Łączenie funkcji.
Dlaczego Inspektorem powinien być informatyk a nie prawnik?
Niezależność IOD i zakres jego zadań w świetle przepisów RODO nie jest zbyt klarowny. Mówiąc o ewentualnym konflikcie interesów IOD warto zwrócić uwagę na zapis art. 39 ust. 1 pkt a, który konflikt taki wprowadza już w ramach zadań IOD wynikających z samego rozporządzenia RODO.
Czy nie ma bowiem konfliktu interesów w ramach zadań IOD, jeśli IOD najpierw doradza kierownikowi działu marketingu, np. w zakresie konstrukcji formuły zgody na przetwarzanie danych osobowych obecnych i przyszłych klientów administratora danych, a później jego zadaniem jest monitorowanie, czy przetwarzanie klientów odbywa się zgodnie z zasadami RODO?
Często w kontekście konfliktu interesów wskazuje się informatyków i słusznie, bo jeśli dzielą funkcję administratora systemu i IOD, to do takiego konfliktu może dochodzić. Szkoda tylko, że nie wskazuje się innych, częściej występujących sytuacji, które mogą prowadzić do konfliktu interesów, a mianowicie łączenie funkcji radcy prawnego z IOD.
Na wielu konferencjach radcowie prawni wręcz piali z przekonania i uzasadniali, jaki to jest konflikt interesów, jeśli informatyk pełni funkcję ABI (IOD), nie wspominając o konflikcie, jaki może wystąpić, jeśli IOD jest radca prawny!
Warto tutaj wspomnieć o jeszcze innej ważnej rzeczy, a mianowicie kwalifikacjach w zakresie ochrony danych. Musimy mieć świadomość tego, że radca prawny rzeczywiście może nas ochronić przed konsekwencjami naruszenia ochrony danych, których przyczyną może być uchybienia natury formalno-prawnej (pomimo, że sam siebie będzie wówczas monitorował - jeśli bierze udział w opracowaniu i doradzaniu w zakresie strategii dla biznesu) i odwrotnie.
Jeśli informatyk będzie IOD, może skutecznie nas ochronić przed nieuprawnionym wyciekiem danych, jeśli jest dobrym informatykiem, znawcą technologii przetwarzania (pomimo że wówczas też może dojść do sytuacji, że sam siebie będzie kontrolował).
Z dotychczasowych doświadczeń związanych z wieloma naruszeniami danych wynika, że w pierwszym przypadku, jeśli złe są procedury i prawne podstawy przetwarzania, jest szansa, że uchybienia w tym zakresie wskażą sami zainteresowani, tj. osoby, których dane są przetwarzane.
W przypadku natomiast, jeśli IOD jest informatyk, jest mniejsze prawdopodobieństwo, że stosowane środki bezpieczeństwa są właściwie weryfikowane i przetwarzane dane są bezpieczniejsze z punktu widzenia ataków hakerskich, do których dochodzi coraz częściej. Co w tym przypadku jest istotne, to to, weryfikacja w zakresie stosowanych środków i procedur bezpieczeństwa ze strony podmiotów danych jest praktycznie niemożliwa.
Reasumując, warto może będzie zwrócić uwagę na statystyki, kiedy RODO wejdzie do stosowania, w zakresie charakteru naruszeń, do jakich dochodzić będzie, gdy IOD jest radca prawny i do jakiego charakteru naruszeń dochodzić będzie, jeśli funkcję IOD sprawował będzie informatyk.
W dyskusji powyższej warto zaznaczyć, że nie ma ona sensu, gdy chodzi o IOD w dużej organizacji. Co jednak zrobić, jeśli funkcja IOD musi być łączona z innymi ze względów ekonomicznych. Klasyczny pogląd, że tym sprawdzającym i monitorującym, czyli IOD powinien być wówczas raczej prawnik, a nie informatyk, w świecie nowych technologii może okazać się złym rozwiązaniem.