Od około dwóch lat przymierzam się do sporządzenia uniwersalnego opisu stanowiska IOD. Uniwersalnego, bo opartego na RODO i TYLKO RODO. Nie jest to proste zadanie. Choćby z tego powodu, że przepisy RODO są dość niefortunne. W kilku miejscach wskazują konkretne działania IOD, który realizując je będzie wpływał na jakość i poziom ochrony danych osobowych. Czyli stanie się twórcą i architektem systemu. A chyba nie o to chodziło prawodawcom, którzy chcieli osiągnąć niezależność roli Inspektora Ochrony Danych. Cóż… chyba znów nie wyszło…

Reklama

W cyklu artykułów poświęconych roli, zadaniom i stanowisku IOD postaram się zaznaczać elementy, które są kontrowersyjne i zależą od interpretacji czytającego. Zanim jednak do tego przejdziemy kilka informacji z zakresu zarządzania personelem. Czyli tzw HR. 

Rodzaj opisu

Nie zagłębiając się za bardzo w proces kadrowy warto jednak zastanowić się nad tym, jak sporządzić opis stanowiska (jeśli to stanowisko) IOD. Od lat możemy spotkać się z dwoma podejściami:

  • Opis klasyczny – w którym po prostu w sekcjach wypisywane są określone elementy. Podległość służbowa zadania, narzędzia pracy, etc. 
  • Opis kompetencyjny – w którym wskazane są konkretne kompetencje i poziom, jakich wymaga się od osoby realizującej zadania na tym stanowisku. 

Klasyczny opis

Z racji tego, że opis kompetencyjny wymaga wdrożenia modelu zarządzania kompetencjami w organizacji, a ilość organizacji które się na to skusiły jest niewielka, cykl artykułów będzie oparty o model klasyczny. 

WAŻNE: Powyższa informacja czy cykl artykułów nie odnoszą się do opisów w strukturach krajowych czy europejskich ram kompetencji. To jest temat na zupełnie inny cykl artykułów i raczej do branży szkoleniowej czy kreującej opisy zawodów, nie do branżowej strony. 

Cel stanowiska/roli/funkcji

Patrząc na przepisy Sekcji 4 RODO, zatytułowanej “Inspektor Ochrony Danych” trochę trudno mi, jako HR-owcowi z prawie 20 letnim stażem pozbyć się wrażenia, że rozdział ten nie był konsultowany ze specjalistami właśnie HR. 

  • Mamy wskazane kiedy, jak i na jakiej podstawie wyznaczyć IOD. Z tym jak, to też nie do końca… 
  • Mamy też wskazany status IOD-a, czyli to, że ma być niezależny etc…
  • Mamy też jego zadania. 

Ale czy ktoś z czytelników jest w stanie mi pokazać, gdzie w przepisie jest wskazane PO CO JEST IOD? A to jest naprawdę podstawa opisu stanowiska. Na podstawie celu tworzenia stanowiska, komórki organizacyjnej, etc, są określane między innymi:

  • Zadanie na stanowisku – zgodnie z RODO wygląda, że jest to katalog zamknięty. Poza tym, że w środowisku od samego uchwalenia RODO (2016) trwa dyskusja, czy IOD ma robić, czy nadzorować? Poświęcę temu odrębny artykuł. 
  • Wymagania kompetencyjne – czyli co musi umieć, wiedzieć i jakie mieć doświadczenie (w tych trzech obszarach będziemy się obracać dalej), aby realizować zadania, które spełniają cel stanowiska. Tak, bo zadania nie są z kosmosu, z okolic Plejad, a z konkretnego celu stanowiska. I tutaj mamy nawet określone wymaganie prawne, że IOD ma być wybrany na podstawie wiedzy, doświadczenia, etc. 
  • Wyposażenie… w narzędzia pracy. W tej części skupimy się na wyposażeniu stanowiska w to co niezbędne w ujęciu rzeczowym. 
  • Wyposażenie w … i tutaj zaszyte jest całe clou dobrego opisu stanowiska. IOD musi być wyposażony w stosowne uprawnienia, ale musi też mieć prawo żądać i prosić (zależy kogo). I w tym zakresie ważne jest aby identyfikować też w jakim zakresie i z kim ma współpracować. To najtrudniejszy element opisu stanowiska, bo wymaga daleko idącej ostrożności. Nie problem jest nadać uprawnienia “do wszystkiego”. Ale ktoś zawsze może powiedzieć SPRAWDZAM! I jak to będą np informacje od klienta to może się okazać… wesoło. Temat też będzie rozwinięty w ramach kolejnych artykułów. 

Cel

Wróćmy do celu. Cel powołania IOD wywodziłbym z celu wydania aktu prawnego. I jest nim.. nie, nie zgodność z przepisami prawa. Nie cel biznesowy który widziałem wielokrotnie w opisach jak niżej: 

Administrator powołuje, w celu uzyskania zgodności z przepisami o ochronie danych osobowych (RODO i inne). 

NIE. Nie po to jest przepis prawa. A może…

Celem stanowiska IOD jest dostarczenie wsparcia organom nadzorczym… (co wynika z zasad współpracy, konsultacji, etc.).

NIE. Też nie, bo organy nadzorcze mają własne siły i środki. 

Co jest więc celem IOD-a?

To co zawarte jest w tytule RODO. Ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych. Ale rozumiana szeroko. A więc:

  • Ochrona przed zakusami administratorów, że “może coś więcej”… Bo przyda się.
  • Ochrona przed zakusami… organu nadzorczego. Że “może coś mniej”. Bo “ja wiem lepiej”. 

Bo pamiętajmy, że ochrona danych osobowych jest ustanawiana nie tylko po to, aby ktoś nie ukradł tożsamości. Jest też po to, aby swobodnie (i świadomie) korzystać z danych. Swobodnie robić zakupy i mieć dostęp do nich wtedy, kiedy osoba której dane dotyczą tego chce!

Innymi słowy postawię tezę dość odważną:

IOD jest od pilnowania administratora danych i podmiotu przetwarzającego oraz od pilnowania organu nadzorczego, żeby osoba, której dane dotyczą mogła korzystać ze swoich praw i wolności w pełni.