Wywiad z Inspektorem Ochrony Danych

Skąd zainteresowanie się tego typu pracą i jak zostać inspektorem ochrony danych?

Niewątpliwie moje zainteresowanie pracą IOD wynikało z wykształcenia jakie posiadam. Ukończyłem studia na kierunku bezpieczeństwo narodowe z specjalizacją bezpieczeństwo w administracji publicznej, po zmianie przepisów zauważyłem zmieniające się trendy na rynku czyli zwiększające się znaczenie ochrony danych osobowych. Postanowiłem za nimi podążyć, znalazłem ofertę szkolenia inspektora ochrony danych osobowych i uzupełniłem swoje wykształcenie. Zaczynałem w roli administratora bezpieczeństwa informacji, którą to funkcję piastowałem w mniejszym przedsiębiorstwie, sukcesywnie zdobywając doświadczenie.

Praca IOD wydaje się być bardzo odpowiedzialna. Związana jest także z odpowiedzialnością materialną. Jakie sytuacje w Twojej pracy są dla Ciebie najbardziej stresujące ?

Najbardziej stresujące sytuacje w mojej pracy mają miejsce, gdy jestem świadkiem ambiwalentnego stosunku do moich wskazań dotyczących bezpieczeństwa. Wówczas staram się zrobić wszystko aby nie doszło do naruszeń.Poza materialną odpowiedzialnością ryzykujemy również swoją własną marką, co w naszym środowisku jest ważne.

Jakie cechy powinien mieć dobry inspektor ochrony danych?

Przede wszystkim powinien być sumienny, rzetelny oraz skrupulatny w swoim działaniu

Jaki jest zakres obowiązków inspektora ochrony danych?

Do moich codziennych obowiązków należy prowadzenie dokumentacji RODO, analiza i monitorowanie ryzyka z nimi związanych oraz rejestr czynności przetwarzania. Ponadto w przypadku zagrożenia jestem odpowiedzialny za reakcję oraz oczywiście audyt RODO.

Jak wygląda proces wdrażania RODO w przedsiębiorstwie?

Zaczyna się od stworzenia analizy i oceny ryzyka zagrożeń na podstawie zapoznania się z dokumentacją. Następnie przechodzi do przeszkolenie personelu, utworzenie rejestru przetwarzania danych oraz polityki RODO

Wspomniał Pan o spotykanym ambiwalentnym stosunku do RODO.Czy chciałby Pan opowiedzieć o jakimś wydarzeniu z powyższą sytuacją związanym ? Może jakiś przykład jak do ochrony danych NIE podchodzić?

Mam pewną historię, która spotkała mnie na początku mojej kariery. Zauważyłem, że osoba pracująca ze mną w jednym pomieszczeniu, miała w dłoniach prywatnego pendrive’a i wprowadziła do go portu w komputerze służbowym, zaciekawiło mnie to więc zapytałem co właśnie robi. Jak się okazało osoba ta chciała przesłać na swój nośnik dość obszerną bazę danych na której pracuje, by następnie pracę tę zakończyć na swoim prywatnym komputerze. Pouczyłem tą osobę zgodnie ze swoimi obowiązkami, gdyż czynność ta nie tylko łamała politykę RODO w naszej firmie ale i ściągała ogromne zagrożenie dla danych osobowych jak i również wiązałaby się z dotkliwą karą finansową. Nie wspominając o konsekwencjach jakie spotkałyby moją osobę ze strony Prezesa Urzędu Ochrony Danych Osobowych...

Zmiana trybu pracy na zdalny z uwagi na pandemię a RODO?

Kiedy pandemia osiągnęła znaczny wzrost zachorowań kierownictwo podjęło decyzję o zmianie trybu pracy na zdalny jednak biorąc pod uwagę pewne wytyczne co do zabezpieczeń danych i ryzyku jej wycieku musiałem wykonać dodatkowy szereg działań poprawiających.Praca w trybie home office trwała niecały miesiąc. Po tym czasie wszystko wróciło do normy.

Czy czuje Pan, że wpływa Pan na bezpieczeństwo innych?

Uważam że ochrona danych osobowych jest jednym z ważniejszych obowiązków jakie ma firma wobec pracownika.Zapewnienie bezpieczeństwa w tym aspekcie to cel nadrzędny

Konsekwencje zaniedbania swoich obowiązków?

Jeśli dojdzie do naruszenie ze strony IODO to przepisy jasno określają że na podmioty przetwarzające dane osobowe nałożona zostanie kara. Każdy administrator odpowiada za szkody spowodowane przetwarzaniem wyłącznie gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcją.

Jakie zagrożenie oprócz sankcji spowodowałby przykładowy wyciek informacji?

Jeżeli dane osobowe dostałyby się w niepowołane ręce to zakres możliwości wykorzystania ich jest tak szeroki jak rodzaj tych danych.Całkowite zniwelowanie skutków wycieku jest często niemożliwe, w przypadku przedostania się takiej informacji do sieci raczej już tam pozostanie i stale będzie mogła zostać użyta.

Czy branżę czekają jakieś zmiany, jak ją widzisz za kilka lat do czego dąży i w jaki sposób?

Zmiany są nieuniknione. Zacznę od tego, że branża IT ma coraz większą rolę w przetwarzaniu danych osobowych poprzez tworzenie nowych programów na których specjaliści RODO pracują .Ulepszanie ich i doskonalenie ważnych elementów pozwoli w przeciągu najbliższych lat usprawnić działania podmiotów, przedsiębiorstw w zakresie bezpieczeństwa danych.

RODO a zwykłe codzienne czynności przeciętnego człowieka?

Większość z nas na co dzień ma styczność z danymi. Niekiedy jest to również dostęp do informacji na temat danych wrażliwych np. pochodzenie etniczne, poglądy polityczne, orzeczenie o ukaraniu, przynależność wyznaniowa, stan zdrowia a nawet życie seksualne. Przekazanie takiej informacji osobie postronnej może zaszkodzić w jakiś sposób adresatowi tych danych wrażliwych.

Codzienne i cykliczne czynności IOD?

Cykliczne kilka razy w miesiącu edytuję rejestr czynności przetwarzania, dbam o regularną zmianę haseł, zajmuję się serwisem i opieką nad oprogramowaniem mającym zapobiec ewentualnym naruszeniom i strzegę polityki RODO w firmie, którą stale rozszerzamy i modyfikuje. Co określony czas robię również audyt RODO.

Kiedy powstaje obowiązek obecności w przedsiębiorstwie inspektora do danych osobowych?

Przypadki w których wyznaczenie inspektora ochrony danych jest obowiązkowe zostało opisane w art. 37 ust. 1. Zgodnie z jej treścią do powołanie IOD są zobligowane: wszystkie organy lub podmioty publiczne(z wyjątkiem sądów), administratorzy danych oraz podmioty przetwarzające powierzone dane, których główna działalność polega na operacjach przetwarzania danych osobowych, kiedy zakres lub cele przetwarzania wymagają regularnego i systematycznego monitorowania na dużą skalę (czyli posiada dane wrażliwe).

Rok 2018 a Rok 2020 pod względem: Mentalności ludzi,świadomości ludzi, obycia się automatyzacji pewnych procesów, orzecznictwa sądów ?

Wejście nowych przepisów w życie wynikających z rozporządzenia była w dużym stopniu zaskoczeniem.Wynikało to przede wszystkim z braku podstawowej wiedzy i uprzedniego przygotowania.Musiało upłynąć wiele miesięcy aby podmioty przetwarzające dane zrozumieli zakres działania zmodernizowanych przepisów.Rok 2018 był wyjątkowy pod względem nauki i wdrożenia w danych instytucjach, podmiotach RODO. Wiele szkoleń o tej tematyce, dostosowania warunków pracy. Dzisiaj śmiało mogę powiedzieć, że faza początkowa jest za nami. Przedsiębiorcy/podmioty przetwarzające dane znają pojęcia oraz wytyczne RODO, co więcej widzą sens zatrudnienia Inspektora Danych Osobowych. Prowadzenie rejestru danych, podstawowej dokumentacji nie jest łatwym i szybkim procesem. Świadomość znacznie się poprawiła i myślę, że w perspektywie najbliższych lat zawód IODO osiągnie większą skalę zasięgu i zapotrzebowania.

Automatyzacja i informatyzacja w Twojej pracy?

Głównie pracuję na bazach danych oprócz tego wystarczający do tworzenia rejestrów i raportów jest dla mnie standardowy pakiet biurowy.

Czy poleciłby Pan ten zawód i czy warto się nim zainteresować ? Wspomniał Pan od trendach na rynku,jak wygląda zmiana rynku pracy z Pana perspektywy?

Jak najbardziej poleciłbym podjęcie zawodu IOD, gdyż jest to nowy zawód dający wiele możliwości z powodu zapotrzebowania w szerokim katalogu branż. Dostęp do zawodu jest dość łatwy, niemniej jednak wymaga od nas stałego podnoszenia kwalifikacji i monitorowania zmian. W związku z czym mimo niskiego progu wejścia, nie należy on do najłatwiejszych z uwagi na dużą odpowiedzialność. Rynek się stale rozszerza i otwiera na większą liczbę osób.

Czy w przedsiębiorstwo w którym jest Pan zatrudniony ma obowiązek zatrudnienia IOD, czy była to decyzja mimo braku przymusu?

Firma z racji ilości osób zatrudnionych obowiązku takowego nie posiada, niemniej jednak osób było dostatecznie dużo aby dokumentacja do najmniejszych nie należała biorąc pod uwagę to oraz perspektywy rozwoju, zdecydowano o utworzeniu stanowiska inspektora ochrony danych osobowych.