IODO
25 kwietnia 2024

Obowiązki IOD w podmiotach publicznych – pułapki

W skrócie / AI Summary

Naszą główną działalność stanowi outsourcing IOD. W konkursach ofert dla podmiotów publicznych prawie zawsze pojawia się pułapka tzw. 'wewnętrznych procedur Administratora'…

Naszą główną działalność stanowi 'outsourcing' IOD. Niejednokrotnie braliśmy udział (z sukcesami) w konkursach ofert dla podmiotów publicznych i prawie zawsze wpadaliśmy w pułapkę tzw. 'wewnętrznych procedur Administratora', które były elementem zapytania ofertowego, ale w postaci bliżej nieokreślonej. Mimo świadomości takich zagrożeń praktycznie nie ma możliwości uwzględnić biznesowo takiego ryzyka, ponieważ oznacza to zwykle nieakceptowalną cenę za usługę.

Gdzie te pułapki?

IODzi mają tendencję do przesadnego eksponowania swojego stanowiska i uzasadniania niezbędności i wielkości własnego wkładu w działalność organizacji, zapisując w dokumentach odpowiedzialność IOD za procesy lub obligatoryjny udział IOD w procesach, w których są niepotrzebni (a czasem nawet przeszkadzają) lub nawet powodują konflikt interesów. Administratorzy z reguły zatwierdzają takie dokumenty nieświadomi błędów, ponieważ ufają IOD'om… w końcu po to ich mają, żeby doradzali im zgodnie z prawem, zdrowym rozsądkiem oraz troską o podmioty danych.

Tymczasem powszechnym jest, że w wewnętrznych dokumentach takich jak Polityka Ochrony Danych, znajdujemy zapisy stanowiące że:

  • IOD zobowiązany jest do prowadzenia rozmaitych ewidencji – a przecież jest to przetwarzanie danych osobowych, których IOD powinien się wystrzegać.
  • IOD jest niezbędnym elementem rozmaitych procedur, np. nadawania uprawnień – często blokując pracę Administratora.
  • IOD jest zobowiązany np. do samodzielnego przeprowadzania analizy ryzyka i/lub oceny skutków dla ochrony danych, co jest sprzeczne z RODO.
  • IOD prowadzi RCP, RKCP.
  • Znamy przypadki, kiedy IOD był odpowiedzialny za ewakuację dokumentów i sprzętu IT w przypadku pożaru (!).

Tymczasem…

O ile w podmiotach prywatnych można próbować przenosić na IOD dodatkowe obowiązki (zgodnie z jego kompetencjami określonymi w RODO), to podmioty publiczne, które mają obowiązek wyznaczenia IOD i często co roku wyłaniają podmiot świadczący usługę, nie mogą tego robić. Oczekiwania od zewnętrznego podmiotu, że będzie brał na siebie obowiązki wykraczające poza zapytanie ofertowe i przepisy, są niedopuszczalne.

Niedawno również sam PUODO dostrzegł problem i wprost wskazał część z ww. sytuacji jako problemy mogące powodować naruszenie RODO.

Potrzebujesz IOD lub sprawdzenia zgodności z RODO?

Skontaktuj się z nami – chętnie odpowiemy na Twoje pytania.