Bezpieczeństwo informacjiPytania i odpowiedziRODO

Czy CUW może powołać inspektora ochrony danych dla wielu jednostek organizacyjnych gminy

Centrum Usług Wspólnych (CUW) jest jednostką organizacyjną gminy (najczęściej powołaną przez Radę Gminy), wspierającą organ gminy w jego działaniach poprzez obsługę wybranych procesów w jednostkach obsługiwanych. Działania CUW reguluje ustawa z dnia 8 marca 1990r. „o samorządzie gminnym” (Dz. U. 1990 Nr 16 poz. 95). Powołane CUW, poza wspieraniem jednostek organizacyjnych gminy w zakresie informatycznym, księgowym czy kadrowym mogą zawierać również umowy zapewniające wsparcie inspektorów ochrony danych w obsługiwanych jednostkach.

Czy jest to dobre rozwiązanie?

Powołanie jednego inspektora ochrony danych dla wszystkich obsługiwanych jednostek jest dobrym rozwiązaniem jeżeli zostaną zapewnione odpowiednie warunki:

  1. Inspektor ochrony danych posiada odpowiednie kwalifikacje do wykonywania swoich zadań, co może zostać potwierdzone odpowiednimi szkoleniami lub certyfikatami (np. audytora ISO 27001).
  2. Inspektor ochrony danych posiada doświadczenie co najmniej z okresu 2-ch lat aktywnej pracy.
  3. Inspektor ochrony danych posiada co najmniej jeden z certyfikatów ujętych w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r.” w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu”.
  4. Inspektor ochrony danych sam decyduje w jaki sposób wspiera jednostki, w których jest powołany.

Ad. 1
Kompetencje audytora dają szansę na bezstronność i obiektywizm osoby pełniącej funkcje inspektora ochrony danych. Doświadczeni audytorzy, którzy pełnią funkcję IOD kierują się tymi pryncypiami i są one naprawdę ważne. Dlatego przykładowo audytorzy nie angażują się w aktywności polityczne, aby tą bezstronność zachować. Wyszkoleni i doświadczeni audytorzy są bardzo wyczuleni na punkcie etyki zawodowej.

Ad. 2
Nie jest regułą, że jakiekolwiek doświadczenie czyni z inspektora kogoś bardziej wykwalifikowanego. Osoby z rozwiniętymi „miękkimi” kompetencjami lub szybko chłonące wiedzę mogą być bardziej skuteczne niż osoby z doświadczeniem zawodowym, ale nie posiadające tych kompetencji lub nie rozwijające się. Oczywiście doświadczenie jest wskazane, ale nie wykluczalibyśmy osób bez niego, ale wspieranych np. przez audytorów.

Ad. 3
Podobnie do pkt. 2 nie jest regułą, że osoby z certyfikatem zawsze są skuteczne, ale certyfikat daje informację, że inspektor posiada usystematyzowaną wiedzę popartą certyfikatem uzyskanym na podstawie egzaminu.

Ad. 4
Jest  bardzo istotne, aby inspektor ochrony danych sam decydował o metodach stosowanych w swojej pracy. Niektóre nieprzemyślane zapisy w umowach z IOD lub w zakresie jego obowiązków narzucanym przez pracodawcę mogą wręcz utrudnić pracę inspektora.  Spotykane są zapisy w umowach, które obligują IOD do „wypracowania” konkretnej ilości godzin w siedzibie administratora danych osobowych, które są zupełnie niepraktyczne, gdyż inspektor może więcej czasu potrzebować na analizę i monitorowanie systemu zarządzania bezpieczeństwem informacji, wypracowanie procedur, analizę aktów prawnych. Do tego dochodzą szkolenia dla pracowników administratora. Bardzo łatwo jest skonsumować czas wymagany w umowie, a przydatność tego czasu będzie niewielka. Rozporządzenie 2016/679 daje inspektorom swobodę działania i podkreśla, że nie powinni oni podlegać innym osobom niż kierownictwo jednostki, dlatego inspektor powinien sam decydować o swoich metodach wywiązując się przede wszystkim z obowiązków zapisanych w aktach prawnych.

Jak zorganizować inspektora dla wszystkich jednostek?

Centrum Usług Wspólnych posiada możliwość zawarcia umowy wsparcia IOD dla wszystkich obsługiwanych jednostek, ale nie ma podstaw prawnych, aby zarządzeniem CUW powołało inspektora albo zgłosiło ten fakt do Prezesa Urzędu Ochrony Danych Osobowych, dlatego:

  1. Centrum Usług Wspólnych może zawrzeć umowę wsparcia IOD dla jednostek obsługiwanych lub wskazać pracownika CUW, który będzie realizować tą funkcję.
  2. Każda jednostka organizacyjna gminy (niezależnie od umowy CUW na zapewnienie wsparcia IOD) powołuje inspektora ochrony danych wewnętrznym zarządzeniem kierownika tej jednostki i zgłasza powołanego inspektora Prezesowi Urzędu Ochrony Danych Osobowych nie później niż 14 dni od dnia jego powołania.
  3. Każda jednostka (jeżeli zachodzi taka potrzeba) zawiera samodzielnie umowy powierzenia przetwarzania danych z dostawcami usług, w tym z inspektorem ochrony danych. CUW nie posiada podstaw prawnych, aby zawierać takie umowy w imieniu administratora danych osobowych.

Więcej informacji w tym temacie można znaleźć na stronie UODO