Temat: IOD w administracji publicznej

Na dzisiejszym szkoleniu z RODO wywiązał się spór kto może zostać IOD-ą . Szkolący stwierdził że to musi być oddzielna osoba w strukturze urzedu. Nie jak teraz że ABI-m jest pracownik któremu powierzono dodatkowe funkcje. co o tym myśleć?

Temat: IOD w administracji publicznej

Radek S.:
Nie jak teraz że ABI-m jest pracownik któremu powierzono dodatkowe funkcje.

To prawda. Klasyczny konflikt interesów. Pracownik nadzoruje sam siebie.

Temat: IOD w administracji publicznej

Radek S.:
co o tym myśleć?

Choć myślenie jest potrzebne, to warto przeczytać rodo. Przeczytać przepisy o IODo (art.38.6. zdanie drugie). Wówczas właściwe myślenie przyjdzie samo.

Temat: IOD w administracji publicznej

Paweł G.:

Radek S.:
Nie jak teraz że ABI-m jest pracownik któremu powierzono dodatkowe funkcje.

To prawda. Klasyczny konflikt interesów. Pracownik nadzoruje sam siebie.

A dziś nie? Przecież z mocy ustawy ABI sam siebie nadzoruje

Temat: IOD w administracji publicznej

Grzegorz K.:
A dziś nie? Przecież z mocy ustawy ABI sam siebie nadzoruje

Nie powinien. ABI-ego może nadzorować audytor wewnętrzny. W sensie merytorycznym nikt go natomiast nie nadzoruje.

Temat: IOD w administracji publicznej

Grzegorz K.:

Paweł G.:

Radek S.:
Nie jak teraz że ABI-m jest pracownik któremu powierzono dodatkowe funkcje.

To prawda. Klasyczny konflikt interesów. Pracownik nadzoruje sam siebie.

A dziś nie? Przecież z mocy ustawy ABI sam siebie nadzoruje

No właśnie, czym to się różni od aktualnego stanu prawnego?

Temat: IOD w administracji publicznej

Wytyczne Grupy Roboczej dotyczące inspektorów ochrony danych przyjęte w dniu 13 grudnia 2016 r.

3.5 Konflikt interesów
Artykuł 38(6) umożliwia DPO wykonywanie „innych zadań i obowiązków”. Dalej w artykule widnieje zapis, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.”
Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć DPO mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów. Oznacza to, że DPO nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.
Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Ponadto, konflikt interesów może powstać, gdy zewnętrzny DPO zostanie poproszony o reprezentowanie administratora lub podmiotu przetwarzającego przed sądem w sprawie dotyczącej ochrony danych osobowych.

Temat: IOD w administracji publicznej

Magdalena J.:

No właśnie, czym to się różni od aktualnego stanu prawnego?

Różnic jest sporo. Ale zamiast tego odpowiesz czym się, według Ciebie, nie różni.

Temat: IOD w administracji publicznej

Paweł G.:
Nie powinien. ABI-ego może nadzorować audytor wewnętrzny. W sensie merytorycznym nikt go natomiast nie nadzoruje.

Obawiam się, że audytor wewnętrzny, na gruncie uodo, nie ma prawnej możliwości nie tylko nadzorowania ale i kontrolowania działalności ABiego. Tyle, że to może być dyskusja na osobny wątek.

Temat: IOD w administracji publicznej

Magdalena J.:

Grzegorz K.:

Paweł G.:

Radek S.:
Nie jak teraz że ABI-m jest pracownik któremu powierzono dodatkowe funkcje.

To prawda. Klasyczny konflikt interesów. Pracownik nadzoruje sam siebie.

A dziś nie? Przecież z mocy ustawy ABI sam siebie nadzoruje

No właśnie, czym to się różni od aktualnego stanu prawnego?

Będzie gorzej. Odpowiadać będzie za:
1. Podział obowiązków w zakresie RODO. A to oznacza, że to ON będzie określał zadania. A potem sobie sprawdzi (audytuje) czy zrobił to dobrze i czy to działa.
2. Będzie szkolił. Szkolenie jest podstawą wdrożenia. Potem sobie sprawdzi, czy dobrze wyszkolił. Juz widzę, jak sobie sam trzepnie ewaluację Kirpatrickiem.. oczywiście jeśli zrozumie co to i że jest (niektórzy prawnicy już wymyślają rewolucyjne DPIA)
3, Będzie monitorował przestrzeganie prawa, a potem sprawdzi, czy ten monitoring jest prawidłowo wdrożony i czy działania naprawcze (korygujące) są dobrze robione.
4. Będzie działał z należytym uwzględnieniem ryzyka, a potem sprawdzi, czy je należycie uwzględnił.
5. Otworzyłem i byłbym zapomniał. Będzie realizował programy security awareness (w dużym uproszczeniu zwiększające świadmość) a potem audytowąc będzie, czy dobrał właściwe metody i środki do założonych celów oraz sprawdzi ich realizację.

Sorry, piszę zakres obowiązków dla IOD i oczy mi krwawią...

Temat: IOD w administracji publicznej

Radosław Z.:

Magdalena J.:
No właśnie, czym to się różni od aktualnego stanu prawnego?

Różnic jest sporo. Ale zamiast tego odpowiesz czym się, według Ciebie, nie różni.

Faktycznie, zapędziłam się.. Obecnie ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej (tym się nie różni). I tutaj np. ABI w administracji mógł być kierownik np. referatu, sekretarz itd. Według RODO osoby te są wykluczone. Pracownik ds. kadr również zostaje wykluczony pomimo, że jest na niższym stanowisku.

W związku z tym chyba faktycznie jedynym rozwiązaniem jest pracownik na samodzielnym stanowisku pełniący funkcje IOD i wykonujący inne zadania nie powodujące konfliktu interesów?Ten post został edytowany przez Autora dnia 27.10.17 o godzinie 10:01

Temat: IOD w administracji publicznej

Magdalena J.:
W związku z tym chyba faktycznie jedynym rozwiązaniem jest pracownik na samodzielnym stanowisku pełniący funkcje IOD i wykonujący inne zadania nie powodujące konfliktu interesów?

Jeśli rozpatruje się wyłącznie opcję zatrudnionego u ADO pracownika, to tak. Samodzielne stanowisko to podstawa. Dodatkowe obowiązki, to możliwości. Wśród wielu ADO pokutuje całkowicie błędne przekonanie, że ABI/IODo nie ma nic do roboty. Afery z wyciekami d.o. wielkich firm (a co dopiero tym małych) są tego dobitnym potwierdzeniem. Raporty o cyberbepieczeństwie są alarmujące (50% firm w kraju zostało zaatakowanych). Ale nie dla ADO (sporej części).

Temat: IOD w administracji publicznej

Radosław Z.:
Obawiam się, że audytor wewnętrzny, na gruncie uodo, nie ma prawnej możliwości nie tylko nadzorowania ale i kontrolowania działalności ABiego. Tyle, że to może być dyskusja na osobny wątek.

Spierają się o to najtęższe polskie umysły prawnicze ;)
Ja zgadzam się z opinią dra Sibigi, że audyt wewnętrzny może kontrolować kwestie proceduralne (np. czy w ogóle przychodzi do pracy), ale nie wolno mu oceniać ABI pod kątem merytorycznym (np. wyrażać kontropinii na tematy dotyczące oceny stosowanych przez ADO środków ochrony).

Temat: IOD w administracji publicznej

Grzegorz K.:
Będzie gorzej. Odpowiadać będzie za:
1. Podział obowiązków w zakresie RODO. A to oznacza, że to ON będzie określał zadania.

Absolutnie. Za podział obowiązków i przydział zadań odpowiada nadal ADO.

2. Będzie szkolił. Szkolenie jest podstawą wdrożenia. Potem sobie sprawdzi, czy dobrze wyszkolił.

Nie zgadzam się. Sprawdzenie nie dotyczy tego, czy ABI dobrze wyszkolił, ale czy pracownik przyswoił podaną wiedzę i czy ją stosuje w praktyce.

3, Będzie monitorował przestrzeganie prawa, a potem sprawdzi, czy ten monitoring jest prawidłowo wdrożony

Też się nie zgadzam. Tryb monitorowania (np. częstotliwość, zakres) przez ABI winny określać wewnętrzne polityki. Wg mnie ABI nie powinien w tym zakresie sprawdzać sam siebie, ale podlegać nadzorowi ADO (np. działu audytu).

i czy działania naprawcze (korygujące) są dobrze robione.

To oczywiste. Od tego jest ABI.

4. Będzie działał z należytym uwzględnieniem ryzyka, a potem sprawdzi, czy je należycie uwzględnił.

Tu również brak zgody. W tym zakresie podlega nadzorowi ADO.

5. Otworzyłem i byłbym zapomniał. Będzie realizował programy security awareness

Też nie sądzę. Może co najwyżej realizować niektóre elementy tych programów, bo za ich zaplanowanie i wdrożenie odpowiada ADO.

Temat: IOD w administracji publicznej

Ja czytam wprost art 38.
1. Inspektor ochrony danych ma następujące zadania:
monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

A więc ma podział obowiązków w zadaniach, a nie nadzorowanie podziału. Ma działania zwiększające, a nie nadzorowanie działania. Ma szkolenia, a nie nadzorowanie szkoleń. Powiązane z tym audyty, a nie nadzorowanie powiązanych audytów.

Temat: IOD w administracji publicznej

Grzegorz K.:
Ja czytam wprost art 38.

Czytałem to do dzisiaj tak:

Inspektor ochrony danych ma następujące zadania:
monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym [monitoruje] podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

A więc ma podział obowiązków w zadaniach, a nie nadzorowanie podziału. Ma działania zwiększające, a nie nadzorowanie działania. Ma szkolenia, a nie nadzorowanie szkoleń. Powiązane z tym audyty, a nie nadzorowanie powiązanych audytów.

Sam nie wiem, czemu tak czytałem. Jakoś się zafiksowałem chyba. Poczekam na komentarz, ale możesz mieć rację.

Nie mam problemu z tym, że DPO ma szkolić, audytować, podejmować działania zwiększające świadomość. Ale jak ma wykonywać "podział obowiązków", skoro nie jest przełożonym, a za środki organizacyjne odpowiada nie on, lecz ADO?

Temat: IOD w administracji publicznej

Paweł G.:

Czytałem to do dzisiaj tak:

Inspektor ochrony danych ma następujące zadania:
monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym [monitoruje] podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

Większość tak czyta ;-)

Sam nie wiem, czemu tak czytałem. Jakoś się zafiksowałem chyba. Poczekam na komentarz, ale możesz mieć rację.

W teraz zestawmy do tego niezależność IOD i...

Nie mam problemu z tym, że DPO ma szkolić, audytować, podejmować działania zwiększające świadomość. Ale jak ma wykonywać "podział obowiązków", skoro nie jest przełożonym, a za środki organizacyjne odpowiada nie on, lecz ADO?

Idąc tropem niezależności... Może o to chodzi, żeby dać IOD-owi narzędzia już w akcie prawnym? Dlatego to on ma wykonywać te zadania, dzielić, etc?

Natomiast co do problemów, to ja mam I to duży. Niżej wprowadzenie, żeby zrozumieć

Wczoraj dyskutowałem z jednym z security managerów (SM) z sieci handlowej, która ma swój salon w CH w Stalowej Woli. Właśnie o materiale security awareness. Dla wyjaśnienia tym, którzy mnie nie znają, zajmuję się naprawdę szeroko pojętym bezpieczeństwem, a dokładniej zarządzaniem nim.

Otóż ów SM przesłał mi materiał. Klasyczne tips&tricks stosowane w security awareness plus case study. Miałem kilka uwag do prezentacji R-H-F (run-hide-figt, czyli uciekaj, chowaj się, walcz - taktyka w sytuacji niebezpiecznej, nożownik, aktywny strzelec). Uwagi były czysto techniczne, związane z zasadami konstruowania tego typu materiału. Wyjaśnię, żeby było wiadomo.
Jest zasada w drugiej fazie, żeby się kryć. W taki sposób, aby nie być widocznym dla strzelca czy nożownika. Ale jeśli tworzymy ulotki informacyjne to muszą być to hasła, bo takie ludzie zapamiętają. SM napisał to, ale słowem pisanym i w kilku miejscach. Zabrakło mi w ulotce. Dodałem mu hasło
"Jeśli ty widzisz atakującego, on widzi ciebie" (parafraza hasła z procedur związanych z ładunkami wybuchowymi).
Takie hasło łatwo jest zapamiętać. Druga rzecz, materiał w formie case study, do którego załączamy ulotkę musi mieć tez pewną strukturę. Słowa kluczowe (jeśli wchodzi do wewnętrznej bazy wiedzy - KMS, (knowledge management system), czy systemu szkolenia LMS (learning management system), cele danego case, powiązanie z innymi i materiały informacyjne, właśnie ulotki. A na końcu podsumowanie.

Przewinęło się w odrębnym wątku to, że audyt wewnętrzny nie audytuje ABI/IOD. Aż mnie to walnęło, ale nie chce mi się znów wchodzić w wątek, w którym obawiam się jak ktoś tu nazwał ortodoksów i zabicia technik i metod dyskusją o prawie. Więc tylko tutaj, dlaczego audyt IOD POWINIEN i wręcz MUSI być realizowany przez osobę nie związaną z realizacją tych konkret procesów RODO. Wyżej były przykłady działań świadomościowych. Aktualnie takie są przygotowane tam, gdzie szykowałem ODO i obejmują np wyjazdy i zabieranie. Przed każdym wyjazdem osoby np ludzi z marketingu na konferencję wszyscy mają wysyłane materiały przypominające. Właśnie tips&tricks. Materiał związany z zabraniem swojego kompa obejmuje w jednej z firm prezentację opartą na książce Tajemniczy Ogród. Ot tak byłem zainspirowany.

Pokazuje, w formie płynnego pokazu, jak osoba, która przejmie niezabezpieczony komp może wejść do naszego świata. Po przejściu przez bramę (furtkę) pokazujemy konkretne działy, które mogą zostać zinfiltrowane a dane mogą być pozyskane. A na końcu jest przebitka z filmu i pytanie, czy naprawdę ta historia zakończy się dobrze.

Teraz pytanie, czy IOD UMIE zrobić materiały security awareness, potrafi zrobić strategię i zrobi to zgodnie z zasadami? I czy może ja mógłbym audytować, czy dobrze zrobił secuirty awareness?

Podział zadań.. nawet jeśli nadzoruje. Który z ABI (przypominam, wciąż prawnik albo IT) umie zrobić opis stanowiska. Pełny, naprawdę pełny W modelu klasycznym i w modelu np kompetencyjnym (jeśli firma ma opisane kompetencje - przewiązanie do systemów szkolenia). I czy ja jako doświadczony HR-owiec w bezpieczeństwie, który uskładał struktury, robił zakresy obowiązków i wie a nawet uczy mógłbym takiego ABI/IOD audytować czy nie? Wiedza o RODO mi nie jest potrzebna, bo zadania wyciągnę obecnie z PBDO i IZSI, a potem z tego co będzie po maju 2018. Ocenię tylko sposób formowania zakresu, plus obowiązków, odpowiedzialności, etc.

Zanim szkolenia, to jeszcze struktura. W przypadku RODO wydaje mi się że zastosowanie będzie miała struktura macierzowa. Zadania zespołu zadaniowego wyżej, w opisach. Ale pojawia się problem, bo struktury tego typu mają dwóch przełożonych. Z praktyki, bo prowadziłem wiele projektów i zespołów zadaniowych, jak nakłonić pracownika do "podkablowania" przełożonego? Przypominam, że cały czas mamy problem w Polsce z sygnalistami. Plus do tego, jeśli IOD wyznaczy dodatkowe zadania (czy doprowadzi do ich wyznaczenia) jak sobie poradzi z ich egzekwowaniem? Pójdzie jak dziś do ADO i powie, Mieciu, bo oni nie chcą? A Franek daj im spokój, robotę mają, wchodzimy na nowe rynki.. i tyle..?

Szkolenia. Tu mamy całą dużą zabawę. Akurat robiłem i KMS-y, robię LMS-y. I to nawet staram się trzymać w strukturach europejskich ram kwalifikacji. Dla sportu . Rozumiem, że IOD, nawet jeśli nie będzie sam organizował, to doskonale zna lub będzie znał zasady określania celów szkoleniowych, formy i metody szkoleń oraz wie jak dobrać właściwe do danej treści lub przedmiotu szkolenia, potrafi też wykonać ewaluację szkoleń (taki audyt). Rozumie też, jak ważnym jest dostarczający treści, niezależnie od formy i metody i to też umie ocenić.

Naprawdę na podstawie art 38 RODO mogę rozwinąć cały wachlarz konkretnych umiejętności i kompetencji IOD, które pokazują, że nawet jeśli to ma być tylko nadzór, a nie własne działanie, to jawi się wysokiej klasy manager (co najmniej). Mało tego, te wszystkie rzeczy podlegają audytowaniu, bo są związane z opracowaniem, wdrożeniem, utrzymaniem i doskonaleniem systemu (klasyka - PDCA).

I to tylko na podstawie zadań z jednego z punktów z artykułu... Jeszcze jest monitorowanie, incydenty, DPIA, ryzyka, zabezpieczenia... Samo DPIA również podlega audytowaniu, w zakresie doboru właściwych metod, zespołu, procesu wnioskowania.

To tyle przy porannej kawie. Na razie zakres wiedzy, jaką powinien mieć IOD zamyka się u mnie w 7 stronach. Jestem przy drugim punkcie... A za moment pojadę po RODO, tam gdzie są zadania inne.

Temat: IOD w administracji publicznej

Grzegorz K.:

Nie mam problemu z tym, że DPO ma szkolić, audytować, podejmować działania zwiększające świadomość. Ale jak ma wykonywać "podział obowiązków", skoro nie jest przełożonym, a za środki organizacyjne odpowiada nie on, lecz ADO?

Idąc tropem niezależności... Może o to chodzi, żeby dać IOD-owi narzędzia już w akcie prawnym? Dlatego to on ma wykonywać te zadania, dzielić, etc?

Ale jak ma to robić? Poleceniem służbowym?

Temat: IOD w administracji publicznej

A na jakiej zasadzie nadaje dziś upoważnienia do przetwarzania? Czy to tez nie jest rola ADO?

Temat: IOD w administracji publicznej

Grzegorz K.:
A na jakiej zasadzie nadaje dziś upoważnienia do przetwarzania? Czy to tez nie jest rola ADO?

Ja nie nadaję, robi to ADO.