IOD pełnomocnikiem do spraw informacji niejawnych? Sprawdź czy to możliwe

Kierownikowi jednostki organizacyjnej bezpośrednio podlega zatrudniony przez niego pełnomocnik do spraw ochrony informacji niejawnych, zwany dalej "pełnomocnikiem ochrony", który odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych. Do zadań pełnomocnika ochrony należy:

• zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego;
• zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne;
• zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka;
• kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy lata) kontrola ewidencji, materiałów i obiegu dokumentów;
• opracowywanie i aktualizowanie, wymagającego akceptacji kierownika jednostki organizacyjnej, planu ochrony informacji niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji;
• prowadzenie szkoleń w zakresie ochrony informacji niejawnych;
• prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających;
• prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto, obejmującego wyłącznie (imię i nazwisko, numer PESEL, imię ojca, datę i miejsce urodzenia, adres miejsca zamieszkania lub pobytu, określenie dokumentu kończącego procedurę, datę jego wydania oraz numer; przekazywanie odpowiednio ABW lub SKW do ewidencji, o których mowa w art. 73 ust. 1 ustawy o ochronie informacji niejawnych, danych, o których mowa w art. 73 ust. 2 ustawy o ochronie informacji niejawnych, osób uprawnionych do dostępu do informacji niejawnych, a także osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub wobec których podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa, na podstawie wykazu, o którym mowa w pkt 8.

Z kolei inspektor ochrony danych ma następujące zadania:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 RODO).

Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów (art. 38 ust. 6 RODO).

RODO nie zakazuje wprost łączenia wskazanych funkcji. Zadania pełnomocnika i IOD wykazują się w pewnym zakresie podobieństwem, więc na pierwszy rzut oka nie dostrzegamy tu konfliktu interesów. Niemniej jednak weryfikacji należy dokonać w odniesieniu do konkretnego stanu faktycznego (wszak kierownik jednostki może nałożyć dodatkowe obowiązki zarówno na pełnomocnika, jak i na IOD). Poza tym należy też zapewnić niezależność IOD jak również pełnomocnika, który nie może podlegać innym pracownikom niż kierownikowi jednostki. Oprócz tego należy zadbać o takie rozdysponowanie obowiązków, by pracownik był w stanie w pełni realizować zarówno obowiązki pełnomocnika i IOD.

Zobacz także: stanowisko Prezesa UODO