Temat: Powołanie IDO

Firma powołuje inspektora, który jest pracownikiem, w zakres obowiązków czynności wynikające bezpośrednio z RODO i część obowiązków ADO; rejestr czynności, upoważnienia ..
I na koniec paragraf mówiący o:
skutkach prawnych (cywilnych, dyscyplinarnych i karnych) podejmowanych decyzji w zakresie prowadzonych zagadnień.
Mam tzw. mieszane uczucia. Co o tym sądzicie?

Temat: Powołanie IDO

Jak może nadzorować, wykonując?

Temat: Powołanie IDO

Po pierwsze, to z moich doświadczeń na tym forum raczej nie spodziewałbym się uzyskania konkretnych, ani też wiążących odpowiedzi na te pytania. Wynika to z faktu, że wszyscy tutaj uczą się RODO i nikt nie wie jak będzie ono działać, nawet jeśli takie sprawiają wrażenie :) Proszę mieć to na uwadze.

Próbując odpowiedzieć na Pani pytania to (moim zdaniem):

1. Powołanie IOD określa art. 37, który mówi, że może to być członek personelu (pracownik lub zleceniobiorca) lub podmiot zewnętrzny (ust. 6)
2. Art. 38 ust. 6 mówi dodatkowo, że IOD może wykonywać obowiązki pod warunkiem, że nie następuje konflikt interesów.
3. Zagadnienie konfliktu interesów najlepiej opisuje stanowisko grupy roboczej art. 29 WP 243. To jest trudny i dyskusyjny temat. Mówi on m.in. o tym dlaczego IOD nie powien być w tej same organizacji szefem IT czy menedżerem HR, itp.
4. Skutki prawne – odpowiedzialność na końcu i tak spada na Administratora, czyli firmę, czyli osoby go reprezentujące: Zarząd, Dyrektor, Burmistrz, Marszałek. IOD nie jest drogą do pozbycia się odpowiedzialności, tak samo jak np. zatrudnienie księgowego/księgowej nie jest drogą do oddalania od siebie odpowiedzialności za niewłaściwe naliczenie podatków. Na końcu odpowiedzialność i tak ponosi kierownik zakładu.
5. IOD nie powinien nadawać upoważnień - analogia per ABI czyt. opinię GIODO https://giodo.gov.pl/pl/259/10412

Mam nadzieję, że choć trochę pomogłem.

Pozdrawiam,
MichałTen post został edytowany przez Autora dnia 20.03.18 o godzinie 23:04

Temat: Powołanie IDO

Michał S.:

4. Skutki prawne – odpowiedzialność na końcu i tak spada na Administratora, czyli firmę, czyli osoby go reprezentujące: Zarząd, Dyrektor, Burmistrz, Marszałek. IOD nie jest drogą do pozbycia się odpowiedzialności, tak samo jak np. zatrudnienie księgowego/księgowej nie jest drogą do oddalania od siebie odpowiedzialności za niewłaściwe naliczenie podatków. Na końcu odpowiedzialność i tak ponosi kierownik zakładu.
5. IOD nie powinien nadawać upoważnień - analogia per ABI czyt. opinię GIODO https://giodo.gov.pl/pl/259/10412

Mam nadzieję, że choć trochę pomogłem.

Pozdrawiam,
Michał

Które ta odpowiedzialność? Z RODO? Tak.
Ale za swoje czyny każdy odpowiada w zakresie swojej roli w konkret zdarzeniu.

Taka mała konstrukcja. IOD bierze na siebie zadania administratora. Robi błędną procedurę, która powoduje ujawnienie danych osobowych (informacji, z którymi się osoba zapoznała).
266 Kodeksu Karnego.

Ów IOD i pół-admin kieruje? Art 18 KK.

Pracownik? A np. jeszcze 100 ust 5. Kodeksu pracy, jeśli mógł i powinien przewidzieć skutki czynu.

Z tymi odpowiedzialnościami zawężać się do RODO, a wcześniej UODO to tak trochę niekoniecznie. Bo konkret ujawnień (akurat poufność) to nie dokonuje Yeti, tylko konkretna osoba.

Temat: Powołanie IDO

Grzegorz K.:

Które ta odpowiedzialność? Z RODO? Tak.
Ale za swoje czyny każdy odpowiada w zakresie swojej roli w konkret zdarzeniu.

Taka mała konstrukcja. IOD bierze na siebie zadania administratora. Robi błędną procedurę, która powoduje ujawnienie danych osobowych (informacji, z którymi się osoba zapoznała).
266 Kodeksu Karnego.

Ów IOD i pół-admin kieruje? Art 18 KK.

Pracownik? A np. jeszcze 100 ust 5. Kodeksu pracy, jeśli mógł i powinien przewidzieć skutki czynu.

Z tymi odpowiedzialnościami zawężać się do RODO, a wcześniej UODO to tak trochę niekoniecznie. Bo konkret ujawnień (akurat poufność) to nie dokonuje Yeti, tylko konkretna osoba.

No tak IDO ma odpowiedzialność z KP i KK - jak każdy pracownik odpowiada za to co robi.
Ale z wytycznych GR WP 243 wynika przynajmniej, że "nie może zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów" - a to, dla niektórych ADO wcale nie jest oczywiste - mamy IDO to niech decyduje i ponosi za to konsekwencje.
Z zakresem obowiązków a co za tym idzie z ustaleniem procedur też mam wątpliwości. Zgodzę się, że IDO nie może wystawiać za ADO upoważnień, ale pytanie, czy może je dla niego przygotowywać? Np na zlecenie kadr (w trakcie zatrudnienia zmiany upoważnień na zlecenie kierowników). Wydawałoby się to logiczne - zna czynności przetwarzania , zbiory, systemy informatyczne i całą politykę bezpieczeństwa, szkoli pracowników również tych przyjmowanych

Temat: Powołanie IDO

Bożena M.:

... ale pytanie, czy może je dla niego przygotowywać? Np na zlecenie kadr (w trakcie zatrudnienia zmiany upoważnień na zlecenie kierowników). Wydawałoby się to logiczne - zna czynności przetwarzania , zbiory, systemy informatyczne i całą politykę bezpieczeństwa, szkoli pracowników również tych przyjmowanych

Przygotowanie na zlecenie kadr jest sprzeczne z art.38.3 zdanie pierwsze i ostatnie.
Przygotowanie w ogólności będzie sprzeczne z art. 39.1.c.

Temat: Powołanie IDO

Radosław Z.:

Bożena M.:
... ale pytanie, czy może je dla niego przygotowywać? Np na zlecenie kadr (w trakcie zatrudnienia zmiany upoważnień na zlecenie kierowników). Wydawałoby się to logiczne - zna czynności przetwarzania , zbiory, systemy informatyczne i całą politykę bezpieczeństwa, szkoli pracowników również tych przyjmowanych

Przygotowanie na zlecenie kadr jest sprzeczne z art.38.3 zdanie pierwsze i ostatnie.

A jak inspektorowi zleci przygotowanie upoważnienia ADO i będzie je potem analizował, podpisywał, wydawał?

Przygotowanie w ogólności będzie sprzeczne z art. 39.1.c.

Temat: Powołanie IDO

Panowie bardzo poważnie podchodzą do tematu (i słusznie, bo to świadczy o tym, że są wysokiej klasy specjalistami), ale powiem Pani jak to wygląda w miejscu gdzie nie ma do dyspozycji sztabu ludzi i nieskończonych zasobów finansowych.
Zgadzam się bezsprzecznie z argumentem odnoszącym się do art. 38.3. Nie wyobrażam sobie żeby kierownik kadr zlecał mi przygotowanie czegokolwiek, może jedynie poprosić mnie o opinię. Ale nieco inaczej wygląda sprawa z ADO.

Bożena M.:

A jak inspektorowi zleci przygotowanie upoważnienia ADO i będzie je potem analizował, podpisywał, wydawał?

Słowo "zleca" zamieniamy sobie na zwrot "prosi o pomoc/radę/opinię" i to niejako rozwiązuje problem chociaż droga do osiągnięcia celu się nie zmienia.
W praktyce wygląda to tak, że mój ADO nie ma czasu na sporządzanie tej całej dokumentacji i nie ma też ludzi, na których może to zrzucić. Do tej pory to ABI sporządzał i nadawał upoważnienia, ale w związku z ostatnią interpretacją GIODO została do tego upoważniona przez ADO inna osoba.

Przepisy swoje a realia swoje.

Temat: Powołanie IDO

Bożena M.:
A jak inspektorowi zleci przygotowanie upoważnienia ADO i będzie je potem analizował, podpisywał, wydawał?

to nadal to będzie wydawanie instrukcji i poleceń w związku z wykonywaniem zadań IODo.

Tak jak napisała Paulina, jeśli poprosi o pomoc/radę/opinię, to IODo ma obowiązek się nie tylko ustosunkować ale też wskazać prawidłowe rozwiązania (najlepiej alternatywne, tak by ADO dokonał wyboru). Nie chodzi tu o semantykę ale od wyraźne rozgraniczenie kompetencji.
W razie kontroli, pierwszą rzeczą jest badanie kompetencji - czy ten, kto coś zrobił miał do tego prawo i z czego to wynikało, ale też, czy przepisy nie stoją na przeszkodzie by to robił.

Jeśli wzór upoważnienia miałby być zatwierdzony, to w żadnym przypadku jego autorem nie może być IODo. Co nie stoi na przeszkodzie (a wręcz jest pożądane) by taki projekt podpisał jako opiniujący.

Temat: Powołanie IDO

Paulina S.:
Panowie bardzo poważnie podchodzą do tematu (i słusznie, bo to świadczy o tym, że są wysokiej klasy specjalistami), ale powiem Pani jak to wygląda w miejscu gdzie nie ma do dyspozycji sztabu ludzi i nieskończonych zasobów finansowych.
Zgadzam się bezsprzecznie z argumentem odnoszącym się do art. 38.3. Nie wyobrażam sobie żeby kierownik kadr zlecał mi przygotowanie czegokolwiek, może jedynie poprosić mnie o opinię. Ale nieco inaczej wygląda sprawa z ADO.

Bożena M.:

A jak inspektorowi zleci przygotowanie upoważnienia ADO i będzie je potem analizował, podpisywał, wydawał?

Słowo "zleca" zamieniamy sobie na zwrot "prosi o pomoc/radę/opinię" i to niejako rozwiązuje problem chociaż droga do osiągnięcia celu się nie zmienia.
W praktyce wygląda to tak, że mój ADO nie ma czasu na sporządzanie tej całej dokumentacji i nie ma też ludzi, na których może to zrzucić. Do tej pory to ABI sporządzał i nadawał upoważnienia, ale w związku z ostatnią interpretacją GIODO została do tego upoważniona przez ADO inna osoba.

Przepisy swoje a realia swoje.

No to mamy podobnie. I tak jest pewnie w większości firm, a już na pewno w tych, które maja ograniczony budżet. U nas pracownik przyjmowany do pracy z pewnością znajdzie się w kadrach i u IDO (jeśli będzie przetwarzał). IDO zna czynności .. więc aż się prosi, że przygotuje upoważnienie

Temat: Powołanie IDO

Bożena M.:
No to mamy podobnie. I tak jest pewnie w większości firm, a już na pewno w tych, które maja ograniczony budżet. U nas pracownik przyjmowany do pracy z pewnością znajdzie się w kadrach i u IDO (jeśli będzie przetwarzał). IDO zna czynności .. więc aż się prosi, że przygotuje upoważnienie

Tak, powinien przygotować upoważnienie do podpisu ADO, na wniosek przełożonego nowego pracownika. Po formalnym upoważnieniu winien przeszkolić nowego pracownika z zakresu ogólnie o.d.o. oraz przetwarzaniem na stanowisku jakie będzie zajmować. Upoważnienie (podpisane) powinno być okazane ASI w celu nadania uprawnień do przetwarzania d.o. w SI.

Temat: Powołanie IDO

Bożena M.:
A jak inspektorowi zleci przygotowanie upoważnienia ADO i będzie je potem analizował, podpisywał, wydawał?

Dla mnie bez sensu funkcjonalnie, upoważnienia powinien wydawać właściciel procesu. Kiedy zakres upoważnienia ma podpisać ten, kto fizycznie będzie potem dopuszczał człowieka do szaf, biurek, do IT i nadzorował jego pracę, to on sobie ten papier w głowie powiąże z rzeczywistością i poważnie się zastanowi nad zakresem upoważnienia i przestrzeganiem procedur dostępu, zachowaniem wewnętrznej poufności itp. Odpowiadam za dane w jakimś zakresie i to ja mam zdecydować, komu i po co udzielę dostępu.

Kiedy upoważnienia przygotowuje ABI, każdy to traktuje jako kolejny papier bez znaczenia praktycznego.

Temat: Powołanie IDO

Bożena M.:

Grzegorz K.:

Które ta odpowiedzialność? Z RODO? Tak.
Ale za swoje czyny każdy odpowiada w zakresie swojej roli w konkret zdarzeniu.

Taka mała konstrukcja. IOD bierze na siebie zadania administratora. Robi błędną procedurę, która powoduje ujawnienie danych osobowych (informacji, z którymi się osoba zapoznała).
266 Kodeksu Karnego.

Ów IOD i pół-admin kieruje? Art 18 KK.

Pracownik? A np. jeszcze 100 ust 5. Kodeksu pracy, jeśli mógł i powinien przewidzieć skutki czynu.

Z tymi odpowiedzialnościami zawężać się do RODO, a wcześniej UODO to tak trochę niekoniecznie. Bo konkret ujawnień (akurat poufność) to nie dokonuje Yeti, tylko konkretna osoba.

No tak IDO ma odpowiedzialność z KP i KK - jak każdy pracownik odpowiada za to co robi.
Ale z wytycznych GR WP 243 wynika przynajmniej, że "nie może zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów" - a to, dla niektórych ADO wcale nie jest oczywiste - mamy IDO to niech decyduje i ponosi za to konsekwencje.
Z zakresem obowiązków a co za tym idzie z ustaleniem procedur też mam wątpliwości. Zgodzę się, że IDO nie może wystawiać za ADO upoważnień, ale pytanie, czy może je dla niego przygotowywać? Np na zlecenie kadr (w trakcie zatrudnienia zmiany upoważnień na zlecenie kierowników). Wydawałoby się to logiczne - zna czynności przetwarzania , zbiory, systemy informatyczne i całą politykę bezpieczeństwa, szkoli pracowników również tych przyjmowanych

Dyskusja o tym, co ma robić już tu była. I czy fortunnie czy nieco mniej został przetłumaczony art 39.

Sprostuję - każdy ma odpowiedzialność z 266 KK, a 100 KP - pracownik. IDO, a dokładniej ten co wprowadza zasady bezpieczeństwa może też mieć, w formie zjawiskowej jaką jest sprawstwo kierownicze (zależność, wydawanie poleceń, etc).

Natomiast co do innych zadań. Otóż szkolenie ma kolosalny wpływ na realizację każdego systemu zarządzania bezpieczeństwem. Formalnie powinno wyglądać tak, że osoby są informowane o ich obowiązkach w związku z RODO (nie o całym RODO, tak jak szkolenie z ochrony PPOŻ nie dotyczy całości, a tylko zagadnień dla konkret obiektu. Bo kto zna zasady zaopatrzenia wodnego budynków do celów gaśniczych? ;-))
Szkoli osoba, która ustanowiła system, albo ma uprawnienia.

PS ciągle mam wrażenie, że ciągnie się za nami w dyskusjach w Polsce to, że poplątano ABI z managerem/specjalistą. Teraz IOD ma być managerem, który ustanawia system, wdraża go, doskonali i rozwija. A to nie tak.