Inspektor Ochrony Danych − kim jest? Czy warto go wyznaczyć oraz na jaki model współpracy się zdecydować?

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 31 marca 2020

31

Mar
2020

Poniższy artykuł to kompendium wiedzy o Inspektorze Ochrony Danych.Kto może być nim zainteresowany?

Artykuł dedykowany jest przede wszystkim organizacjom, które rozważają wyznaczenie Inspektora Ochrony Danych i nie są zdecydowane jaki model współpracy wybrać. Czy zatrudnić IOD na wyłączność, np. w oparciu o umowę o pracę − IOD wewnętrzny? A może zdecydować się na IOD zewnętrznego − osobę wyznaczoną przez firmę świadczącą dedykowane usługi?

Artykuł kierowany jest również dla organizacji, które właśnie wyznaczyły IOD i poszukują informacji, dotyczących obowiązków prawnych związanych z jego wyznaczeniem lub funkcjonowaniem. Ponadto informacje zawarte w artykule mogą okazać się przydatne dla samych IOD lub osób, które planują w przyszłości rozpocząć pracę w tym zawodzie, gdyż opisują zadania i role jakie pełni IOD w organizacji oraz dostarczają szczegółów dotyczących przysługujących mu uprawnień wynikających z przepisów prawa.

Poniższy artykuł dostarcza informacji, które: 
  1. przedstawiają obszary działania, w których IOD może wspierać organizację (Trzy filary pełnienia roli Inspektora Ochrony Danych);
  2. dotyczą obowiązku wyznaczenia Inspektora Ochrony Danych (Czy każda organizacja jest zobowiązana do wyznaczenia Inspektora Ochrony Danych?);
  3. prezentują pozycję IOD, jaką powinien mieć zapewnioną w organizacji;
  4. opisują zadania realizowane przez Inspektora Ochrony Danych (Jakie zadania realizowane są przez Inspektora Ochrony Danych?);
  5. mogą pomóc w podjęciu decyzji na który model IOD się zdecydować (Dlaczego warto wybrać Inspektora Ochrony Danych w modelu outsourcingu?);

Trzy role jakie pełni Inspektor Ochrony Danych realizując swoje zadania

1. KONSULTANT DS. PRAWNYCH

Inspektor Ochrony Danych to osoba, która wspiera organizację w przetwarzaniu danych osobowych w zgodzie z przepisami prawa. Jednakże przepisy te nie ograniczają się tylko do przepisów RODO. Kraje członkowskie mają możliwość przepisami prawa krajowego (tam gdzie jest to możliwe) regulować przetwarzanie danych osobowych w poszczególnych sektorach. Oczywiście w tych przypadkach i zakresie przepisy krajowe będą pełniły raczej funkcję uszczegółowienia przepisów RODO.

Wsparcie IOD w zapewnianiu zgodności z przepisami prawa jest nieocenione z uwagi na trudności interpretacyjne przepisów RODO. Wiele z nich jest nieprecyzyjnych, co pozostawia pole do interpretacji.

Ponadto Inspektor Ochrony Danych wspomoże merytorycznie organizację w dostosowaniu się do poszczególnych przepisów krajowych, których ilość może robić wrażenie!

Przeczytaj o największej zmianie, która miała miejsce w Polskim porządku prawnym od lat 90-tych. Wtedy ustawą z dnia 21 lutego 2019 Polski Parlament zmienił ponad 160 innych ustaw w związku zapewnieniem ich zgodności z przepisami RODO.

2. KONSULTANT DS. BEZPIECZEŃSTWA

Kolejnym obszarem, w którym organizacje mogą liczyć na pomoc Inspektora Ochrony Danych jest bezpieczeństwo danych osobowych. Kompetentny IOD powinien w trakcie audytów zbierać informacje na temat procesów przetwarzania (informacje na temat zasobów organizacji, przepływu danych, miejsc ich przechowywania etc.). Na ich podstawie, w zestawieniu z informacjami dotyczącymi zabezpieczeń, IOD ocenia, czy w procesach przetwarzania dane osobowe są prawidłowo chronione. Bez odpowiedniej znajomości zagrożeń, zabezpieczeń oraz różnych środowisk, w których przetwarza się dane osobowe, IOD nie będzie mógł wystarczająco pomóc w przeprowadzeniu oceny ryzyka, co skutkować może nieprawidłowymi jej wynikami.

3. INSPEKTOR OCHRONY DANYCH − STRAŻNIKIEM OCHRONY PRAW I WOLNOŚCI PODMIOTÓW DANYCH

Działalność Inspektora Ochrony Danych ukierunkowana powinna być również na ochronę praw i wolności osób, których dane dotyczą, na co zawsze zwracamy uwagę w trakcie naszych szkoleń. Dobry IOD nie tylko zadba o właściwą ochronę danych osobowych, ale również zwróci uwagę przy planowaniu nowego procesu przetwarzania na potencjalne skutki jakie może on nieść dla osób, których dane dotyczą.

Ponadto, w przypadku wystąpienia naruszenia ochrony danych osobowych, IOD oceni ryzyko naruszenia praw i wolności osób, których dane dotyczą. Następnym krokiem będzie zaproponowanie wdrożenia środków zaradczych, które albo będą miały za zadanie obniżenie prawdopodobieństwa wystąpienia negatywnych konsekwencji naruszenia lub będą obniżały dotkliwość ich negatywnych skutków.

Co więcej IOD zatroszczy się o to, by osoby, których dane dotyczą czuły się komfortowo udostępniając swoje dane osobowe. A poczują się tak wtedy, gdy będą informowane w zrozumiały dla nich sposób o wszystkich szczegółach przetwarzania i o uprawnieniach wynikających z przepisów RODO.

Przejrzystość w komunikacji nie powinna się ograniczać wyłącznie do tekstu pisanego, ale również powinna występować w bezpośredniej komunikacji z osobami, których dane dotyczą. O zasadach komunikacji z podmiotami danych pisaliśmy w artykule dotyczącym zasady przejrzystości.

Pełnienie punktu kontaktowego w sposób właściwy może zmniejszać ryzyko wystąpienia roszczeń, skarg oraz kontroli organów nadzorczych.

Inspektor Ochrony Danych w kontaktach z osobami, których dane dotyczą powinien być nastawiony na budowanie pozytywnej relacji oraz na jak najszybsze rozwiązanie pojawiających się problemów. Poprzez empatię oraz pozytywne nastawienie do ludzi, IOD realizując swoje zadania w obszarze ochrony praw i wolności osób fizycznych zmniejsza ryzyko wystąpienia roszczeń ze strony osób, których dane dotyczą np. w jednej z poniższych sytuacji:

  1. IOD biorąc udział w realizacji prawa dostępu do danych może sprawić, iż pomimo ewentualnych nieprawidłowości po stronie organizacji (np. niewypełnieniu właściwie obowiązku informacyjnego), osoba, której dane dotyczą nie złoży skargi do Urzędu Ochrony Danych Osobowych (UODO);
  2. IOD włączony w egzekwowanie prawa do wycofania zgody na realizację marketingu bezpośredniego, który w ogóle nie powinien być realizowany (z uwagi np. na nieprawidłową budowę oświadczenia zgody), może sprawić, iż podmiot danych zaniecha zgłoszenia skargi do organów nadzorczych: UODO, Urzędu Komunikacji Elektronicznej (UKE) czy Urzędu Ochrony Konkurencji i Konsumentów (UOKiK).

Ponadto właściwa realizacja obowiązków informacyjnych, przejrzysta komunikacja oraz sprawne egzekwowanie praw osób, których dane dotyczą umacnia ich zaufanie do organizacji przetwarzającej dane, co niesie pozytywne skutki dla jej wizerunku.

Aktualizacja 06.04.2020 r.

Czy każda organizacja jest zobowiązana do wyznaczenia Inspektora Ochrony Danych?

Obowiązek wyznaczania Inspektora Ochrony Danych jest regulowany przez przepisy RODO (art. 37 RODO) oraz przepisy ustawy o ochronie danych osobowych z 10 maja 2018 roku. Przewidują one, iż wyznaczenie Inspektora Ochrony Danych może być dobrowolne lub obowiązkowe, a czynnikami determinującymi występowanie obowiązku są:

  1. zaliczanie się jednostki organizacyjnej do sektora publicznego (organy oraz podmioty publiczne są zobowiązane do wyznaczenia IOD);
  2. ilość przetwarzanych danych osobowych (ilość rekordów) oraz rodzaje przetwarzanych danych osobowych (np. dane identyfikacyjne, finansowe, dotyczące wizerunku, czy np. dotyczące zdrowia);
  3. rodzaje realizowanych procesów przetwarzania, w szczególności te mocno ingerujące w prywatność osób, których dane dotyczą, np. systematyczne monitorowanie.

W przypadku, gdy z przepisów wprost nie wynika obowiązek wyznaczenia Inspektora Ochrony Danych osobowych, naszym klientom zawsze zalecamy, aby przeprowadzili udokumentowaną ocenę występowania obowiązku wyznaczenia IOD.Takiej oceny dokonujemy w trakcie audytu ochrony danych osobowych, a jej wyniki przedstawiamy w raporcie, który może posłużyć jako dowód potwierdzający uwzględnienie stosownych czynników.

O potrzebie dokonywania oceny występowania obowiązku wyznaczenia IOD pisała Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych, dalej zwana „EROD”) w wytycznych dotyczących Inspektorów Ochrony Danych.

Pozycja jaką Inspektor Ochrony Danych powinien mieć zapewnioną w organizacji

Przepisy RODO definiują jaki powinien być status IOD w organizacji. Art. 38 RODO określa wymagania, których spełnienie będzie wspierało Inspektora Ochrony Danych w realizowaniu jego zadań oraz które chronią go przed negatywnymi konsekwencjami podejmowanych przez niego działań i wydawanych opinii.

WŁĄCZANIE INSPEKTORA OCHRONY DANYCH WE WSZYSTKIE SPRAWY ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH JUŻ OD NAJWCZEŚNIEJSZEGO ETAPU

Inspektor Ochrony Danych powinien być zaangażowany od samego początku w kreowanie procesu przetwarzania. IOD ma mieć możliwość doradzenia w jaki sposób należy zaprojektować przetwarzanie danych, aby nie naruszyć przepisów ochrony danych osobowych oraz standardów bezpieczeństwa.

Takie podejście pomoże uniknąć niepotrzebnej straty czasu lub innych zasobów, w tym pieniędzy np. w sytuacji poniesienia dodatkowych kosztów na zasoby niezbędne dla realizacji projektu, który – z uwagi na wysokie ryzyko dla ochrony danych – nie będzie mógł być realizowany w zakładanej pierwotnie formie.

Ponadto właściwa realizacja w/w warunku zmniejsza ryzyko wystąpienia naruszeń ochrony danych. IOD jeszcze w fazie projektowania procesu może zwrócić uwagę na ryzyka dla ochrony danych i może zarekomendować wdrożenie odpowiednich środków zabezpieczających lub modyfikację procesu.

Na koniec tej sekcji, warto wspomnieć, iż wymóg wczesnego angażowania IOD w sprawy związane z ochroną danych idzie w parze z zasadą Privacy by design. Zgodnie z tą zasadą organizacje powinny przy projektowaniu procesów przetwarzania danych osobowych uwzględniać ochronę danych osobowych.

OBOWIĄZEK WSPIERANIA INSPEKTORA OCHRONY DANYCH

Art. 38 ust. 2 zobowiązuje organizację do zapewnienia niezbędnych zasobów wspierających Inspektora Ochrony Danych w wykonywaniu zadań, w tym środków na utrzymywanie wiedzy fachowej. EROD w opracowanych wytycznych dla Inspektorów Ochrony Danych wskazuje, iż organizacje powinny zapewnić:

  1. wsparcie dla IOD ze strony kierownictwa,
  2. odpowiednią ilość czasu na wykonywanie zadań (w szczególności dla IOD zatrudnionych w niepełnym wymiarze czasu, albo w przypadku IOD realizujących również inne zadania),
  3. wsparcie finansowe i infrastrukturalne (pomieszczenia, sprzęt, wyposażenie),
  4. właściwe poinformowanie całego personelu o fakcie wyznaczenia IOD wraz ze wskazaniem pozycji, jaką pełni w organizacji,
  5. dostęp dla IOD do innych działów organizacji, np. Kadr, Biura prawnego, czy Zespołu IT etc., co ma dawać możliwość uzyskania niezbędnej pomocy czy wsparcia merytorycznego,
  6. środki na zwiększanie wiedzy Inspektora Ochrony Danych,
  7. powołanie zespołu IOD (jeżeli zachodzi taka potrzeba).
WYKONYWANIE ZADAŃ W SPOSÓB NIEZALEŻNY

Zgodnie z art. 38 ust. 3, Inspektor Ochrony Danych powinien pełnić swoją funkcję w organizacji w sposób całkowicie suwerenny. W swoich wnioskach i poglądach IOD, niczym sędzia, powinien nie podlegać presji, naciskom, czy sympatiom. Realizując swoje zadania powinien kierować się prawem, lecz nie wyłącznie nim − nie powinien tracić z zasięgu wzroku celów biznesowych.

Inspektor Ochrony Danych zawsze powinien starać się znajdować rozwiązania stojące w kompromisie z biznesem i z przepisami prawa. Jednakże ostatecznie IOD powinien posiadać swobodę w dokonywaniu ocen, formułowaniu wniosków, a następnie w opracowywaniu opinii, tak aby mógł czynić to w sposób całkowicie niezależny.

UNIKANIE KONFLIKTU INTERESÓW

Zgodnie z art. 36 ust. 6, Inspektor Ochrony Danych ma możliwość wykonywania innych obowiązków przy zapewnieniu, iż nie będą one stały w konflikcie z zadaniami wynikającymi z przepisów prawa. Konflikt interesów będzie mógł występować np. w sytuacji, gdy Inspektor Ochrony Danych będzie obejmował w organizacji stanowisko tzw. właściciela procesu (osoby odpowiedzialnej za realizację procesu), ponieważ w takiej sytuacji nie można dokonywać wniosków i ocen w sposób całkowicie obiektywny. IOD mógłby wtedy dokonywać osądów patrząc przez pryzmat osiągnięcia celów biznesowych sprawowanej równolegle drugiej funkcji.

Innym przypadkiem występowania konfliktu interesu będzie sytuacja, w której IOD jest zmuszony do dokonywania oceny swojej pracy, np. w sytuacji przeprowadzania monitorowania wykonania oceny skutków dla ochrony danych, gdy sam jej wcześniej dokonywał (o czym więcej napisano w akapicie dotyczącym zadań Inspektora Ochrony Danych).

PRZEPISY PRAWA CHRONIĄCE INTERESY INSPEKTORA OCHRONY DANYCH

Przepisy RODO zwiększają niezależność Inspektora Ochrony Danych, nakładając obostrzenia dotyczące procesu odwoławczego IOD oraz odpowiedzialności za wykonywane zadania. Artykuł 38 ust. 3 stanowi iż IOD „nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań”.

Celem ustanowienia przytoczonych przepisów, była ochrona Inspektora Ochrona Danych, która powinna zapewnić mu wykonywanie zadań bez obawy o utratę posady, np. w sytuacji wyrażania opinii niewygodnych dla organizacji, zalecających zaprzestanie (z uwagi na ryzyko) przetwarzania danych osobowych w danym procesie. W praktyce, jeżeli organizacja nie będzie posiadała uzasadnionych powodów, nie będzie mogła odwołać Inspektora Ochrony Danych z pełnionej funkcji. IOD może zostać zwolniony z pracy wyłącznie w uzasadnionych sytuacjach, w szczególności w przypadku ciężkiego naruszenia obowiązków pracowniczych.

JAK ZGŁOSIĆ INSPEKTORA OCHRONY DANYCH DO UODO ORAZ CZY NALEŻY UPUBLICZNIAĆ JEGO DANE KONTAKTOWE?

Analizując przepisy prawa określające funkcję Inspektora Ochrony Danych, nie sposób nie wspomnieć o obowiązku upublicznienia danych kontaktowych wyznaczonego IOD oraz o obowiązku dokonywania notyfikacji tego faktu do organu nadzorczego.

Regulują to zarówno przepisy RODO jak również przepisy krajowe tj. ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. Zgodnie z nimi, organizacja wyznaczająca Inspektora Ochrony Danych jest zobowiązana opublikować na swojej stronie internetowej dane kontaktowe IOD w zakresie imienia i nazwiska, adresu poczty elektronicznej lub numeru telefonu.

Obowiązku zgłoszenia Inspektora Ochrony Danych do Urzędu Ochrony Danych Osobowych można dopełnić poprzez zawiadomienie online za pośrednictwem platformy rządowej Biznes.gov.pl (wymagane jest posiadanie profilu zaufanego lub kwalifikowanego podpisu elektronicznego) – jest to jedyny dopuszczalny sposób na dokonanie notyfikacji IOD. Może tego dokonać wyłącznie osoba uprawniona do reprezentowania administratora.

W tym miejscu warto wspomnieć o trzech sytuacjach, w których organizacja posiadająca wyznaczonego IOD będzie musiała dokonać innych zawiadomień:

  1. o zmianie danych kontaktowych inspektora ochrony danych,
  2. o odwołaniu dotychczasowego inspektora ochrony danych,
  3. w przypadku zmiany osoby pełniącej funkcję IOD − zawiadomienia o odwołaniu dotychczasowego inspektora ochrony danych i wyznaczeniu nowego inspektora ochrony danych.

Skoro już poruszamy temat zawiadomień, należy wskazać również inną sytuację, w której przyda się jeszcze profil zaufany lub kwalifikowany podpis elektroniczny. Będzie on potrzebny w przypadku dokonywania zgłoszenia naruszenia ochrony danych. Administrator ma na to tylko 72 godziny (o tym jak dokonać zgłoszenia ochrony danych pisaliśmy w tym artykule). Natomiast o samej ocenie, kiedy będzie występował obowiązek zgłoszenia naruszenia ochrony danych pisaliśmy w jednym z naszych artykułów w Vademecum Inspektora Ochrony Danych.

Warto podkreślić, że zgłoszenie wyznaczenia Inspektora Ochrony Danych oraz publikacja jego danych kontaktowych stanowi nieodzowny element budowania jego właściwej pozycji w organizacji. Organizacja realizująca wspomniane obowiązki umocowuje IOD − na pozycji rzecznika w sprawach związanych z ochroną danych osobowych, w kontaktach z osobami, których dane dotyczą, z organem nadzorczym czy z innymi podmiotami zewnętrznymi.

Aktualizacja 14.04.2020 r.

Jakie zadania / obowiązki realizowane są przez Inspektora Ochrony Danych?

obowiązki Inspektora Ochrony Danych
Zadania Inspektora Ochrony Danych określone zostały w art. 39 RODO.
IOD został zobowiązany do:
  1. uświadamiania kierownictwa i pracowników organizacji oraz podmiotów przetwarzających o spoczywających na nich obowiązkach wynikających z przepisów RODO (art. 39 ust. 1 lit. a RODO);
  2. monitorowania przestrzegania przepisów RODO, innych przepisów regulujących przetwarzanie danych osobowych, polityk ochrony danych administratora lub podmiotu przetwarzającego (art. 39 ust. 1 lit. b RODO);
  3. przypisywania odpowiedzialności za realizację obowiązków wynikających z przepisów prawa (art. 39 ust. 1 lit. b RODO);
  4. realizacji działań nakierunkowanych na zwiększanie świadomości osób przetwarzających dane osobowe (art. 39 ust. 1 lit. b RODO);
  5. przeprowadzania audytów, których wyniki wskazywać będą poziom zgodności z przepisami RODO (art. 39 ust. 1 lit. b RODO);
  6. udzielania na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowania jej prawidłowego wykonania (art. 39 ust. 1 lit. c RODO);
  7. współpracy z organem nadzorczym tj. Urzędem Ochrony Danych Osobowych (art. 39 ust. 1 lit. d RODO);
  8. pełnienia punktu kontaktowego dla organu nadzorczego − komunikacja dotycząca procesów przetwarzania, zabezpieczenia danych, udzielania wyjaśnień związanych z powstałymi naruszeniami ochrony danych czy prowadzenie konsultacji dotyczących planowanych procesów przetwarzania danych osobowych (art. 39 ust. 1 lit. e RODO);
  9. wypełniania swoich zadań z odpowiednim uwzględnianiem ryzyka dotyczącego procesów przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania (art. 39 ust. 2 RODO).

Organizacje, które dobrowolnie zdecydowały się na wyznaczenie Inspektora Ochrony Danych również są zobowiązane do stosowania wymagań związanych z jego wyznaczeniem, statusem oraz zapewnieniem odpowiednich środków. Organizacje stosują się do przepisów art. od 37 – 39 RODO analogicznie tak, jak ma to miejsce w przypadku występowania obowiązku wyznaczenia IOD.

Przepisy RODO dopuszczają możliwość powierzenia Inspektorowi Ochrony Danych także innych zadań, w tym będących pochodną obowiązków wskazanych w art. 39 RODO. Wśród nich będzie np. zlecenie przeprowadzenia przez IOD konkretnego szkolenia, co wynika z działań nakierunkowanych na zwiększanie świadomości osób przetwarzających dane osobowe.

Przy określaniu dodatkowych obowiązków osoby pełniącej funkcję Inspektora Ochrony Danych, należy uwzględnić określone w przepisach RODO ograniczenia:

Po pierwsze − dodatkowe zadania IOD nie mogą powodować konfliktu interesów z podstawowymi (art. 38 ust. 6 RODO). Między innymi zadania nie powinny prowadzić do sytuacji, w których osoba wyznaczona na stanowisko Inspektora Ochrony Danych będzie zmuszona do oceny prawidłowości wykonywania własnej pracy.

Po drugie − ilość zadań lub stopień ich skomplikowania nie może przekroczyć faktycznych możliwości jakimi dysponuje Inspektor Ochrony Danych. W przeciwnym razie naruszony zostanie warunek dotyczący zapewnienia niezbędnych zasobów, określony w art. 38 ust. 2 RODO.

EROD w swoich wytycznych dotyczących Inspektorów Ochrony Danych wskazywał, jako przykład dodatkowych zadań, prowadzenie Rejestru Czynności Przetwarzania. Przykład ten znajduje swoje uzasadnienie w praktyce, z uwagi na potrzebę posiadania przez IOD wiedzy na temat procesów przetwarzania danych w organizacji.

Innym często spotykanym przykładem dodatkowych zadań zlecanych do realizacji Inspektorom Ochrony Danych jest przeprowadzanie analizy ryzyka. Działania wchodzące w skład szacowania prawdopodobieństwa występowania zagrożeń i powagi ich skutków, zgodnie z obowiązkami określonymi w przepisach RODO, powinny być realizowane przez administratora przy uczestnictwie (wsparciu) Inspektora Ochrony Danych. Przy formułowaniu tego obowiązku, ustawodawca unijny mógł również kierować się chęcią uniknięcia występowania konfliktu interesów. W przeciwnym wypadku IOD musiałby oceniać wyniki własnej pracy.

Ponadto przeprowadzanie analizy ryzyka przez jedną osobę może być obarczone pewną dozą subiektywnej oceny, dlatego zgodnie z dobrą praktyką, powinien ją przeprowadzać zespół ludzi.

Wspomniane zagrożenie można wyeliminować przeprowadzając analizę ryzyka w gronie kierownictwa średniego szczebla lub osób odpowiedzialnych za realizację poszczególnych procesów przetwarzania przy udziale Inspektora Ochrony Danych lub przy wsparciu firmy zewnętrznej.

Chcesz przeprowadzić analizę ryzyka?

Aktualizacja 20.04.2020 r.

Dlaczego warto wybrać Inspektora Ochrony Danych w modelu outsourcingu?

Zarówno organizacje dobrowolnie decydujące się na wyznaczenie IOD, jak i te zobligowane przepisami prawa do jego wyznaczenia, w swoim wyborze nie muszą ograniczać się wyłącznie do zatrudnionego wewnętrznie pracownika. RODO nie wprowadza w tym obszarze żadnych ograniczeń. Dlatego dopuszczalnym jest skorzystanie z usług zewnętrznych specjalistów do realizacji zadań związanych z ochroną danych osobowych.

Dalsza część artykułu przedstawia najważniejsze zalety (ale również i wady) skorzystania z outsourcingu Inspektora Ochrony Danych.

Optymalizacja kosztów

Zatrudnienie zewnętrznego Inspektora Ochrony Danych z reguły będzie rozwiązaniem tańszym niż zatrudnienie wewnętrznego pracownika. Zazwyczaj osoba posiadająca bogate doświadczenie w obszarze ochrony danych osobowych będzie oczekiwała dużo wyższego wynagrodzenia na etacie, niż firma zewnętrzna świadcząca usługi outsourcingu z analogicznym doświadczeniem na rynku.

Z czego wynika oczekiwanie niższego wynagrodzenia w przypadku firm zewnętrznych?

Firmy specjalizujące się w ochronie danych osobowych posiadają wypracowane metody działania, posługują się opracowanymi narzędziami pracy oraz posiadają zespoły doświadczonych specjalistów. Dzięki nim są one w stanie obsługiwać jednocześnie kilka lub wiele organizacji. Więcej klientów i źródeł dochodu firmy delegującej Inspektorów Ochrony Danych, wpływa na optymalizację pracy i kosztów związanych z wynagradzaniem zatrudnionych, delegowanych specjalistów. Oczywiście mogą zdarzać się wyjątki od powyższej reguły, w których to kandydat na pracownika będzie miał mniejsze oczekiwania, jednakże wynikające zapewne z braku lub ubogiego doświadczenia w pełnieniu roli Inspektora Ochrony Danych.

Przeciętne wynagrodzenie Inspektora Ochrony Danych zatrudnionego na etacie

Przeglądając dostępne w Internecie źródła dotyczące oczekiwań IOD w zakresie wynagrodzenia, można znaleźć zróżnicowane dane na ten temat. Wysokość zarobków waha się od 5,8 tysiąca do nawet 17 tysięcy złotych brutto. Warto wskazać, że wiele artykułów na ten temat publikowanych było jeszcze przed stosowaniem przepisów RODO lub zaraz po. Był to czas kiedy występowało duże zapotrzebowanie na tego typu usługi oraz kiedy na rynku trudno było o bezrobotnych IOD.

Obecnie można zaobserwować, iż rynek się nasycił – wzrosła liczba IOD, którzy wypełnili popyt, co w konsekwencji wpłynęło na obniżenie oczekiwań co do ich wynagrodzenia. Oczywiście ostatecznie wyznacznikiem wysokości zarobków Inspektora Ochrony Danych są posiadane przez niego kompetencje oraz doświadczenie, skala oraz profil działalności organizacji (co przekłada się na rozmiar odpowiedzialności) oraz region / miasto, w którym miałby świadczyć pracę.

Dodatkowe koszty związane z zatrudnieniem

W przypadku wewnętrznego pracownika, zatrudnienie osoby na stanowisko Inspektora Ochrony Danych w oparciu o umowę o pracę lub umowę zlecenia wymaga ponoszenia kosztów pracy. Związane są one z opłatami obowiązkowych składek ubezpieczeń społecznych (ubezpieczenie emerytalne, chorobowe, zdrowotne, zaliczka na PIT, fundusz pracy, etc.).

Zakładając, iż kandydat na pracownika na stanowisku IOD oczekiwał będzie takiego samego wynagrodzenia netto co firma zewnętrzna, to suma kosztów jakie pracodawca musiałby ponieść w związku z zatrudnieniem specjalisty inHouse, w porównaniu z kontraktem B2B tego samego konsultanta zewnętrznego będzie o 15 – 40 % wyższa (w zależności od kwoty netto i wysokości składek).

Zasoby do wykonywania zadań

W przypadku korzystania z zewnętrznego IOD, organizacja zwykle nie musi ponosić kosztów związanych ze stworzeniem stanowiska pracy, np. zakupu komputera, licencji oprogramowania biurowego, antywirusowego czy abonamentu za dostęp do systemu informacji prawnej.

Ponadto, zgodnie z art. 32 ust. 2 RODO, administrator powinien zapewnić IOD niezbędne zasoby do wykonywania zadań, w tym także zasoby niezbędne do utrzymywania wiedzy fachowej. Inspektor Ochrony Danych, aby móc właściwie pełnić swoje obowiązki powinien stale podnosić swoje kompetencje. Organizacja powinna również zapewnić środki na pokrycie kosztów związanych z udziałem wewnętrznego IOD np. w szkoleniach, warsztatach, czy forach poświęconych ochronie danych osobowych.

W przypadku zewnętrznego Inspektora Ochrony Danych, to podmiot świadczący usługę będzie zobowiązany umową do wyznaczenia osób, posiadających odpowiednią i aktualną wiedzę, a więc będzie odpowiedzialny za rozwój ich kompetencji.

Doświadczenie wewnętrznego pracownika a pracownika firmy zewnętrznej

Zewnętrzny konsultant pracuje w ciągle zmieniającym się środowisku, ponieważ ma okazję poznać wiele organizacji oraz ich różne praktyki biznesowe, systemy informatyczne, czy stosowane zabezpieczenia. Taki konsultant w ciągu kilku lat pracy zawodowej może wziąć udział nawet w kilkudziesięciu projektach wdrożenia przepisów ochrony danych osobowych, co czyni go wartościowym specjalistą na rynku. W większości przypadków doświadczenie zewnętrznego IOD będzie bogatsze w porównaniu do osoby posiadającej zbliżoną liczbę lat stażu pracy dla jednej organizacji.

Dostępność Inspektora Ochrony Danych

Organizacje zatrudniające IOD na etacie zwykle mają go na wyłączność. IOD na miejscu to bez wątpienia duża korzyść − taka osoba zwykle lepiej zna organizację, w której pełni swoją funkcję, niż zewnętrzny specjalista. Posiadanie wewnętrznego IOD, zajmującego się wyłącznie tematyką ochrony danych, może być dobrze postrzegane przez podmioty, które powierzają organizacji przetwarzanie danych osobowych.

Jednakże jest też druga strona medalu – wszystko jest dobrze (a przynajmniej powinno być) jeżeli IOD jest obecny w pracy. Jednak co w przypadku jego nieobecności spowodowanej chorobą, wypadkiem, potrzebą sprawowania opieki na członkiem rodziny, czy urlopu? Organizacje z dnia na dzień mogą stracić wsparcie swojego specjalisty, które w tym czasie akurat mogło być najbardziej potrzebne np. z powodu wystąpienia naruszenia ochrony danych osobowych, bądź z powodu oczekującej do weryfikacji przez IOD ważnej dla biznesu umowy.

W modelu zewnętrznego IOD, wspomniane niedogodności nie powinny występować – chwilowa nieobecność zewnętrznego Inspektora Ochrony Danych sprawnie zastępowana jest przez innego specjalistę z firmy świadczącej usługę, dla którego dobrze znane są narzędzia oraz metody pracy wyznaczonego IOD. Zatem Zastępca IOD nie będzie wówczas osobą przypadkową, a równie przygotowaną do pełnienia swojej roli w zastępstwie za kolegę.

Większa obiektywność ocen i osądów Inspektora Ochrony Danych

Okoliczności pracy zewnętrznego IOD sprzyjają dokonywaniu wolnych od emocji ocen i osądów. Zewnętrzny Inspektor Ochrony Danych nie jest zatrudniany przez organizację, w której sprawuje swoją funkcję oraz w mniejszy sposób integruje się z innymi pracownikami, niż by to miało miejsce w przypadku pracownika zatrudnionego na etacie. Niestety ma to również swoje słabe strony − pracownicy mogą być mniej otwarci w relacji z zewnętrznym IOD, a przez co mogą nie o wszystkim go informować lub robić to zbyt opieszale. Dużo zależy więc od predyspozycji interpersonalnych Inspektora Ochrony Danych.

Zewnętrznemu IOD łatwiej przychodzi przyjęcie roli obiektywnego obserwatora. Spojrzenie świeżym okiem, z perspektywy osoby niezwiązanej z organizacją, a jednocześnie mającej porównanie do podobnych sytuacji z innych firm, może sprzyjać trafności wyciąganych wniosków lub skuteczności identyfikowania niezgodności z przepisami prawa czy zagrożeń dla ochrony danych osobowych.

Mniejsze ryzyko wystąpienia problemów związanych z odwołaniem IOD oraz większa możliwość dochodzenia roszczeń

Jak wspomniano wcześniej: „IOD nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań”. Przytoczone obostrzenie nie powinno dotyczyć sytuacji pełnienia funkcji IOD przez zewnętrznego konsultanta. Organizacja wypowiadając kontrakt z firmą świadczącą usługi outsourcingu nie musi uzasadniać swojej decyzji (w przeciwieństwie do umów o pracę zawieranych na czas nieokreślony, gdzie pracodawca musi uzasadnić przyczynę rozwiązania umowy). Natomiast firma zewnętrzna, z uwagi na ochronę swojego wizerunku na rynku, raczej nie będzie zgłaszać do organu nadzorczego skargi dotyczącej potencjalnego naruszenia warunków odwołania IOD.

Jeszcze bardziej klarowna sytuacja jest w podmiotach publicznych, które zamawiają (w trybie ustawy o zamówieniach publicznych) pełnienie funkcji Inspektora Ochrony Danych na konkretny okres. Gdy zbliża się termin zakończenia współpracy, realizowany jest po prostu kolejny przetarg, który może wygrać inna firma, oferująca lepsze warunki (niekoniecznie cenowe).

Odnosząc się do kwestii dochodzenia roszczeń za nienależyte wykonywanie obowiązków spoczywających na Inspektorze Ochrony Danych warto wskazać, iż organizacja korzystająca z usług firmy zewnętrznej dysponuje większymi możliwościami ich dochodzenia. W tym przypadku, organizacja dochodzić będzie swoich roszczeń drogą cywilną, a nie na podstawie przepisów prawa pracy, które ograniczają odpowiedzialność materialną pracowników do równowartości 3-miesięcznego wynagrodzenia.

Podsumowanie

Inspektor Ochrony Danych odgrywa ważne role w funkcjonowaniu organizacji. Swoimi działaniami wspiera kierownictwo oraz innych pracowników w postępowaniu w zgodzie z przepisami prawa. Po za tym IOD ocenia procesy przetwarzania pod kątem bezpieczeństwa, zwracając uwagę na wykorzystywane zabezpieczenia, zasoby i okoliczności przetwarzania. W swojej pracy Inspektor Ochrony Danych pełni również funkcję punktu kontaktowego dla osób, których dane dotyczą,  organu nadzorczego oraz wszystkich innych podmiotów zewnętrznych zwracających się z pytaniami lub wnioskami dotyczącymi przetwarzania danych osobowych.

Wyznaczając Inspektora Ochrony Danych należy pamiętać o uwzględnieniu – przytoczonych w niniejszym artykule – wymagań przepisów prawa. Dotyczą one zarówno obowiązków związanych z wyznaczeniem IOD oraz z jego odwoływaniem, a także z zapewnieniem właściwej jego pozycji w organizacji i prawidłowej realizacji zadań jakie powinny być mu przypisane.

W sytuacji podjęcia decyzji o wyznaczeniu IOD, organizacja stanie przed pytaniem: który model sprawowania funkcji IOD będzie bardziej odpowiedni − pracownik wewnętrzny czy specjalista zewnętrzny? Większe organizacje, których trzonem działalności jest przetwarzanie danych osobowych, posiadające dużą ilość złożonych procesów lub przetwarzają dane szczególnej kategorii na większą skalę powinny raczej decydować się na zatrudnienie IOD wewnętrznego z zapewnieniem ciągłości w realizowaniu obowiązków na nim spoczywających (np. wyznaczając zastępcę IOD w myśl art. 11a 1. ustawy o ochronie danych osobowych z dnia 10 maja 2018r.). W pozostałych przypadkach z uwagi na potencjalnie mniejsze koszty, zagwarantowanie wykonywania zadań z należytą jakością i w sposób ciągły, organizacje są raczej skłonne do podjęcia współpracy z firmą zewnętrzną, świadczącą usługi pełnienia funkcji Inspektora Ochrony Danych przez oddelegowanego specjalistę.

Jesteś zainteresowany outsourcingiem funkcji IOD?

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.