Jak zostać Inspektorem Ochrony Danych?

Kim jest Inspektor Ochrony Danych?

Inspektor Ochrony Danych, czyli IOD to osoba, która powinna lobbuje i  wpływa na lepszy poziom ochrony prawa do prywatności. Chodzi również o zapewnienie przestrzegania przepisów i procedur RODO. Powołanie Inspektora Ochrony Danych, jest w niektórych sytuacjach wymogiem prawnym. RODO wskazuje na trzy rodzaje organizacji, które muszą wyznaczyć IOD:

• wszystkie podmioty publiczne, na przykład: szkoły, gminy czy uczelnie wyższe
• wszystkie organizacje, które przetwarzają dane szczególnych kategorii, na przykład zakłady lecznicze (stan zdrowia)
• organizacje, które regularnie monitorują na dużą skalę nasze zachowania, na przykład banki, ubezpieczyciele, firmy windykacyjne, niektóre firmy zajmujące się marketingiem. Lista jest otwarta i celowo niedookreślona.

Jakie obowiązki ma IOD? 

Wszystko zależy od wielkości Twojej organizacji i ilości danych osobowych w niej przetwarzanych. Praca IOD może polegać na realizacji szkoleń, przygotowaniu RODO procedur (np. reagowania na incydenty), audytach czy prowadzeniu Rejestru Czynności Przetwarzania. W praktyce większość IOD-ów nie potrzebuje całego etatu. Do wypełniania swoich obowiązków wystarcza im znacznie mniej czasu. Dlatego dość rzadko IOD-owie są zatrudniani na pełen etat. Pełnoetatowi IOD-owie pracują przede wszystkim w największych organizacjach, przetwarzających dane osobowe milionów osób.

A co jeśli moja organizacja nie musi powoływać IOD? 

Nawet jeśli Twoja organizacja nie musi wyznaczać IOD, to musi spełniać pozostałe RODO obowiązki. Na przykład powinna wdrożyć RODO procedury, przygotować obowiązki informacyjne, prowadzić Rejestr Czynności Przetwarzania czy przeszkolić pracowników. Jeśli więc zdobędziesz kompetencje do pełnienia funkcji IOD, to i  tak przydadzą się one Twojej organizacji. Pamiętaj też o tym, że IOD może zostać powołany nawet jeśli nie ma takiego obowiązku. Twoja organizacja może ten fakt wykorzystać później np. marketingowo. Obecnie robi tak coraz więcej firm, szukając nowych przewag konkurencyjnych. A jeśli nie chcesz oficjalnie zostać IODem, możesz zawsze przejąć na siebie obszar RODO ale zamiast nazywać się IOD i  być zgłoszonym/ą do Urzędu Ochrony Danych Osobowych, nazwać się np. Oficerem Bezpieczeństwa Danych Osobowych. Chodzi o to, żeby w Twojej organizacji ktoś wziął na siebie temat pt. RODO. Bez takiego personalnego wyznaczenia i wzięcia odpowiedzialności za ten obszar Twoja organizacja dużo ryzykuje.

Pracuję w HR, czy mogę zostać IOD?

Tak! Pracując w HR, masz dostęp do dużej liczby danych osobowych pracowników i współpracowników Twojej organizacji. Być może prowadzisz rekrutacje czy dokumentację kadrową. To ważny obszar przetwarzania danych osobowych w każdej organizacji. Pamiętaj jednak o  tym, że IOD musi być osobą niezależną. Nie możesz jako specjalista od HR kontrolować swoich bezpośrednich przełożonych. Na szczęście da się to obejść.

IOD szansą na rozwój kariery?

I  tu pojawiają się dwie rzadko spotykane okazje. Pierwsza z nich to, że w  wielu organizacjach temat RODO wciąż jest nieobsadzony. W praktyce nikt nie odpowiada za ten ważny obszar. Wdrożenie RODO polegało na tym, że w maju 2018 roku Zarząd podpisał pakiet procedur. Dzisiaj te procedury leżą zamknięte w szafie i nikt w organizacji nie ma pojęcia jak stosować je w praktyce. Jeśli tak jest u Ciebie, to może właśnie otwiera się ciekawa możliwość rozwojowa. Druga okazja, to że IOD raportuje bezpośrednio Zarządowi. W ten sposób zyskujesz możliwość bezpośredniego kontaktu z osobami Zarządzającymi Twoją organizacją. Oczywiście to wszystko wymaga odpowiednich zmian w strukturze organizacyjnej, które sprawią, że nie będzie miejsca na konflikty interesów.

Czy mam predyspozycje do bycia IOD? 

Wbrew powszechnym opiniom, IOD wcale nie musi dysponować zaawansowaną wiedzą informatyczną. W większości przypadków IOD współpracuje z informatykami i specjalistami od cyberbezpieczeństwa, jednak samodzielnie nie musi umieć np. analizować logów systemowych. Budowanie zgodności z RODO to gra zespołowa. Potrzebna jest osoba, która spina całość procesów i potrafi przydzielić zadania kompetentnym osobom. Na pewno niezbędna jest dobra znajomość RODO, więc kompetencje prawnicze na pewno będą pomocne. Jeśli potrafisz szkolić – świetnie, przeszkolisz zespół z wdrażanych RODO procedur. Jeśli tego nie umiesz – trudno, możesz skorzystać z pomocy wewnętrznego trenera lub specjalistów z zewnątrz. Dbanie o zgodność z RODO wymaga nieustannego szukania rozwiązań. Wymaga też nauczenia Zespołu pewnych zasad i procedur, wyrobienia dobrych nawyków, które uchronią Twoją organizację przed wieloma niebezpieczeństwami.

Zostałam IOD! Dostanę podwyżkę?

Generalnie praktyką jest to, że osoby obejmujące funkcję IOD lub inne podobne otrzymują dodatkowe wynagrodzenie za swoje działania. Twój pracodawca musi mieć świadomość, że outsourcing funkcji IOD kosztuje; powierzając działania własnemu pracownikowi, obniża koszty. Oczywiście jeśli Twój etat jest częściowo pusty, to działania związane z RODO mogą być po prostu wypełnieniem dotychczas wolnych roboczogodzin. Wtedy kwestia dodatkowego wynagrodzenia za pełnioną funkcję będzie nieco bardziej problematyczna.