W poprzednim wpisie na naszym blogu poruszyłem kwestię prawnych aspektów związanych z wyznaczeniem inspektora ochrony danych (IOD), jego usytuowaniem w strukturze samej organizacji, jak również zakresu przypisanych mu zadań, a także zwróciłem uwagę na kwalifikacje zawodowe którymi powinien dysponować, w szczególności na poziom wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia powierzonych mu zadań. Zatem kwestie stricte formalne związane z powołaniem IOD mamy już omówione i możemy przejść do równie interesujących kwestii praktycznych związanych z pełnieniem funkcji IOD. Przepisy wynikające z Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) określają w art. 39 katalog zadań IOD. Jednak, jak wygląda praktyczne funkcjonowanie IOD w zakreślonej przez RODO rzeczywistości? Aby przybliżyć Państwu wybrane aspekty funkcjonowania IOD posłużę się paroma przykładami wziętymi z życia. Coś, co może intrygować i poruszać wyobraźnię samych administratorów, członków personelu odpowiedzialnych za bezpieczeństwo systemów informatycznych, kadry wyznaczonej do obsługi zagadnień związanych z ochroną danych osobowych, jak również pozostałych, stanowiących większą część organizacji szeregowych pracowników, jest bezsprzecznie temat naruszenia ochrony danych osobowych. Zdefiniowane w art. 4 ust. 12 RODO mówi, że naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W naszej codziennej pracy, co do zasady, mamy nieustanny dostęp do danych osobowych, w takiej bądź innej formie, i wykonując szereg czynności biurowych niejako przy okazji dokonujemy ich przetwarzania. Przetwarzanie często odbywa się w zróżnicowanych warunkach, np. presji wywołanej przez zbliżający się termin realizacji działań zleconych przez szefa, co często prowadzi do tak podstawowych błędów, jak np. wysyłka e-maila z rzeczonymi danymi osobowymi nie do tego odbiorcy, do którego pierwotnie miała trafić. Co wtedy? Powiecie Państwo, tutaj pojawia się, jak za dotknięciem czarodziejskiej różdżki nasz IOD. Powiem tak, jak to często bywa, w niektórych organizacjach i owszem tak, a w innych niekoniecznie. Tutaj rodzi się kolejne pytanie, dlaczego tak się dzieje? Oczywiści jest to pośrednio jak i bezpośrednio związane z poziomem świadomości członków danej organizacji co do opanowania potencjalnego naruszenia ochrony danych osobowych, tak jak w naszym przypadku korzystania z poczty służbowej. Czy świadomość pracowników w zakresie ochrony danych osobowych pojawi się znikąd, czy wymaga pewnych nakładów pracy, usystematyzowania pewnej wiedzy związanej z RODO, politykami wewnętrznymi organizacji, etc.? Zgadując, zdarzyliście już Państwo wymówić na głos, dokąd te pytania mają nas zaprowadzić? Na te wszystkie pytania odpowiedzią jest właśnie nasz IOD. Parafrazując tytuł polskiego serialu z końca lat osiemdziesiątych minionego wieku „Na kłopoty… Bednarski” w naszym przypadku będzie to każdorazowo „Na kłopoty… IOD”. Choć trzeba wyraźnie zaznaczyć, że sam IOD nie da rady być wszędzie, reagować na potencjalne naruszenia osobiści i za każdym razem niemalże chodzić krok w krok niczym strażnik, za pracownikami transportującymi np. akty spraw z szeregiem danych osobowych. Bez pomocy reszty organizacji, chociażby przysłowiowo stanął na głowie, nasz IOD niewiele wskóra. Jedyna słuszna konkluzja to kooperacja IOD z pracownikami i na zasadzie sprzężenia zwrotnego pracowników z IOD.
Oczywiście ważną rolę, w tak zarysowanej współpracy, odgrywać będą kierownicy poszczególnych komórek organizacyjnych, którzy mogą posłużyć za dodatkowe medium przekazujące swoim pracownikom konkretne zalecenia IOD w takim, czy innym aspekcie związanym z ochroną aktywów informacyjnych, danych osobowych przetwarzanych przez konkretną komórkę. Nieodzownym zadaniem IOD jest prowadzenie działań zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania.Bez odpowiednio ukształtowanej świadomości personelu żadna organizacja nie będzie w stanie chociażby podjąć próbę zminimalizowania występowania tego typu naruszeń ochrony danych osobowych jak przytoczona powyżej błędna adresacja w zakresie korzystania z poczty służbowej. Oczywiście powiecie Państwo zaraz, że samo wykładanie, napominanie, zwracanie uwagi co do wykonywania pewnych czynności przetwarzania w taki bądź inny sposób (np. szyfrowania przesyłanych plików), aby chronić informacje – dane osobowe organizacji niewiele da. Odpowiem cytatem z Owidiusza: „gutta cavat lapidem non vi, sed saepe cadendo”, co nie mniej i nie więcej oznacza „kropla drąży kamień nie siłą, lecz często padając”. Taka filozofia jest nieodzowna w codziennej pracy IOD. Żmudne i powtarzające się czynności przejawiające się m. in. pod postacią wysyłanych do pracowników e-maili informujących o potrzebie stosowania odpowiednich zabezpieczeń, zasad polityki czystego biurka, zasad czystego ekranu, informowania o nieprawidłowościach w zakresie działania systemów teleinformatycznych przetwarzających dane osobowe, etc., to także codzienność IOD. Rola IOD nie może się sprowadzać tylko i wyłącznie do osoby, która beznamiętnie informuje, cytując konkretne artykuły z RODO, o takich czy innych powinnościach. IOD z prawdziwego zdarzenia musi często uczestniczyć aktywnie w procesach, które odpowiadają za przetwarzanie danych osobowych, oczywiście na pewnym etapie tych procesów, np. gdy organizacja zastanawia się nad wdrożeniem rozwiązań za pomocą których będzie dochodziło do przetwarzania danych osobowych. Wówczas IOD pełni rolę doradczą wobec administratora, służąc swoją wiedzą z obszaru ochrony danych osobowych, bezpieczeństwa informacji, dbając tym samym o zgodność organizacji w tym obszarze. Nie zapominajmy o ewentualnych karach administracyjnych wspomnianych w art. 83 RODO, które mogą dotknąć naszą organizację, gdy będziemy chcieli iść na skróty i np. nie posłuchamy naszego IOD, który przecież nam wspominał, o tym i o tamtym, jak wdrażaliśmy rozwiązanie, które o dziwo może nas teraz kosztować dużo więcej niż zakładaliśmy, dzięki stosownej reakcji Urzędu Ochrony Danych Osobowych.
W związku z wejściem w życie RODO wzrosła w społeczeństwie świadomość swoich praw w tym zakresie. Osoby fizyczne mają narzędzia pomagające im kontrolować swoje dane osobowe i jest to ze wszech miar pozytywny aspekt, dzięki któremu każdy z nas zyskuje taką możliwość. RODO, sprawiło, że osoby, które dotychczas czuły się bezsilne wobec wielkich koncernów przetwarzających ich dane, uwierzyły, że mają szansę walczyć o swoje prawa (art. 12–22 RODO określają dość szczegółowo zasady realizacji praw i żądań osoby, której dane dotyczą, natomiast nie rozwiewają wielu wątpliwości z tym związanych, które pojawią się w praktyce). Żądania dotyczące praw osób, których dane przetwarza administrator, wiążą się z jego odpowiedzialnością oraz wyznaczonego w tym zakresie do kontaktu z podmiotem danych IOD. Jak zweryfikować, kto składa żądanie? Przecież brak takiej weryfikacji, bądź błędna weryfikacja prowadzą bezpośrednio do wspomnianego powyżej naruszenia ochrony danych osobowych i idących za tym wszelkich wymogów z art. 33 i 34 RODO. Postać IOD, który stworzył bądź pomógł stworzyć dla administratora odpowiednie procedury postępowania na wypadek obsługi żądań stron, staje się kluczowa. Oczywiście same procedury to nie wszystko. Równie istotne jest staranne zapoznanie z nimi naszego personelu, który w odpowiedni sposób będzie w stanie zareagować na żądanie podmiotu danych, odnotować, poinformować bezpośredniego przełożonego, IOD, a tym samym wszcząć postępowanie w tej sprawie. Wracamy tym samym do uświadamiania. Widzimy, że może ono przybrać różne odcienie i nieść za sobą różny ciężar gatunkowy. W związku z faktem, iż dane kontaktowe do IOD zamieszczone na stronach internetowych administratora często sprowadzają się do podania adresu e-mail do IOD, żądania stron docierają tą drogą kontaktu i zgodnie z art. 12 ust. 3 RODO w miarę możliwości, informacje zwrotne, powinny zostać przekazane tą samą drogą. Prowadząc obsługę złożonego żądania administrator musi zachować najwyższą staranność w zakresie poprawnej weryfikacji tożsamości osoby, która złożyła wniosek np. o usuniecie jej danych. Jeżeli w tym procesie dojdzie do pomyłki, niezachowana zostanie należyta staranność, konsekwencje mogą być, jak już wspomniano wyżej bolesne dla administratora (kary administracyjne, roszczenia podmiotu danych na drodze cywilnej). Przykładowo, jeżeli administrator otrzyma wniosek o usunięcie danych odbiorcy newslettera, dysponując jedynie e-mailem tej osoby, na który wcześniej wysyłał newslettera, żądanie powinno być przekazane z tego właśnie adresu poczty elektronicznej. Będzie to najskuteczniejsza forma identyfikacji. Podmioty publiczne korzystając z zapisu art. 12 ust 6 RODO, który mówi, że jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą, mogą się wspomóc takim narzędzie jak e-puap, które jednoznacznie pomoże uwierzytelnić przez profili zaufany tożsamość składającego żądanie. W tym przypadku nie będzie potrzeby pozyskiwania dodatkowych informacji.
We wszystkich opisanych powyżej sytuacjach osoba inspektora ochrony danych staje się kluczowa. Wiedza, praktyczne umiejętności w zakresie skutecznego przekazania personelowi administratora podstawowych zasad z zakresu ochrony danych osobowych, umiejętności analizy sytuacji np. w przypadku wystąpienia naruszenia ochrony danych osobowych, to namiastka cech jakimi w codziennej pracy powinien dysponować IOD.
Autor: Radosław Aniszczyk