Dobre szkolenie IOD (ABI), co powinno zawierać i jakie zagadnienia poruszać?

Inspektor Ochrony Danych zgodnie z RODO to odpowiedzialna funkcja, jaką pełni wydelegowana osoba. Dzisiaj przyjrzymy się, jakie powinno być szkolenie IOD, a także czym zajmuje się osoba odpowiedzialna za pełnienie funkcji IOD.

Kim jest Inspektor Ochrony Danych i za co jest odpowiedzialny?

Zgodnie z motywem 97 RODO Inspektorem Ochrony Danych (IOD) jest osoba, która ma wiedzę z dziedziny prawa, RODO, a także musi cechować się znajomością praktyk stosowanych w ochronie danych wynikających z RODO.
IOD (dawniej ABI) powoływany jest z reguły przez podmiot lub administratora danych osobowych.

Czym się zajmuje Inspektor Ochrony Danych?

Zadaniem każdego IOD jest współpraca z organem nadzorczym, monitorowanie działań placówki/organu w zakresie ochrony danych, a także ocena skutków działań ochrony danych. Ponadto w skład obowiązków IOD (ABI) wchodzi:

  • Informowanie o obowiązkach wynikających z RODO.
  • Audyty i szkolenia z zakresu ochrony danych.
  • Wdrażanie polityk zgodnych z RODO.

Należy zwrócić uwagę, że na IOD ciąży obowiązek zachowania tajemnicy zawodowej. Ponadto nie może doprowadzić do konfliktu interesów poprzez działania wynikające z jego obowiązków.

Szkolenie IOD (ABI): na czym powinno się skupić i kto powinien z niego skorzystać?

Każde szkolenie IOD ma na celu przygotowanie oddelegowanej na szkolenie osoby do pełnienia funkcji IOD. Należy mieć na uwadze, że szkolenie może być z różnego zakresu. Dlatego, jeśli zależy nam na przygotowaniu osoby do pełnienia funkcji IOD po raz pierwszy, to trzeba zwrócić uwagę, aby szkolenie IOD było prowadzone na bazie wymagań RODO i innych przepisów prawa.

Kto powinien uczestniczyć w szkoleniu IOD (dawniej ABI)?

Do szkolenia powinny zostać oddelegowane osoby wskazane do pełnienia funkcji IOD, wszyscy pracownicy z działów jakości i IT, a także dyrektorzy, menedżerowie i kierownicy średniego szczebla, którzy w skutek pełnienia swoich obowiązków mają styczność z przetwarzaniem danych osobowych.

Oczywiście nie ma żadnych przeciwwskazań, aby z takiego szkolenia korzystały również osoby, które interesuje tematyka i zagadnienia związane z pracą IOD.

Jakie zagadnienia powinny się znaleźć na szkoleniu IOD (ABI)?

Każde szkolenie IOD powinno skupiać w sobie zagadnienia, które umożliwią uczestnikowi pełnienie funkcji IOD (ABI), a także wzbogacą jego dotychczasową wiedzę. Na każdym szkoleniu szczegółowo powinny zostać omówione wytyczne rozporządzenia o ochronie danych osobowych. Szczególnie omówienie wytycznych Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych i wytycznych Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Ponadto szkolenie powinno skupiać się na zagadnieniach takich jak:

  • podstawy prawne przetwarzania danych osobowych,
  • privacy by design,
  • privacy by default,
  • analiza ryzyka oraz ocena skutków przetwarzania danych osobowych,
  • obowiązek informacyjny oraz zasady zgłaszania i rejestracji naruszeń,
  • rejestrowanie czynności przetwarzania i przenoszenie danych,
  • powierzanie przetwarzania danych osobowych i profilowanie.

Ponadto powinno skupiać się również na zadaniach i odpowiedzialności ciążącej na Inspektorze Ochrony Danych, prawach właścicieli danych osobowych oraz wszelkich kodeksach, certyfikacjach i znajomości kar za naruszenia ochrony danych.

Szkolenia RODO – rejestr czynności przetwarzania

Szkolenia RODO przeznaczone są dla osób przetwarzających dane osobowe, w szczególności dla administratorów danych oraz ich pracowników. To również początek ścieżki kariery Inspektora Danych Osobowych. Zgodnie z tematyką szkoleń, przedstawiamy dzisiaj jedno z najbardziej podstawowych zagadnień związanych z RODO, czyli rejestr czynności przetwarzania danych osobowych. A także rejestr kategorii czynności przetwarzania danych osobowych.

 

Czym jest rejestr czynności przetwarzania?

Zacznijmy od tego, że samo RODO nie definiuje wprost, czym jest rejestr czynności przetwarzania danych osobowych (RCP), jednak jest to pojęcie często występujące w tej tematyce. Rejestr powinien mieć formę szybkiego dostępu do danych dotyczących przetwarzania i powinien zostać utworzony dla każdego procesu przetwarzania danych osobowych jako odrębny rejestr. Ponadto na wezwanie organu nadzorczego powinien być natychmiast udostępniony. Prowadzeniem rejestru powinny zajmować się osoby uprawnione, czyli administrator danych i procesor. A także, jeśli występuje w danej firmie przedstawiciel RODO.

Wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostaną udostępnione. – interpretacją dr inż. Andrzeja Kaczmarka

Natomiast Prezes Urzędu Ochrony Danych Osobowych (PUODO) odniósł się do czynności przetwarzania, określając je jako zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób. Wszystkie czynności, które sprowadzają się do przetwarzania danych osobowych takie jak; rekrutacja pracowników, ewidencja pracowników, czy ewidencja wypłat należy umieścić w rejestrze czynności przetwarzania danych osobowych.

Szkolenia RODO i uzupełnienie informacji, czyli kategoria czynności przetwarzania

W RODO funkcjonuje również pojęcie rejestru kategorii czynności przetwarzania (RKCP), które tak jak RCP nie zostało zdefiniowane, ale funkcjonuje. RKCP nie stanowi jednak uzupełnienia RCP, ani nie jest jego zamiennikiem. Co znaczy, że RKCP i RCP nie prowadzi się zamiennie, a jednocześnie, jeśli jest taki obowiązek. Ponadto, jak sama nazwa wskazuje RKCP odnosi się do kategorii czynności, a nie do samych czynności przetwarzania.

Rejestr kategorii czynności przetwarzania (RKCP) to dokumenty wraz z podstawową i dodatkową dokumentacją podmiotu przetwarzającego dane (procesora). Wynikających z przetwarzania danych przez procesora na rzecz innych podmiotów.

Jak należy prowadzić rejestry?

W związku z tym, iż RODO nie określa postaci, ani układu zawartych informacji w RCP i RKCP, należy przyjąć, że forma prowadzenia rejestrów jest dowolna – papierowa lub elektroniczna. Należy jednak mieć na uwadze, aby zachować przejrzystość dokumentu i zadbać o estetyczną prezentację zamieszczonych w rejestrze informacji.

Jakie dane muszą znaleźć się w rejestrze

Zgodnie z art. 30 ust. 2 RODO – „Procesor” zobowiązany jest do zamieszczenia w swoim rejestrze określonych informacji:

  1. Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego, przedstawiciela podmiotu przetwarzającego oraz inspektora ochrony danych.
  2. Imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający, przedstawiciela administratora oraz inspektora ochrony danych.
  3. Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń.
  4. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Ponadto procesor zobowiązany jest do wskazania, jakich środków ochrony danych użył, a także przedstawić stosowną dokumentację. Dotyczy się to zarówno dokumentów w rozumieniu ogólnym np. polityka prywatności, jak i dokumentacji technicznej, jeśli taka ma miejsce np. serwery i hosting strony internetowej.