IOD i informatyk w jednym – co z konfliktem interesów
Osoby będące informatykami niejednokrotnie mają wiedzę, która byłaby bardzo przydatna w wykonywaniu pracy inspektora ochrony danych. Czy jednak możliwe jest łączenie tych stanowisk w organizacji? Kwestię tę należy rozważyć w kontekście ewentualnego konfliktu interesów.
Uwaga na wyższe stanowiska informatyczne
Konflikt interesów może zaistnieć w przypadku wyższego stanowiska informatycznego (np. główny informatyk, administrator systemów informatycznych, kierownik działu IT itp.) – informatycy na tych stanowiskach są odpowiedzialni m.in. za wdrożenie i nadzór nad bezpieczeństwem systemów informatycznych, administrowanie nośnikami danych i serwerami, na których zapisywane są dane osobowe, nadawanie uprawnień dostępowych pozostałym pracownikom, wykrywanie, diagnozowanie i przeciwdziałanie nieautoryzowanym dostępom do zasobów przedsiębiorcy.
Wyższe stanowiska informatyczne to np. główny informatyk, administrator systemów informatycznych, kierownik działu IT itp.).
Informatycy na tych stanowiskach są odpowiedzialni m.in. za wdrożenie i nadzór nad bezpieczeństwem systemów informatycznych, administrowanie nośnikami danych i serwerami, na których zapisywane są dane osobowe, nadawanie uprawnień dostępowych pozostałym pracownikom, wykrywanie, diagnozowanie i przeciwdziałanie nieautoryzowanym dostępom do zasobów przedsiębiorcy.
Obowiązki w zakresie ochrony danych na wyższych stanowiskach informatycznych
Osoby te mają zatem liczne obowiązki związane z bezpieczeństwem przetwarzania danych osobowych. W ich ramach na administratorze danych może spoczywać obowiązek zapewnienia:
- pseudonimizacji i szyfrowania danych,
- zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Powyższe obowiązki w przeważającej części stanowią zadanie informatyczne. Łączenie zatem przez jedną osobę funkcji inspektora ochrony danych oraz informatyka wyznaczonego do wykonywania ww. czynności groziłoby konfliktem interesów. Inspektor ochrony danych bowiem w zakresie weryfikacji prawidłowego wdrożenia i przestrzegania zasad i procedur bezpieczeństwa kontrolowałby swoją własną pracę bądź pracę swojego zespołu. Przeprowadzone przez inspektora audyty mogłyby być zatem nieobiektywne, a wręcz − pomijać istotne kwestie.
Przykład
Wykrycie stosowania niewłaściwych zabezpieczeń, braku obowiązkowych aktualizacji, zaniechania tworzenia kopii zapasowych itp. mogłoby skutkować wyciągnięciem konsekwencji dyscyplinarnych względem informatyka, który dopuściłby się tego typu zaniechań. Nawet najbardziej profesjonalny IOD mógłby nie przekazać takich informacji administratorowi danych, bojąc się zwolnienia dyscyplinarnego z pracy.
Nie zawsze informatyk nie może być IOD
Zakaz łączenia stanowisk nie będzie wszakże dotyczył wszystkich stanowisk informatycznych, ale tylko takich, które mają związek z bezpieczeństwem przetwarzania danych osobowych. Czym innym jest także posiadanie przez inspektora wykształcenia informatycznego, jeżeli tylko nie jest on zatrudniony na ww. stanowisku w danej firmie.
- Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa
- Kodeks postępowania RODO w ochronie zdrowia - jakie rozwiązania przewiduje
- Roczne sprawozdanie RODO - czy jest wymagane od administratora danych osobowych lub IOD
- Czy inspektor ochrony danych może podpisać klauzulę informacyjną RODO
- Rekomendacje Urzędu Ochrony Danych Osobowych w sprawie inspektorów ochrony danych
- Czy IOD musi posiadać wiedzę na temat cyberbezpieczeństwa
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
