#zostanwdomuzGBS: "Inspektor Ochrony Danych w banku spółdzielczym – status, pozycja, rola"
Inspektor Ochrony Danych w banku spółdzielczym – status, pozycja, rola
Asumptem do napisania tego artykułu była obserwacja wynikająca z własnej praktyki współpracy z bankami spółdzielczymi w obszarze ochrony danych osobowych, wskazującej na różne, nie zawsze właściwe, podejście banków do funkcji inspektora ochrony danych (dalej także jako „IOD”). Celem autorów niniejszego opracowania jest zwrócenie uwagi na szczególną rolę, jaką ma do odegrania IOD działający w ramach struktur banku spółdzielczego, jak również przybliżenie jego miejsca w organizacji i zadań, do których wykonywania jest powołany.
Funkcjonowanie w ramach struktur banków spółdzielczych osoby odpowiedzialnej za obszar ochrony danych osobowych nie jest niczym nowym, bowiem na podstawie obowiązujących przepisów prawa do 25 maja 2018 r. rolę tę często odgrywała osoba powoływana na stanowisko administratora bezpieczeństwa informacji. Od dnia 25 maja 2019 r., tj. od daty wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”), zostały wprowadzone przepisy (art. 37 RODO i kolejne), stanowiące podstawę prawną dla powołania IOD. Nie określają one wprawdzie wprost, kiedy powołanie jest obowiązkowe, ale zgodnie z poglądem Europejskiej Rady Ochrony Danych, rezygnacja z powołania IOD wymaga uprzedniego przeprowadzenia analizy prawnej. Nie wchodząc w szczegółową analizę przesłanek powołania IOD, mając jednocześnie na uwadze zakres, cel, charakter, skalę przetwarzania danych przez bank spółdzielczy, w tym np. stosowanie różnych form monitoringu, możemy raczej założyć, że powołanie IOD w ramach struktur banku spółdzielczego będzie obowiązkowe.
Kwalifikacje IOD
Postawmy zatem zasadnicze pytanie – czy funkcję IOD może pełnić każdy pracownik banku? Odpowiedź jest negatywna. Do pełnienia funkcji IOD nie mogą być powołane osoby przypadkowe, w szczególności takie, którym powierzono pełnienie tej funkcji poprzez zwiększenie zakresu dotychczasowych obowiązków pracowniczych.
Art. 37 ust. 5 RODO stanowi, że „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39”. Uzupełnienie rozumienia tego przepisu znajdziemy w motywie 97 RODO, w którym wskazuje się, że niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania da nych oraz ochrony, której wymagają przetwarzane dane osobowe. Z powyższego wynika, że osoba powoływana na funkcję IOD powinna legitymować się odpowiednim poziomem ogólnej wiedzy fachowej z zakresu ochrony danych osobowych, z uwzględnieniem specyfiki czynności przetwarzania. Kompetencje IOD powinny wykraczać poza samą znajomość zagadnień związanych z ochroną
danych osobowych. Na takim też stanowisku stoi Europejska Rada Ochrony Danych (do wejścia w życie RODO – tzw. Grupa Art. 29), wskazując, że wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki [1].
Tym samym im bardziej skomplikowane i złożone operacje przetwarzania danych, tym wyższe oczekiwania względem kompetencji i wiedzy IOD. Należy uznać, że w banku spółdzielczym, jak w każdym innym banku, zachodzące procesy przetwarzania danych cechują się wysokim stopniem złożoności, co bezpośrednio powinno przekładać się na wyższe oczekiwania stawiane osobom pełniącym funkcję IOD. Osoba taka powinna posiadać wiedzę nie tylko dotyczącą polskich, ale i europejskich przepisów o ochronie danych osobowych, jak również mieć wiedzę sektorową i biznesową właściwą dla banków spółdzielczych. IOD powinien także reprezentować rzetelne podejście do wykonywania swoich obowiązków i wysoki poziom etyki zawodowej. Wybór inspektora ochrony danych bez względu na to, czy będzie on pochodził spośród pracowników banku spółdzielczego, czy też będzie zewnętrznym (outsourcowanym) podmiotem, powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach banku spółdzielczego.
Status IOD
Pozycja IOD w banku spółdzielczym jest szczególna z uwagi na to, że monitorowanie zgodności działalności banku w obszarze ochrony danych osobowych powinno stanowić element obowiązującego systemu compliance. W tym zakresie IOD odgrywa istotną rolę. Zgodnie z art. 38 RODO podstawowym obowiązkiem banku spółdzielczego jako administratora danych jest zapewnienie, aby IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Tym samym nic, co dotyczy ochrony danych osobowych, nie powinno odbywać się bez zaangażowania IOD w większym lub mniejszym zakresie. IOD powinien posiadać także odpowiednie miejsce w strukturze organizacyjnej banku spółdzielczego, zapewniające mu bezpośrednie podleganie najwyższemu kierownictwu, czyli zarządowi banku. Ponadto zarząd banku jest zobowiązany zapewnić to, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań, jak również nie był odwoływany ani karany za wypełnianie swoich zadań. Osobie pełniącej funkcję IOD należy zapewnić pewną autonomiczność w działaniu. Jakkolwiek nie ma przeciwskazań, aby do pełnienia funkcji IOD powołać osobę posiadającą odpowiednie kompetencje i będącą pracownikiem banku, to należy pamiętać, aby jej podstawowe, dotychczas wykonywane zadania, nie powodowały konfliktu interesów.
Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (poprzednio Grupa Robocza Art. 29), wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych [2]. Wśród takich stanowisk wymienia się m.in. dyrektora ds. operacyjnych, kierownika działu marketingu, kierownika działu HR, kierownika działu IT bądź osoby niezajmujące kierowniczych stanowisk, jeśli biorą one udział w określaniu celów i sposobów przetwarzania danych.
Poza koniecznością powołania na funkcję IOD osoby posiadającej odpowiednie kwalifikacje i jej odpowiednim umiejscowieniem w strukturze organizacyjnej, z jej obecnością w banku spółdzielczym wiążą się dodatkowe konsekwencje natury organizacyjno-finansowej, bowiem na banku, zgodnie z art. 38 ust. 2 RODO, ciąży obowiązek wspierania IOD w wypełnianiu przez niego zadań oraz zapewnienie niezbędnych zasobów do ich wykonywania, w tym utrzymywania wiedzy fachowej. W praktyce oznacza to konieczność zapewnienia osobie pełniącej funkcję IOD, poza bieżącym wsparciem ze strony zarządu banku i innych jednostek organizacyjnych (np. IT, departamentu prawnego), odpowiedniego wsparcia finansowego, infrastrukturalnego (pomieszczenia, sprzęt, wyposażenie), kadrowego, jak również zapewnienie ciągłego szkolenia w celu aktu alizowania wiedzy z zakresu ochrony danych osobowych.
W związku z wykonywaniem zadań IOD nie powinien otrzymywać instrukcji dotyczących sposobu rozpoznania sprawy, środków, jakie mają zostać podjęte, czy celu, jaki powinien
zostać osiągnięty. Nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów, przy czym pamiętać należy, że IOD nie posiada kompetencji decyzyjnych. IOD należy umożliwić wyrażenia stanowiska najwyższemu kierownictwu i osobom podejmującym decyzję.
Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych im bardziej skomplikowane procesy przetwarzania danych, tym więcej środków należy przeznaczyć dla osób pełniących funkcję IOD. Ochrona danych musi być skuteczna i wymaga wystarczających zasobów, odpowiednich do zakresu przetwarzanych danych [3]. Właściwym wydaje się rozważenie wprowadzenia odrębnego budżetu dla IOD, tak aby móc wykazać odpowiednie zaangażowanie banku we wspieranie IOD i zapewnienie należytej ochrony danych osobowych.
Zadania IOD
Do podstawowych obowiązków powołanego IOD, zgodnie z art. 39 ust. 1 RODO, należy zaliczyć informowanie administratora (banku spółdzielczego) i jego pracowników, o ciążących na nich obowiązkach, bieżące monitorowanie wewnętrznego przestrzegania RODO, polityk i innych przepisów z dziedziny ochrony danych osobowych, podejmowanie działań zwiększających świadomość, przeprowadzenie szkoleń dla personelu oraz audytów wewnętrznych.
Dodatkowo IOD udziela zaleceń co do oceny skutków dla ochrony danych, współpracuje z Prezesem Urzędu Ochrony Danych oraz pełni dla niego funkcję punktu kontaktowego w sprawach z zakresu ochrony danych osobowych. Poza enumeratywnym wyliczeniem zadań, jakie są stawiane osobie pełniącej funkcję IOD, nie można zapominać o przepisie przywołanego już art. 38 ust. 1 RODO nakazującego zapewnienie IOD udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych. Oznacza to w praktyce angażowanie IOD we wszystkie sprawy dotyczące ochrony danych osobowych, w możliwie najwcześniejszym stadium, w szczególności w zakresie przeprowadzenia konsultacji przy ocenie skutków dla ochrony danych, jak również umożliwienie IOD uczestnictwa w spotkaniach kierownictwa i przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych, możliwość wyrażenia stanowiska i wydawania zaleceń, co powinno być standardową procedurą w organizacji. IOD powinien być postrzegany jako partner w dyskusji i włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji [4].
IOD wewnętrzny czy zewnętrzny
Powołanie IOD spełniającego omówione wcześniej kryteria może stanowić wyzwanie kadrowe dla banku, z uwagi na dość ograniczoną liczbę osób posiadających takie kompetencje. Bank może zdecydować się na osobę z wewnątrz albo może podjąć decyzję o skorzystaniu z usług podmiotów zewnętrznych. Oczywiście każde z rozwiązań ma swoje korzyści oraz niedogodności. IOD wewnętrzny zapewne zna organizację i zachodzące procesy, co może być przewagą w początkowej fazie pełnienia tej funkcji. W teorii jego dostępność jest większa. Można też powierzyć mu dodatkowe obowiązki, inne niż te związane z ochroną danych osobowych, ale raczej nie wpłynie to pozytywnie na jakość jego pracy. Czy nie warto zatem rozważyć powierzenia tej funkcji stronie trzeciej? Zlecenie pełnienia funkcji zewnętrznemu, profesjonalnemu inspektorowi ochrony danych osobowych z pewnością pomoże unikać konfliktów interesów (niezależność by deafult), zapewni bankowi lepszy dostęp do rynkowego know-how oraz doświadczenia. W wielu przypadkach może też skutkować optymalizacją kosztów. Zlecenie zewnętrzne versus etat – doświadczenia rynkowe pokazują, że w 9 przypadkach na 10 zwycięży to pierwsze. Ten sam IOD może świadczyć usługi na rzecz więcej niż jednego administratora, w tym banku. Przepisy RODO wprost dopuszczają takie rozwiązanie.
IOD pełni istotną funkcję w strukturze banku oraz w systemie zarządzania ryzykiem. Na odgrywaną przez niego rolę należy patrzeć jako na czynnik, który przyczynia się do zapewniania bezpieczeństwa danych (szerzej informacji), których zachowanie w poufności i zapewnienie im odpowiednich zabezpieczeń powinno być priorytetem dla każdego banku.
Przypisy:
[1] Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) przyjęte w dniu 13 grudnia 2016 r., zmienione i przyjęte w dniu 5 kwietnia 2017 r., s. 12.
[2] Tamże, s. 17.
[3] Tamże, s. 15.
[4] Tamże, s. 19.
Maciej Gawroński
Partner Zarządzający kancelarii Gawroński & Partners, autorytet w dziedzinie bankowości, danych osobowych, IT i prawa nowych technologii. Od dwudziestu lat doradza bankom i innym instytucjom finansowym, w szczególności w zakresie IT, outsourcingu, ochrony danych osobowych i innych regulacji.
Paweł Punda
Of Counsel w kancelarii Gawroński & Partners, ekspert w obszarze ochrony danych osobowych, bankowości i IT, radca prawny z wieloletnim stażem pracy w instytucjach bankowych, inspektor ochrony danych. Uczestniczył w kilkudziesięciu procesach wdrożeniowych RODO, m.in. w instytucjach finansowych i podmiotach z sektora energetycznego.
PRENUMERATA "GŁOSU BANKÓW SPÓŁDZIELCZYCH" na 2020 r.
