Mentionsy

Czy ten IOD jest wyznaczony?

Na tym tle też mieliśmy całkiem niedawno pierwszą karę nałożoną na Toyota Bank w związku z tym, że ten IOD rzeczywiście był umieszczony w strukturze dosyć niefortunnie, bo był podpięty pod dyrektora departamentu.

Natomiast teraz wyszedł poradnik dotyczący naruszeń i znowu mamy tu wskazaną kwestię IOD, jego roli w wychwytywaniu i obsłudze naruszeń, to co robić powinien i tego czego robić mu nie wolno.

Nawet podświadomie mówiąc o tym, użyłeś takiego słowa, że IOD powinien wspierać.

I faktycznie w podejściu urzędu do roli IOD, tak historycznie rzecz ujmując, to było kilka takich etapów, o których też wspominamy, ale jednym z nich pojawiło się rzeczywiście słowo wspierać i ono było dominujące.

Jeszcze grupy robocze, które dotyczyły Inspektora Ochrony Danych i to były w ogóle pierwsze wytyczne już w takim etapie przygotowywania do wdrożenia RODO, czyli rola IOD była super ważna i jest.

To w zasadzie co ten IOD ma robić?

Czy problem jest taki, że IOD ma źle wyznaczoną rolę?

Kim powinien być IOD?

I urząd powiedział, okej, panowie i panie, panie i panowie, to nie jest tak, że wy wyznaczycie IOD kogoś tam zza płota i powiecie, jeżeli jest źle, no to wina jest IOD, źle pełnił swoje zadania, skąd mieliśmy wiedzieć, przecież wybraliśmy profesjonalistę.

Natomiast IOD ma go wspierać swoją fachową wiedzą i mówić, należy robić to, tamto, siamto.

Czytajcie dokładnie zadania IOD i

I też przecież tutaj Związek Firmy Ochrony Danych Osobowych w swoim stanowisku wskazywał, że jednak postrzegamy tą rolę IOD też jako osobę z pewną inicjatywą, która może proponować pewne rozwiązania, które finalnie zatwierdzać będzie później administrator.

Tak, my mówimy o IOD i to są takie rzeczy, o których wspominamy, które zostały już częściowo przepracowane przez rynek i też przez tą, ta trauma została przepracowana, którą to też wywołało, więc te rzeczy nie są tak bardzo nowe.

Mamy tak naprawdę wskazówki ze strony organu w postaci poradnika, w którym powiedziane jest wyraźnie czego nie może robić IOD.

I teraz czego nie może robić IOD.

To się przekuło już na praktykę, czyli już odchodzimy od takiej sytuacji, że IOD powinien towarzyszyć, pomagać, informować, być taką bazą wiedzy.

Są sytuacje takie, których rzeczywiście IOD części rzeczy zrobić nie może.

Nie może zgłosić naruszeń, czyli musi to zrobić ktoś inny, ale IOD

Zaraz też na temat tej wiedzy będziemy mówić więcej, wrócimy do tematu, bo to też jest jeden z zamysłów, dlaczego akurat jest tak ustawiona rola IOD.

I teraz stanowisko urzędu, taki racjolegizm, zakładając logiczne, ze strony urzędu jest takie, że jeżeli odciążymy inspektora od tych obowiązków takich bardzo konkretnych, bo ich nie może robić, nawet gdybyśmy to odsunęli od konfliktu interesów takiego klasycznego, to ten IOD musi mieć, albo inaczej, dzięki temu,

To jest taki, że IOD się po prostu

To jest taki trochę efekt uboczny tego uderzenia, które otrzymał IOD.

Jest model następny, że dostosowują się do tego, co mówi urząd, czyli mówimy OK, to w takim razie rzeczywiście wyłączamy tego IOD i on będzie taką osobą, która będzie towarzyszyć.

Dlatego, że pozostaje IOD i ma zespół do wykonania tych rzeczy, których on nie może wykonać, ale on jest tym podmiotem, który to nie kontroluje, bo nie może kontrolować.

Natomiast bardzo się boję tego podmodelu pierwszego, czyli mówiąc krótko, rezygnowania z usług IOD.

I w tym momencie organizacja mówi ok, ale skoro mamy mieć osobę, która ma to robić, a IOD ma ją wspierać, to może po prostu weźmiemy osobę, która się zna i ona to będzie robiła.

To znaczy IOD dalej robi.

Dalej w zasadzie proponuje, inicjuje, ale organizacja mówi ok, skoro mamy ten etap wspierania, doradzenia itd., a czynności powiedzmy władczych już nie może sam IOD podejmować, tylko robi to administrator, to słuchajcie, teraz część tego będzie np.

A tak to oni są odpowiedzialni, a IOD tylko proponuje i w razie czego mówi, no słuchajcie, to była propozycja przecież.

Z naszego punktu widzenia temat jest niezwykle ciekawy, bo sami pełnimy funkcję IOD i to jest ważna część naszej działalności.

Jest to też wzmacnianie roli IOD.

I nagle przeskakujemy na bardzo abstrakcyjny poziom, że nie tylko mamy wszystkie procedury, polityki, analizę ryzyka, ale jeszcze bardzo subtelnie rozmieszczonego w organizacji IOD.

Przypominam, że my jako IOD nie decydujemy, tylko administratorzy, więc my tylko towarzyszymy, pomagamy.

I pełnienia funkcji IOD.