konflikt interesów

Inspektor ochrony danych oświaty w konflikcie interesów

W wielu materiałach dotyczących niezależności, poruszono kwestie łączenia funkcji IOD z innymi obowiązkami nie wynikającymi bezpośrednio z RODO. I nawet nie chodzi o to, że administratorzy chcą je łączyć np. ze stanowiskami asystenckimi, kadrowymi czy specjalistycznymi z innych dziedzin. To akurat kwestia merytoryczna, organizacyjna i wizerunkowa, która może wywoływać szyderczy uśmiech wśród inspektorskiej braci ale nie musi powodować konfliktu interesów. Natomiast tym wpisem chciałbym zwrócić uwagę na aspekt nie poruszany nigdzie indziej a przynajmniej nie na kilku pierwszych stronach wyszukiwarki Google. Jak wiadomo druga podstrona to już deepweb :D. Dotyczy to sytuacji, w której Inspektor Ochrony Danych wykonuje swoją funkcję dla administratora i podmiotu przetwarzającego równocześnie. Powiecie pewnie, że to niemożliwe, a jednak…

Inspektor ochrony danych – podstawa powołania

Zgodnie z art. 37 RODO, administrator i podmiot przetwarzający wyznaczają IOD gdy przetwarzania dokonują organ lub podmiot publiczny. Co więcej, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych. Inspektor Ochrony Danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Do tej pory wszystko jest zrozumiałe, praktyczne i życiowe więc pewnie zapytacie po co dzielę włos na czworo i doszukuję się dziury w całym. Daleki jestem od interpretacji prawnych i mogę posługiwać się jedynie logiką lub wziąć to na chłopski rozum. Zwracam jednak uwagę na spójnik „lub” występujący w ust. 6 tego samego artykułu. Może jest on istotą problemu, który staram się nakreślić a ktoś nie zauważył zakamuflowanej tam pułapki.

ZEAS-y

Tym skrótem określa się zespoły ekonomiczno – administracyjne szkół czyli jednostki budżetowe świadczące usługi finansowo – księgowe, organizacyjno – administracyjne i kadrowo – płacowe na rzecz oświaty. W obecnym momencie nowo powstające podmioty o zbliżonej charakterystyce nazywane są centrami usług wspólnych (CUW). Ich ewentualne istnienie zależy od organów, które w swoich kompetencjach mają prowadzenie placówek oświatowych. Wzajemne relacje pomiędzy stronami reguluje porozumienie zawarte pomiędzy kierownikiem ZEAS-u i dyrektorem szkoły. Porozumienie wyznacza zakres współpracy, obowiązki i odpowiedzialności. Jednym z takich obowiązków jest zapewnienie pracowników, którzy będą sprawowali funkcję IOD dla placówek oświatowych. Nie byłoby w tym nic zdrożnego ale samorządy idąc na skróty przyjęły strategię (również finansową), że jeden z nich może pełnić obowiązki zarówno w szkołach jak i ZEAS-ie.

Inspektor ochrony danych – zadania

Właściwie to skupię się na jednym z nich, a dokładnie na zadaniu wymienionym w art. 39 ust. 1 b) – „monitorowaniu przestrzegania rozporządzenia (…) oraz powiązane z tym audyty”. Kolejna zagwozdka, czy słowo „audyty” odnosi się tylko do szkoleń personelu czy również do kompleksowej operacji monitorowania. W celu wyjaśnienia posłużyłem się wytycznymi UODO i Grupy Roboczej, które w ramach tego zadania wskazują na konieczność zbierania informacji w celu identyfikacji procesów, analizowania i sprawdzania zgodności przetwarzania oraz informowanie, doradzanie i rekomendowanie określonych działań. Czyli w skrócie podejmowania wszystkich czynności jakie na co dzień wykonuje audytor wewnętrzny lub zewnętrzny. Przynajmniej taki, który działa wedle ustalonych standardów międzynarodowych, przyjętej wewnętrznej metodyki audytu lub kodeksu etycznego.

Konflikt interesów

I tutaj dochodzimy do puenty utworu ;). Administrator zawierający umowę lub porozumienie z podmiotem przetwarzającym powinien w jego treści zawrzeć możliwość przeprowadzenia audytu przetwarzania informacji. Na tej podstawie podmiot przetwarzający umożliwia i przyczynia się do przeprowadzanej u niego inspekcji. W relacji szkoła – ZEAS mamy właśnie do czynienia z takim przetwarzaniem. Szkoły powierzają ZEAS-om dane osobowe na podstawie porozumienia i w każdym momencie mają prawo na przeprowadzenie audytu. Jeżeli IOD ma być włączany we wszystkie sprawy dotyczące ochrony danych, audyt jak najbardziej wpisuje się w te ramy. W sytuacji gdy zarówno na rzecz administratora i podmiotu przetwarzającego pracuje jedna i ta sama osoba mamy oczywisty konflikt interesów lub jak kto woli brak rozdzielenia obowiązków (ang. Segregation of duties). W końcu w tym przypadku IOD jest pracownikiem administratora.

„Alternatywy 3”

Niniejszy wpis obrazuje sytuację w warszawskiej oświacie ale niewykluczone, że jest standardem również w innych miejscowościach. Przykład idzie z góry. W tych regionach gdzie niezbędne było zatrudnienie kilku IOD-ów, szansa przeprowadzenia obiektywnego audytu podmiotu przetwarzającego wzrasta. Co prawda będzie to audyt kolegi z biurka obok jednak da to przynajmniej namiastkę niezależności i obiektywizmu. Natomiast w regionach gdzie wyznaczono jednego inspektora uniknięcie konfliktu interesu jest nieuniknione. Pozostaje jeszcze możliwość zwrócenia się do regionalnego Biura Audytu Wewnętrznego, ale nie jestem przekonany czy instytucje te dysponują wystarczającą liczbą zasobów do przeprowadzenia działań sprawdzających. W końcu w tym celu powstał Urząd Ochrony Danych Osobowych, który prowadzi permanentną akcję rekrutacyjną od referenta do specjalisty. Szkoda tylko, że wymagania wobec kandydatów nie obejmują żadnej wiedzy technicznej co tylko utwierdza w przekonaniu, że urząd skupi się na tzw. miękkim RODO, spychając kwestie techniczne na boczny tor. Co również uczynią administratorzy.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.