Niejednokrotnie kierownictwo organizacji dochodzi do wniosku, że wyznaczenie inspektora ochrony danych jest zbędne. Przyjmują bowiem założenie, że lepsza jest niewiedza w zakresie konieczności zapewnienia bezpieczeństwa danych osobowych, niż ciągle i sukcesywnie nabywane informacje od IOD o niedociągnięciach w systemie ochrony danych oraz o konieczności wdrażania rekomendowanych przez IOD rozwiązań. To bowiem jest kosztowne. Dlaczego takie podejście jest nieprawidłowe? Wyjaśniamy to w artykule.
Wskazana praktyka powoływania inspektorów ochrony danych i tego w jaki sposób są postrzegani w organizacji nie jest niestety nowością. Z doświadczeń autora artykułu wynika, że problem ochrony danych osobowych przez niektórych administratorów jest postrzegany jako listek figowy mający przykryć nagość i bezbronność prezentowaną przez system ochrony danych osobowych w danym podmiocie. Taka praktyka jest naturalnie sprzeczna z prawem.
RODO wskazuje w art. 39 ust. 1 między innymi na następujące główne zadania inspektora:
Aby IOD mógł być w stanie wykonywać swoje zadania ADO:
Dobrze umocowany IOD powinien więc mieć dostęp do wszystkich lokalizacji, dokumentów, informacji i osób związanych z przetwarzaniem danych osobowych.
Przykładowo:
Przede wszystkim jednak art. 37-39 RODO nie zwalniają administratora danych osobowych z jego odpowiedzialności tylko z tego powodu, że administrator wyznaczył IOD. Niezależnie więc od tego czy kierownictwo danego podmiotu miało obowiązek wyznaczyć IOD czy też takiego obowiązku nie miało, ponosi pełną odpowiedzialność za przetwarzania danych osobowych w danej jednostce.
Brak wiedzy na temat nieprawidłowości nie chroni administratora przed odpowiedzialnością za bezpieczeństwo danych osobowych.
To kierownictwo podmiotu decyduje przecież o tym jak dane są w tym podmiocie przetwarzane. To zarząd w spółce czy dyrekcja w szpitalu przyjmuje regulacje wewnętrzne obowiązujące w zakresie przetwarzania danych, w tym przede wszystkim odnoszące się do ich zabezpieczania. No i wreszcie to administrator a nie inspektor ochrony danych będzie zobowiązany ponieść karę pieniężną nałożoną przez inspektorów Prezesa UODO.
Dobry inspektor ochrony danych jest sygnalizatorem, lampką wczesnego ostrzegania. Działa niczym czujka, która wykrywa niebezpieczeństwo i informuje o tym osoby reprezentujące administratora aby te były w stanie podjąć w odpowiednim czasie działania zaradcze czy naprawcze. Z kolei „IOD-figurant” to tylko koszt dla administratora – w niczym nie chroni i nie można liczyć na to, że pozwoli zminimalizować ryzyko negatywnych następstw nieprawidłowego przetwarzania danych.
Organy sprawujące nadzór nad daną jednostką (np. rada nadzorcza w spółce czy organ założycielski w przypadku szkoły) nie powinny tolerować lekceważącego podejścia osób zarządzających podmiotem do kwestii ochrony danych w tym do statusu IOD.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
