Naszą główną działalność stanowi 'outosurcing’ IOD. Niejednokrotnie braliśmy udział (z sukcesami) w konkursach ofert dla podmiotów publicznych i prawie zawsze wpadaliśmy w pułapkę tzw. 'wewnętrznych procedur Administratora’, które były elementem zapytania ofertowego, ale w postaci bliżej nieokreślonej. Mimo świadomości takich zagrożeń praktycznie nie ma możliwości uwzględnić biznesowo takiego ryzyka, ponieważ oznacza to zwykle nieakceptowalną cenę za usługę.
Gdzie te pułapki?
IODzi mają tendencję do przesadnego eksponowania swojego stanowiska i uzasadniania niezbędności i wielkości własnego wkładu w działalność organizacji, zapisując w dokumentach odpowiedzialność IOD za procesy lub obligatoryjny udział IOD w procesach, w których są niepotrzebni (a czasem nawet przeszkadzają) lub nawet powodują konflikt interesów. Administratorzy z reguły zatwierdzają takie dokumenty nieświadomi błędów, ponieważ ufają IOD’om… w końcu po to ich mają, żeby doradzali im zgodnie z prawem, zdrowym rozsądkiem oraz troską o podmioty danych. Można zaryzykować twierdzenie, że w dłuższej perspektywie jest to działanie na szkodę Administratora.
Tymczasem powszechnym jest, że w wewnętrznych dokumentach takich jak Polityka Ochrony Danych, znajdujemy zapisy stanowiące że:
-
IOD zobowiązany jest to prowadzenia rozmaitych ewidencji – a przecież jest to przetwarzanie danych osobowych, których IOD powinien się wystrzegać, dodatkowo 'zewnętrzny’ IOD przez takie praktyki przenosi zwykle rejestry poza obszar przetwarzania czym stwarza dodatkowe ryzyka
-
IOD jest niezbędnym elementem rozmaitych procedur, np. procedury nadawania uprawnień (przekazywanie zleceń, zatwierdzanie itp) – często w sytuacji kiedy zakontraktowany jest na niewielką liczbę godzin a jego czas reakcji to np. 3 dni robocze, czym blokuje pracę Administratora
-
IOD jest zobowiązany np. do samodzielnego przeprowadzania analizy ryzyka i/lub oceny skutków dla ochrony danych, co jest sprzeczne z RODO i często wykracza poza kompetencje IOD i co skutkuje wątpliwej jakości wynikiem. Ponadto IOD (nawet, gdy jest to osoba z organizacji) może nie być dokładnie zorientowany w procesach przetwarzania danych każdej jednostki organizacyjnej Administratora
-
IOD prowadzi RCP, RKCP
-
znam przypadki kiedy IOD był odpowiedzialny za ewakuację dokumentów i sprzętu IT w przypadku pożaru (!)
Tymczasem….
O ile w podmiotach prywatnych można próbować przenosić na IOD dodatkowe obowiązki(oczywiście zgodnie z jego kompetencjami określonymi w RODO), głównie dlatego, że negocjacje i budżety są mniej ograniczone, to podmioty publiczne, które mają obowiązek wyznaczenia IOD, i które często co roku wyłaniają podmiot świadczący usługę (jeśli korzystają z outsourcingu) nie mogą tego robić. Oczekiwania od zewnętrznego podmiotu, że będzie brał na siebie obowiązki wykraczające poza te zawarte w zapytaniu ofertowym oraz w przepisach są niedopuszczalne. Winni tutaj są często sami Inspektorzy, ponieważ w większości to oni biorą czynny udział w tworzeniu 'wewnętrznych procedur’ i nierzadko są ich autorami i recenzentami w jednej osobie, a Administrator zatwierdza je w dobrej wierze.
Niedawno również sam PUODO dostrzegł problem (co prawda nie w kontekście praktycznym 'ousourcingu’ IOD w podmiotach publicznych) i wprost wskazał część z ww. sytuacji jako problemy mogące powodować naruszenie RODO https://uodo.gov.pl/pl/138/2960.