Master IODaczyli Inspektor ochrony danych osobowych w firmieMaciej Gawroński, Gawroński & Partners

Współpraca między ADO a IOD

Materiały operacyjne z kontroli PUODO:

IODa wyznacza ADO kierunek ochrony danych

4

Działamy przekrojowo Komunikujemy zwięźle Odpowiadamy za miliardy

Dostarczamy rozwiązania.

Nasz zespół to osoby z doświadczeniem w Komisji Nadzoru Finansowego, w Państwowej Inspekcji Pracy,jako szefowie działów prawnych instytucji finansowych, prawnicy in-housenajwiększych polskich spółek publicznych, prawnicy kancelarii międzynarodowych i krajowych, specjaliści do spraw przestępstwgospodarczych w tym korupcji i współpracyz organami ścigania.

Gawroński & Partners

5

Technologia & IPSpory

gospodarcze

Sektor finansow

y

IT & Technolog

ia

Dane osobowe

Prawo pracy

Własność intelektualna

Energetyka

Media i reklama

6

Maciej Gawroński

• ekspert danych osobowych, IT, cyberbezpieczeństwa, własnościintelektualnej, sporów

• ekspert Komisji Europejskiej ds. Kontraktów Cloud Computingowych

• konsultant Grupy Roboczej Artykułu 29 ds. transferów danych

• pomysłodawca bezpośredniej odpowiedzialności podprzetwarzających(art. 82 RODO), przenoszalności danych osobowych (art. 20 RODO),konsultował zasady podpowierzenia (art. 28.2 i 28.4 RODO)

• doradzał przy największym w Polsce i Centralnej Europie projekcieinformatycznym w sektorze prywatnym jak i w setkach innychprojektów IT

• główny autor treści modułu LEX Ochrona Danych Osobowych Wolters Kluwer, https://www.ochrona-danych-osobowych.lex.pl/

• reprezentował Polskę i klientów prywatnych w sporach o wartości miliardów euro

7

maciej.gawroński@gawronski.co+48 609 602 566

Rekomendowany Ekspert Rankingu Kancelarii Prawniczych Dziennika Rzeczpospolita 2017 w kategorii Technologia, Media i Telekomunikacja

Rekomendowany Ekspert Rankingu Chambers Europe 2017 w kategorii Technologia, Media i Telekomunikacja

Rekomendowany Ekspert Rankingu Best Lawyers 2016-17 w kategorii IT

Rekomendowany Ekspert Rankingu Guide to the World's Leading Lawyers 2016 w kategorii Technology, Media & Telecommunications

Rekomendowany Ekspert Rankingu Legal 500 2016 w kategorii Technology, Media & Telecommunications

Rekomendowany Ekspert Rankingu Who's Who Legal 100 2016w kategorii Spory Patentowe w Naukach Przyrodniczych

Maciej Gawroński

8

Źródła

14

• RODO i Projekt ustawy o ochronie danych osobowych (16.03.18);

• Grupa Robocza Art. 29 ds. Ochrony Danych Osobowych, 16/ENWP243 rew.01, Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte 13 grudnia 2016 r.

• Stanowisko GIODO z dnia 19 marca 2018 pt. Od 25 maja 2018 r. inspektor ochrony danych obowiązkowy we wszystkich podmiotach publicznych

• https://abi.giodo.gov.pl/pytania-i-odpowiedzi/powolanie-i-status-abi, dostęp 3 kwietnia 2018 r.

• Gawroński Maciej, Wytyczne dla inspektorów ochrony danych, w IT w Administracji, październik 2017, s. 29.

• RODO. Przewodnik praktyczny ze wzorami, Wolters Kluwer, kwiecień 2018.

Kiedy? 37 ust. 1 RODO

a) organ lub podmiot publiczny, sądy też

b) główna działalność = operacje przetwarzania wymagające systematycznego monitorowania na dużą skalę

c) główna działalność = przetwarzanie na dużą skalę szczególnych kategorii danych i danych karnych

Kiedy? Monitorowanie WP29

główna działalność = operacje przetwarzania wymagające systematycznego monitorowania na dużą skalę

obsługa sieci telekomunikacyjnej; świadczenie usług telekomunikacyjnych; przekierowywanie poczty elektronicznej; działania marketingowe oparte na danych; profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy); geolokalizacja; programy lojalnościowe; reklama behawioralna; wereable fitness; monitoring wizyjny; IOT np. inteligentne liczniki, inteligentne samochody, automatyka domowa

Kiedy? Monitorowanie pracowników?

główna działalność = operacje przetwarzania wymagające systematycznego monitorowania na dużą skalę

monitorowanie pracowników zasadniczo nie, ale np. • a w usługach kurierskich (na dużą skalę) • a gdy ma się dużo pracowników i trzeba monitorować, czy nie kradną• a gdy ma się centrum outsourcingowe i mierzy się jakość obsługi• a gdyby to była Wasza matka (sprawdzić czy nie ksiądz)

Kiedy? Dane szczególnych kategorii i karne

główna działalność = przetwarzanie na dużą skalę szczególnych kategorii danych i danych karnych

pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu identyfikacji, dane dotyczące zdrowia, dane o seksualności lub orientacji seksualnej

służba zdrowia, partie polityczne, związki zawodowe, kościoły, stowarzyszenia LGBT, usługi biotech/gen, biometria identyfikacyjna (smartfon np.)

Kiedy - Definicja „dużej skali”

• RODO nie definiuje dużej skali.

• Zgodnie z Motywem 91 RODO

(…) operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych naszczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, którychdane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególnycharakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – orazdo innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, którychdane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanieprzysługujących im praw (…).

(…) Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżelidotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innegopracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych niepowinna być obowiązkowa.

Definicja „dużej skali”

Zgodnie z Wytycznymi GR Art. 29

W celu ustalenia dużej skali powinno wziąć się pod uwagę:

• liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupyspołeczeństwa

• zakres przetwarzanych danych osobowych

• okres, przez jaki dane są przetwarzane

• zakres geograficzny przetwarzania danych osobowych

Kiedy? Duża skala

szczególne kategorie lub monitorowanie na dużą skalę

Pani stomatolog 3000 pacjentów rocznie – WP29 nie, dr Kawecki tak

szpital tak

karta miejska w transporcie

banki i ubezpieczyciele

reklama behawioralna przez wyszukiwarki

monitoring wizyjny – stacja benzynowa monitorująca wizyjnie 1,5 tys. osób miesięcznie –mała czy duża skala? 10 tys osób rocznie? może jednak 36 tys rocznie? jak długo trzymamy nagrania?

monitoring pracowników – tylko niekiedy (gdy jest niezbędny bp. kurierzy) ponad 500 ?

śledzenie szczegółowe osób/przetwarzanie danych szczególnych kaetgorii – 5000? czy to mało? 50 tys?

• Propozycja legislatora - 5 tys. rekordów rocznie jako duża skala - już nieaktualna

Podmioty prywatne realizujące zadania w interesie publicznym

Wytyczne WP 29

• Powołanie IOD przez prywatne jednostki realizujące zadania w interesie publicznym.

• Dot. sektorów, np. transport publiczny, dostarczanie wody i energii, infrastruktura drogowa, radiofonia i telewizja publiczna, budynki użyteczności publicznej albo organy powołane dla zawodów regulowanych

• Powołany IOD powinien oprócz operacji przetwarzania w interesie publicznym, kontrolować wszystkie inne operacje przetwarzania (np. zarządzanie bazą danych pracowników)

Domyślni podejrzani

służba zdrowiahandel elektroniczny i usługi elektroniczneapkitransport i logistykatelekomunikacjaenergetykabanki i ubezpieczycieleduże spółdzielnie mieszkaniowe (?)ogólnie sektory użyteczności publicznej[miasta][państwo][partie polityczne]etc

A jak nie?

Udokumentuj analizę braku obowiązku wyznaczenia IOD. …rozliczalność / Wytyczne WP29

Kto?

• art. 37 ust. 6 RODO

Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

IOD może być:

• personel (pracownik, usługodawca osobisty)

• firma (outsourcing) – w imieniu firmy w Polsce człowiek (UODO 11)

Kto nie – konflikt interesów (art. 38.6 RODO)

• stanowiska kierownicze i inne merytoryczne (dec o celach lub środkach) – WP 29

• konflikt organizacyjny (krzyżowanie podległości) – GIODO

• konflikt merytoryczny (krzyżowanie obowiązków) – GIODO

• konflikt czasowy (krzyżowanie dostępności) – GIODO

IOD a szef compliance lub audytu wewnętrznego w dużej firmie?

Nu Nu Nu (konflikt merytoryczny)

Kompetencje – Master IODa

14

Art. 37.5 RODO - kwalifikacje zawodowe, wiedza fachowa, umiejętności wypełnienia zadań, o których mowa w art. 39

WP29

• dogłębna znajomość RODO, wiedza o przepisach o ochronie danych PL i EU

• wiedza sektorowa, znajomość organizacji

• wiedza IT

• wiedza cybersec

• Umiejętność promowania kultury ochrony danych w organizacji (UKNF)

• regularne szkolenia

Normalnie człowiek orkiestra albo Koło Gospodyń Wiejskich

Niezależność – Wujek Dobra Rada

Art. 38 ust. 3 zd. 1 RODO

„Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danychnie otrzymywał instrukcji dotyczących wykonywania tych zadań. (…)”

• IOD nie jest związany instrukcjami ADO, w tym wskazania np. wykładni przepisówRODO;

• Relacja partnera / doradcy / audytora / pośrednika m. PUODO dla ADO.

Status IOD – zakaz karania i odwoływania

• Zakaz odwoływania i karania IOD

Zgodnie z art. 38 ust. 3 zd. 2 RODO

„(…) Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. (…)”

• Zakaz obejmuje także odwołanie i karanie w sytuacji odmowy wykonania polecenia ADO.

Karanie

WP 29 :

• brak albo opóźnienie awansu (jak awansować IODę?! Młodszy IODa, IODa, StarszyIODa, IODa Sztabowy i Starszy IODa Sztabowy?!), utrudnienie rozwoju zawodowego(odmowa szkoleń), ograniczenia dostępu do korzyści oferowanych pozostałympracownikom (dyskryminacja).

• znaczy IODy nie można oddelegować czasowo do innych zadań, np. do obsługidrukarki na korytarzu ;-)

Odwołanie

• Odwołanie powinno być rozumiane jako wypowiedzenie umowy o pracę (KP) lub oświadczenie usług (KC) – outsourcing!

• WP 29 podaje tylko powody na dyscyplinarkę

np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkienaruszenie obowiązków

Jak normalnie zwolnić IODę?

Wykazywać, że się nie zna, nie ma inteligencji emocjonalnej (osobowość antagonizująca), nie szkoli się…, nie ma dla nas czasu

Może zarządzić audyt i wskazać braki, których nie zaraportował IODa?

Pamiętajmy, że IODa też priorytetyzuje na zasadzie oceny ryzyka

Najwyższa podległość

• Bezpośrednia podległość służbowa pod Zarząd.

Zgodnie z art. 38 ust. 3 zd. 3 RODO:

„(…) Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwuadministratora lub podmiotu przetwarzającego.”

• Daje możliwość bezpośredniego zgłaszania naruszeń, informacji o niestosowaniu siędo zaleceń IOD, zgłaszania swoich opinii i sprawozdań.

• IOD ma mieć pewność, że będzie wysłuchany.

Zadania IOD art. 39 ust. 1 RODO

• informowanie, edukowanie, uwrażliwianie, szkolenie

• audyty wiedzy

• monitorowanie i audyty zgodności

• zalecenia i monitorowanie DPIA

• współpraca z PUODO

Priorytetyzacja w oparciu o ryzyko (gdzie się bardziej pali). Powinien to udokumentować

TO NIE IODA ODPOWIADA ZA WDROŻENIE RODA

• IOD nie jest odpowiedzialny za przestrzeganie ochrony danych osobowych przez organizację.

• Odpowiedzialność w dalszym ciągu spoczywa na kierownictwie.

• Więc niech sobie kierownictwo wyznaczy inną osobę odpowiedzialną za ochronę danych niż IODa

Uprawnienia IOD

• Zgodnie z art. 38 ust. 1 RODO:

„Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych byłwłaściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danychosobowych.”

• IOD ma prawo dostępu do wszystkich danych osobowych oraz operacji przetwarzania w organizacji

Zasoby – najważniejsze LUDZIE

• Zgodnie z art. 38 ust. 2 RODO

„Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych wwypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasobyniezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacjiprzetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.”

• Zasobami są:

1. kasa (budżet), 2. zasoby materialne (pomieszczenia, sprzęt, kawa), 3. czas (zakaz zawracania zajętej głowy), 4. ludzie (zespół – czyli też czas), 5. dostęp (do pracowników i innych zasobów kontrolowanych), 6. wiedza (szkolenia, wymiana wiedzy), 7. umocowanie (aktywne wsparcie przez zarząd).

Wsparcie kadrowe IOD

• ADO może / powinien zapewnić wsparcie kadrowe

• Wsparcie może składać się z Zastępcy lub Zespołu IOD

• Zespół dla IOD nie ma statusu i uprawnień IOD (w tym ochrony)

• Relacja podległości pomiędzy IOD a wsparciem kadrowym

• Zastępca lub Zespół IOD wykonuje zadania na polecenie IOD, stanowi jego wsparcieprzy wykonywaniu zadań dot. ochrony danych osobowych

A kto u Państwa wdrażał RODO? A nie, nie, u nas wszystko zrobił IODa

Outsourcing IOD

• Podmioty zewnętrzne mogą pełnić funkcję IOD

• Przysługuje im ta sama ochrona jak „wewnętrznym” IOD

• Muszą spełniać wymogi, np. unikania konfliktu interesów

• W myśl UODO IODą powinien być człowiek

Multi-IODa

Art. 37 ust. 2 RODO „Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.”Podobnie zrzeszenia lub inne organizacje kategorii przedsiębiorców mogą powołać

• im bardziej jednorodna grupa tym lepiej jeden IOD + zespół / outsourcing

• wielu IOD – każdy ciągnie w swoją stronę; zarząd nie wie, czego słuchać; organnadzorczy wyłapuje rozbieżności (cherry picking); a jak się zjednoczą?

• kiedy wielu IOD zamiast jednego z zespołem? Gdy różnorodna działalność (np.zdrowie i e-commerce

Problemy i dylematy

• czy IOD?

• in-house czy outsourcing?

• status niezależności IOD (chytre oczka compliance)

• jak to nie odpowiada za ochronę danych?!

• kompetencje (JEDI wyginęli)

• ilu IOD w grupie?

• budżet?

• dać ludzi?

36

Dziękuję za uwagę

E: maciej.gawronski@gawronski.co

Al. Jana Pawła II 12, 00-124 Warszawa

maciej.gawronski@gawronski.co

Dziękujemy za uwagę