fbpx
Zaznacz stronę

Funkcja Inspektora Ochrony Danych wymaga posiadania fachowej wiedzy na temat ochrony danych i bezpieczeństwa informacji, która jednocześnie zmusza do stałego monitorowania wprowadzanych zmian w zakresie przestrzegania przepisów czy międzynarodowych standardów w tej tematyce. Jednym słowem, musisz być na bieżąco. Nawet, jeśli już jesteś IOD, to i tak nie raz zdarzy Ci się mieć wątpliwości i poszukiwać potwierdzenia swojej tezy. Bo to, co w ochronie danych jest pewne to to, że odpowiedź nigdy nie jest jedna i na 100% pewna. Wszystko zawsze zależy od celu, kontekstu i podstawy prawnej przetwarzania. Dlatego, tak ważne jest, aby systematycznie podnosić swoją wiedzę, być na bieżąco z aktualnymi problemami i wiedzieć jak i gdzie znaleźć podpowiedzi, które pomogą Ci w wykonywaniu obowiązków Inspektora Ochrony Danych. 

Funkcja Inspektora Ochrony Danych wymaga posiadania fachowej wiedzy na temat ochrony danych.

Rozwój wymaga zaangażowania i czasu!


Chciałabym podzielić się z Tobą moimi pięcioma sprawdzonymi sposobami na ciągłe poszukiwanie wiedzy, podnoszenie kwalifikacji i zdobywanie doświadczenia w wykonywaniu funkcji Inspektora Ochrony Danych. Większość z nich jest bezpłatna. Będą jednak wymagały zaangażowania Twojego czasu. Dzielę się nimi również na kursach dla Inspektorów Ochrony Danych, które cyklicznie prowadzę. Możesz wybrać najlepiej Ci odpowiadające. Pamiętaj jednak, że najlepszym rozwiązaniem jest połączyć wszystkie te sposoby, aby osiągnąć najlepsze rezultaty.

Sposób nr 1. Czytaj RODO. Nie raz, nie dwa, a kilka razy.

Dla każdego IOD najważniejszym i głównym źródłem wiedzy jest RODO. Zawsze!


Jeśli zamierzasz zajmować się zawodowo ochroną danych, nawet jeśli będziesz to robić tylko na jedną dziesiątą etatu, to podstawą jest zapoznanie się z dokumentem źródłowym. Wbrew pozorom ten pierwszy krok jest często pomijany. Tymczasem tekst RODO jest dostępny w języku polskim za darmo, do pobrania ze strony EUR-Lex, bazy aktów prawnych Unii Europejskiej. Moim zdaniem jest napisany przystępnym językiem, na ile o przystępności można mówić w kontekście przepisów prawa. Polecam szczególnie Twojej uwadze tzw. motywy. Są to kolejne wersy preambuły Rozporządzenia, oznaczone numerami w nawiasach od (1) do (173). Zanim przejdziesz do czytania kolejnych artykułów rozporządzania warto zapoznać się właśnie z motywami, gdyż w ich treści można odnaleźć wiele wskazówek na temat stosowania RODO, interpretacji niektórych pojęć i definicji, etc. 

Wracaj do RODO!


Oczywiście za pierwszym razem możesz mieć mały mętlik w głowie, ale warto do tekstu wrócić i zaznaczyć sobie te kwestie, które zwrócą Twoją uwagę. I tak za każdym razem. Mój egzemplarz RODO ledwo się trzyma. Plastikowa okładka odpada, a najważniejsze dla mnie kwestie są zaznaczone kolorowymi flamastrami. 

Oczywiście RODO to nie wszystko. Dodatkowo musisz zapoznać się z przepisami sektorowymi, które dotyczą przetwarzania danych w branży lub obszarze, w którym będziesz pracować jako Inspektor. Równie istotne jest śledzenie wszystkich zmian przepisów, które dotyczą prywatności, ochrony danych, gromadzenia, czy archiwizowania danych. I tak, wszystkim osobom pełniącym te funkcje przyda się znajomość Kodeksu Pracy, ale tylko niektórym Karta Nauczyciela, Prawo oświatowe, czy znajomość przepisów medycznych. Ważne jest, aby wybrać te akty prawne, które dotyczą obszaru, w którym działasz i na bieżąco śledzić zmiany, a tych w najbliższych latach z pewnością nie zabraknie.

Sposób nr 2.  Strony www i media społecznościowe.

Internet i jego zasoby to najczęstszy kierunek poszukiwania informacji, ale warto wiedzieć na których stronach poszukiwać rzetelnych treści, aby mieć pewność, że to co czytasz jest nadal aktualne. Pamiętaj, że nie tylko przepisy się zmieniają, ale także ich interpretacje, dlatego to, co zostało zamieszczone rok temu dziś może już nie być adekwatne. 

Nie tylko przepisy się zmieniają, ale także ich interpretacje.

Po pierwsze, zaglądaj cyklicznie na oficjalną stronę Urzędu Ochrony Danych Osobowych. Ja robię to co najmniej raz w tygodniu, aby śledzić publikowane komunikaty i aktualności. Możesz także obserwować strony innych europejskich odpowiedników PUODO. Szczególnie wiele przydatnych informacji zamieszcza brytyjski organ ochrony danych – ICO (Information Commissioner’s Office), a także francuski CNIL (Commission Nationale de l’Informatique et des Libertés ). Jeśli zamierzasz korzystać z z materiałów zagranicznych urzędów ochrony danych pamiętaj o tym, aby traktować je bardziej jako wskazówkę, inspirację. Nasz rodzimy PUODO może mieć nieco odmienne zdanie w niektórych kwestiach, więc trzeba zachować rozwagę.

Wykorzystuj potencjał social media w poszerzaniu swojej wiedzy specjalistycznej!

Kolejną drogą są media społecznościowe. Są łatwo dostępne, cieszą się powszechnym zainteresowaniem i co raz więcej nie tylko firm, ale i instytucji zakłada konta na serwisach społecznościowych i promuje swoją działalność. Możliwości jest wiele. Osobiście polecam LinkedIn. Warto obserwować tam kluczowe osobistości w temacie ochrony danych danych. Dla mnie są to: dr Wojciech Wiewiórowski, GIODO w latach 2010 – 2014, a obecnie zastępca Europejskiego Inspektora Ochrony Danych (EDPS), adw. dr Paweł Litwiński, który wraz ze swoim wspólnikiem – radcą prawnym Pawłem Barta, jest współautorem wielu komentarzy do ustawy o ochronie danych, jak i RODO, a tematyką ochrony prywatności zajmuje się od kilkunastu lat, dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator prac nad reformą ochrony danych w Polsce.

W mediach społecznościowych swoje konta posiada również wspomniany wyżej ICO, CNIL, czy EDPS. Bez trudu odnajdziesz je na Linkedinie.

Sposób nr 3. Opinie Grupy roboczej art. 29

Opinie Grupy roboczej art. 29 ds. ochrony danych osobowych były i nadal są nieocenionym źródłem wiedzy na temat aktualnych zaleceń i interpretacji dotyczących ochrony prywatności na arenie europejskiej. Grupa ta, to niezależny podmiot o charakterze doradczym, powołana na podstawie art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Obecnie, od dnia 25 maja 2018 r., zgodnie z RODO zastąpiona przez Europejską Radę Ochrony Danych. Członkami tego organu są przedstawiciele organów ochrony danych państw członkowskich, a zadaniem jest między innymi wydawanie opinii i zaleceń we wszystkich sprawach dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych w UE.

Opinie Grupy roboczej są nieocenionym źródłem wiedzy!

Opinie Grupy, także te sprzed maja 2018 r., są nadal aktualne i dostępne w języku polskim na stronie PUODO.  Zwykle trzeba poświęcić trochę czasu na zapoznanie się z nimi i właściwe odniesienie do konkretnego przypadku, ale dają obraz kierunku interpretacji, którą prawdopodobnie będzie kierował się nasz PUODO. Opinie grupy nie są wiążące, ale niemalże w każdym przypadku organy ochrony danych krajów członkowskich, w tym PUODO, uznają je i powołują się na nie w swoich opiniach. Warto więc je wcześniej znać.

Sposób nr 4. Sprawozdania PUODO i plan kontroli sektorowych.

Plan kontroli sektorowych pozwoli przygotować się do ewentualnej kontroli.

Zgodnie z art. 78 ust. 2 ustawy 10 maja 2018 r. o ochronie danych osobowych PUODO prowadzi kontrolę zgodnie z zatwierdzonym planem kontroli lub na podstawie informacji uzyskanych przez Prezesa Urzędu w kwestii przestrzegania stosowania RODO. Plan kontroli sektorowych w I Q roku był dostępny na stronie organu. W tym roku jest on również bardzo wypatrywany, ponieważ daje wskazówkę nie tylko o sektorach, które mogą spodziewać się kontroli, ale także często o zakresie lub jak kto woli temacie potencjalnej kontroli, np. w ubiegłym roku prowadzone były zgodnie z planem kontrole w zakresie przetwarzania danych osobowych w związku ze stosowaniem monitoringu pozwalającego na profilowaniu klientów, czy w związku z rejestracją pacjentów. A to daje już wskazówkę na temat tego, jakie zgłoszenia i skargi mogły trafiać do urzędu w roku poprzednim, czyli czego się spodziewać i co sprawdzić u siebie, na co położyć nacisk podczas okresowych sprawdzeń jako IOD. P.S. Kontrole sektorowe to nie jedyne możliwości kontroli, więc absolutnie nie należy się sugerować tym, że np. nasza branża nie została w nim ujęta.

Kolejna opcja to sprawozdania, które organ ochrony danych (dawnej GIODO, dziś PUODO) zdaje do połowy roku za rok poprzedni ze swojej działalności. W sprawozdaniu, oprócz statystyk, ilości prowadzonych kontroli, etc., znajdziemy między innymi informacje o tym jakie były wyniki sprawdzeń w kontrolowanych podmiotach i na co szczególnie inspektorzy zwracali swoją uwagę. Tym sposobem będziesz na bieżąco z aktualnymi problemami, z którymi spotkali się inspektorzy organu. Otrzymasz bezpłatnie dużą wskazówkę, którą możesz wykorzystać w  swojej działalności.  Być może zainspiruje cię to do rozwiązania podobnych problemów w podmiocie, w którym pełnisz funkcję IOD, wyprzedzisz pewne działania i od razu będziesz mógł skorygować niektóre działania, o ile w tym zakresie okażą się niewłaściwe.

Na starej stronie GIODO dostępne są sprawozdania z lat poprzednich. Oczekując na sprawozdanie za 2018 r., możesz się z nimi zapoznać. Generalne wartości ochrony prywatności pozostają bez zmian, dlatego moim zdaniem sięganie do poprzednich sprawozdań nadal ma sens.

Sposób nr 5. Szkolenia i kursy.

Jednym z najszybszych sposobów na zapoznanie się z przepisami i aktualizowanie ich wytycznych jest uczestniczenie w szeregu specjalistycznych kursów i szkoleń. Jest wiele płatnych opcji dostępnych na rynku. Jedno jest pewne – jednodniowe szkolenie ogólne o RODO jest dobre, ale dla osoby początkującej,  by zapoznać się z przepisami. Natomiast, dla osoby mającej fachowo zajmować się ochroną danych w podmiocie, w którym została powołana, może okazać się to niewystarczające. Kolejnym etapem mogą być więc kursy dla Inspektora Ochrony Danych, dedykowane szkolenia z analizy ryzyka, prowadzenia audytu wewnętrznego, czy zarządzania bezpieczeństwem informacji wg ISO 27001. Wszystko zależy od tego, na jakim poziomie jest potrzebna wiedza i kompetencje IOD w podmiocie, w którym zamierzasz pracować.

Szkolenia i kursy były, są i będą jednym z najlepszych sposobów na poszerzenie swojej wiedzy!

Dobrym sposobem poszerzania wiedzy są także szkolenia organizowane przez PUODO dla Inspektorów Ochrony Danych, zgłoszonych do PUODO przez administratorów danych, którzy ich powołali. Jeśli spełniasz ten warunek, warto śledzić stronę PUODO cyklicznie, ponieważ umieszczane są na niej informacje o naborze na bieżące szkolenia. Zainteresowanie jest zwykle bardzo duże i decyduje kolejność zgłoszeń. Szkolenia trwają kilka godzin i odbywają się w Warszawie. Udział w szkoleniu jest bezpłatny. Dotychczas PUODO organizował szkolenia dla IOD z wybranego sektora, ale ostatnio ten trend się zmienił i szkolenia dotyczą wszystkich w ramach konkretnego zagadnienia,  np. oceny skutków lub spełnienia obowiązku informacyjnego.