Wokół inspektora ochrony danych zdążyło już narosnąć trochę mitów oraz dziwnych interpretacji. Z naszej praktyki wynika, że nie wszystkie firmy czy organizacje mają pozytywne skojarzenia z tą właśnie funkcją.
Ba, nawet niektóre z nich – mimo iż dochodzi w nich do masowego przetwarzania danych lub pracy na danych tzw. wrażliwych – wciąż nie dopuszczają do siebie myśli, że jednak warto rozważyć powołanie IOD.
Z czego to może wynikać?
Otóż przede wszystkim z tego, że od momentu wejścia w życie RODO nie było konkretnej, stałej i jednoznacznej opinii lub wytycznej na temat tego kim właściwie taki inspektor powinien być, zwłaszcza że jest to funkcja zupełnie nowa i jakże odmienna od funkcjonującego pod rządami ustawy o ochronie danych osobowych z 1997 r. ABI – ego, w stosunku do którego część firm uznawała, że zostanie on po prostu zastąpiony nową nazwą, czyli IOD, co oczywiście stanowiło błędne założenie.
Przez to sprawa okazała się być znacznie bardziej skomplikowaną, ze względu na określone w art. 37 ust. 5 kwalifikacje zawodowe inspektora. W momencie wejścia w życie RODO wiele organizacji, chcąc zaoszczędzić środki na nowe zatrudnienie, poszło w kierunku „dołożenia” dodatkowych obowiązków w ramach IOD księgowym, informatykom, menedżerom, czy nawet zwykłym pracownikom biurowym, z czym niestety mieliśmy okazję się spotkać.
Sądzimy, że praktyka, która z każdym rokiem będzie coraz bogatsza, ostatecznie doprowadzi do wyeliminowania różnego rodzaju nadużyć oraz nieprawidłowości, ale póki co, miejmy nadzieję, że osoby które „przy okazji” zrobiły sobie „papiery” na IOD nie poprzestaną jedynie na tym i będą dalej kształcić się w kierunku podnoszenia swojej fachowości i kwalifikacji z uwagi na odpowiedzialną funkcję jaką jest IOD.
Już samo założenie RODO, że inspektor ochrony danych powinien się odznaczać wiedzą fachową na temat prawa i praktyki w dziedzinie ochrony danych powinno skłaniać administratorów danych do rzetelnego weryfikowania kompetencji swojego IOD aby od samego początku mieć poprawnie wdrożone procesy bezpieczeństwa i ochrony danych, które bez wyjątku przetwarza każda firma.
Ze swojej praktyki możemy natomiast potwierdzić, że niezwykle istotne znaczenie w punktu widzenia misji inspektora ochrony danych ma bieżące edukowanie przez niego pracowników i osób odpowiedzialnych w firmie, organizacji lub w urzędzie za czynności związane z wykonywaniem pracy na danych osobowych. Samo bowiem stworzenie nawet najlepszej dokumentacji, czy polityki ochrony danych nie zda się na nic, jeśli świadomość i prawidłowość jej stosowania będzie nikła lub nawet zerowa.
A to właśnie w gestii inspektora ochrony danych leży, aby RODO w danej firmie lub organizacji po prostu żyło i realnie na co dzień funkcjonowało.