszcie, czy adekwatnie zostały opisane czynności przetwarzania. Gdyby to jeszcze jakoś połączyć z obowiązkami inspektora, czyli monitorowaniem, szkolenie, wsparciem i wszechstronną pomocą ….
Przekazanie informacji zarządowi.
Jednym z obowiązków IOD jest monitorowanie stosowania przepisów i polityk. Nikt jednak nie powiedział, jak należałoby to robić. Nikt też nie powiedział jaki powinien być rezultat tego monitorowania. Brak informacji, jak spostrzeżenia IOD przekazywać zarządowi firmy. Ustnie Pisemnie? Zaraz po zauważeniu, czy może zebrać w większa całość? Jak przedstawić i co najważniejsze jak udowodnić, udokumentować swoje stanowisko.
Wreszcie najbardziej drażliwa kwestia: jak powiedzieć zarządowi, iż nie tylko warto konsultować niektóre decyzje z IOD, ale czasem jest to wręcz obowiązek. Jak reagować na stwierdzenie: „To Ty nie wiedziałeś? Pracujemy nad tym od roku… Wszyscy wiedzieli a Pan inspektor znowu nie.”
Dokumentowanie pracy.
Reasumując – żaden system nie może działać bez okresowej kontroli. choćby samochód trzeba czasem oddać do przeglądu, aby adekwatnie zareagować na sygnały o niesprawności. Warto zatem przemyśleć, w jaki sposób wykorzystać ustawowe obowiązki IOD z pożytkiem dla firmy i dla samego Inspektora. Warto zastanowić się nad obowiązkowymi audytami – czy może dla odróżnienia użyjmy określenia z poprzedniej epoki ochrony danych osobowych – sprawdzenia.
Planowanie sprawdzeń.
Nic tak nie porządkuje pracy jak planowanie – kiedy wykonywać sprawdzenie, jak przygotować raport, co on powinien zawierać. Usystematyzowanie tych prostych czynności pozwoli nie tylko na bieżące monitorowanie funkcjonowania zabezpieczeń w firmie, ale też udokumentowanie pracy IOD. Pokaże, iż IOD to nie tylko pan Czepialski, ale ta osoba, która może dużo dobrego wnieść do podnoszenia jakości pracy firmy.
W dzisiejszych czasach miejscem do porządkowania dokumentów, sprawdzania procesów, generowania raportów, na bazie których opracowywane są plany naprawcze, są dedykowane, zautomatyzowane narzędzia.