ISO 27001

Inspektor ochrony danych osobowych – nie taki diabeł straszny…

gru. 18 2020
Kim jest inspektor, a kim audytor danych osobowych? Jakie mają obowiązki i uprawnienia oraz dlaczego ludzie boją się audytorów? Jak pandemia wpłynęła na bezpieczeństwo informacji i ochronę  danych osobowych i czy IOD to zawód przyszłości?  

O plusy i minusy bycia IOD oraz audytorem zapytaliśmy Konrada Gałaj-Emiliańczyka, prawnika, inspektora ochrony danych, audytora wiodącego systemu zarządzania ciągłością działania wg normy PN-EN ISO 22301 i trenera z zakresu bezpieczeństwa informacji wg. ISO 27001, RODO oraz cyberbezpieczeństwa. 
 

Konrad Emilarczyk

Konrad Gałaj-Emiliańczyk Bureau Veritas Polska

INSPEKTOR CZY AUDYTOR?

jaka jest różnica między inspektorem ochrony danych osobowych a audytorem?

Konrad Gałaj-Emiliańczyk: Podstawowa różnica polega na tym, że inspektor ochrony danych (IOD) jest w dużej mierze konsultantem, natomiast audytor jest bardziej osobą weryfikującą, sprawdzającą i oceniającą stan faktyczny. Często się to myli, ponieważ osoby w organizacjach spotykają inspektora w organizacjach, kiedy ten przeprowadza audyt, dlatego też najczęściej kojarzony jest właśnie z audytem. W praktyce jest to bardzo duża różnica.

Inspektor ochrony danych ma dużo większe obowiązki niż sam audytor systemu zarządzania bezpieczeństwem informacji czy innych systemów. Także różnica polega przede wszystkim na tym, że inspektor poza byciem audytorem jest również konsultantem oraz osobą występującą w imieniu administratora danych osobowych.

Jakie studia najbardziej przydają się w pracy IOD?

Kiedyś, gdy zaczynałem pełnienie funkcji administratora bezpieczeństwa informacji, w ogóle nie było studiów w obszarze ochrony danych osobowych. Teraz z jednej strony mamy studia podyplomowe w tym obszarze, a także zaczynają się pojawiać, choć jeszcze są rzadkością, studia I i II stopnia dotyczące bezpieczeństwa informacji już stricte nakierowane na zawód inspektora ochrony danych.

Co by Pan doradził osobie, która chciałaby się przekwalifikować i zostać inspektorem danych osobowych? Jakie kroki powinna taka osoba podjąć?

Jeśli chodzi o rozpoczynanie kariery, przygody z zawodem IOD, myślę, że bardzo ważne jest tu samokształcenie. Przede wszystkim należy zapoznać się z publikacjami na temat bezpieczeństwa informacji i ochronnych danych osobowych, zarówno od strony praktycznej, jak i prawniczej, informatycznej. Tych pozycji jest coraz większy wybór, nie tak jak kilka lat temu. Jeśli stwierdzimy, że to nas interesuje, warto zrobić krok dalej i pomyśleć o studiach, a gdy jesteśmy już po studiach, to o kształceniu podyplomowym. Dodatkowo takim ciekawym obszarem są różnego rodzaju szkolenia dotyczące audytowania systemów zarządzania i ochrony danych, certyfikaty krajowe i międzynarodowe. Więc możliwości zdobywania wiedzy przez inspektorów jest bardzo wiele.

Uprawnienia audytora uzyskuje się na jakiś czas, a następnie trzeba je odświeżyć. Jak wygląda ta kwestia?

Jeśli chodzi o bycie audytorem systemu zarządzania, to trochę inny obszar. To znaczy można być IOD a nie być audytorem systemu zarządzania bezpieczeństwem informacji. System zarządzania bezpieczeństwem informacji rządzi się swoimi prawami, określonymi w samych normach, gdzie mamy jednostkę akredytującą, akredytowaną, certyfikującą. Tu pojawia się trochę więcej zależności niż w przypadku samego IOD. Bycie audytorem, tym wewnętrznym, z punktu widzenia bezpieczeństwa informacji jest tą podstawową ścieżką kariery, czyli najpierw najczęściej jest się wewnętrznym inspektorem, a po zdobyciu nowych kompetencji staje się audytorem wiodącym. Warto zaznaczyć, że bycie audytorem wiodącym ma sens dla osoby w systemie zarzadzania bezpieczeństwem informacji tylko wtedy, gdy zamierza ona brać udział w tak zwanych audytach certyfikujących. W przeciwnym wypadku bycie audytorem wewnętrznym zupełnie wystarcza, by realizować się zawodowo w ramach audytu wewnętrznego.

Jakie plusy i minusy w pracy IOD Pan widzi?

Zacznę od minusów, które mogą być również dodatnie. W pracy inspektora praktycznie nigdy nie można powiedzieć, że naukę kończy się na poznaniu obowiązujących wymagań i systemów. Trzeba ciągle się rozwijać pod różnym kątem. Z jednej strony, pod kątem znajomości aktów prawnych, z drugiej strony stale podnosić wiedzę pod kątem informatycznym. Zmieniające się technologie zobowiązują inspektorów do ich poznania i ciągłego nadążania za tymi zmianami. To jest element, który powinien zajmować sporą część czasu pracy inspektora, ale ze względu na liczne obowiązki, bardzo tego czasu na to akurat brakuje. Z mojego punktu widzenia, to jest dużym minusem, i myślę, że wielu inspektorów, którzy pełnią swą funkcję od lat, na pewno się z tym zgodzą.

Jeśli chodzi o plusy, to wiele zależy od tego gdzie inspektor pełni swoją funkcję. Jeśli pełni ją w ramach jednej organizacji, często mówimy o pewnej stabilności pełnionych obowiązków. Natomiast jeśli IOD jest w ramach tzw. outsourcingu, czy też obsługujemy więcej niż jeden podmiot, dużym plusem jest to, że poznajemy ciągle nowe organizacje, stale się uczymy, zdobywamy nowe doświadczenia. To jest bardzo ciekawe z punktu widzenia rozwoju zawodowego.

CO Z KOMPETENCJAMI MIĘKKIMI?

Jeśli chodzi o cechy personalne, to jakie powinien mieć inspektor, audytor danych osobowych?

Z własnego doświadczenia, mogę powiedzieć, że cecha osobowości, która bardzo przydaje się w naszej pracy, to elastyczność. Inspektorzy ochrony danych pracują w wielu organizacjach, w wielu branżach, a w dopasowaniu do konkretnej branży i różnych sytuacji, elastyczność i dyplomacja są najistotniejsze. Wynika to z tego, że IOD z jednej strony chroni dane osobowe personelu w organizacji, a z drugiej strony odpowiada na wszelkie zapytania organu nadzorczego, czyli jest pewnego rodzaju rozjemcą, negocjatorem w wielu sytuacjach między pracownikami, pracodawcą, a organem nadzorczym czy administratorem danych.

Czy ludzie boją się audytorów? Czy w trakcie swej pracy spotyka się Pan z takim sytuacjami?

Tak, tak, to jest bardzo częste. W Polsce wciąż pokutuje pewne niezrozumienie między kontrolą a audytem. Audyt wciąż kojarzony jest z kontrolą, która spowoduje jakieś negatywne konsekwencje. Natomiast celem audytu jest to, by poprawić istniejący stan, przekazać rekomendacje, które umożliwią doskonalenie status quo w organizacji. Często niestety spotykamy się z sytuacjami, że ludzie się nas boją, są w stosunku do audytorów nieufni. Dlatego jednym z ważnych elementów kompetencji audytora jest umiejętność wzbudzenia do siebie zaufania i ułatwić sobie gromadzenie informacji.

Dlaczego wśród inspektorów, audytorów ochrony danych więcej jest mężczyzn niż kobiet? Zgodzi się Pan z tą tezą?

Nie widziałem żadnych statystyk na ten temat, ale faktycznie, z moich obserwacji wynika, że inspektorami najczęściej zostają mężczyźni. Wynika to z tego, że poprzednia funkcja nadzorcza w obszarze ochrony danych osobowych, czyli administrator bezpieczeństwa informacji była kojarzona najczęściej z informatykami, z których przeważające gro to mężczyźni. Natomiast osobiście znam wiele kobiet inspektorów ochrony danych, które bardzo profesjonalnie realizują swe obowiązki i same są bardzo zadowolone ze swej pracy.

Bycie inspektorem, z tzw. outsourcingu, czyli obsługującym więcej niż jeden podmiot lub jeden podmiot składający się z wielu lokalizacji, wiąże się z częstymi wyjazdami poza miejsce zamieszkania. To też z pewnością jest jeden z powodów, dla których wśród IOD częściej spotkamy mężczyzn. Generalnie dobrych inspektorów jest trudno zdobyć na rynku, ponieważ jest to praca bardzo obciążająca, właśnie jeśli chodzi o wyjazdy.

INSPEKTOR W DOBIE RODO

Jak zmieniało się podejście firm, organizacji do kwestii ochrony danych osobowych na przestrzeni ostatnich 2-3 latach, czyli od kiedy RODO się właściwie pojawiło do dziś? 

Tak, to była duża zmiana podejścia do tematu. Rok po 25 maja 2018 roku, okazało się, że organizacje nie są za bardzo zainteresowane ochroną danych osobowych i wdrażaniem zabezpieczeń w tym obszarze. Wynika to z tego, że bezpieczeństwo informacji to po prostu koszty, których większość organizacji stara się uniknąć. Dlatego pełnienie funkcji IOD nie okazało się być aż tak popularne, jak pierwotnie sądzono, gdy ów akt prawny był uchwalany. Obecnie sytuacja wygląda inaczej. Organizacje same zaczynają dostrzegać, że momencie wystąpienia jakiegoś incydentu naruszenia ochrony danych osobowych, nie wiedzą co robić. Wtedy pojawia się myśl, że  IOD byłby jednak przydatny, czy to ten wewnętrzny, czy  zewnętrzny.

Kary za niedopełnienie obowiązku ochronnych danych osobowych, które pojawiają się także w Polsce, z pewnością wpływają motywująco na organizacje pod tym kątem?

Zdecydowanie tak. Natomiast to są informacje, które – w mojej obserwacji – znane są raczej wąskiemu gronu osób zajmujących się bezpieczeństwem informacji. Raczej nie przedostają się szerzej do mediów i świadomości przedsiębiorców. Finał jest taki, że mimo iż tych kar jest coraz więcej i są one coraz wyższe, to podmioty liczą na to, że jakoś im się uda uniknąć tych dodatkowych kosztów jeśli chodzi o wdrażanie i utrzymywanie systemów ochrony danych osobowych.

BEZPIECZEŃSTWO DANYCH OSOBOWYCH W CZASACH KORONAWIRUSA

Jak pandemia koronawirusa wpłynęła na Pańską pracę i branżę bezpieczeństwa informacji ochrony danych osobowych?

Pandemia zaskoczyła wszystkich, w tym IOD, jeśli chodzi o wiele aspektów przetwarzania danych osobowych pracowników, w szczególności danych wrażliwych dotyczących stanu zdrowia. W marcu br., czyli na samym początki pandemii, wielu inspektorów miało duże problemy by zidentyfikować obszary ryzyka związane chociażby z badaniem temperatury ciała pracowników przy wchodzeniu do miejsca pracy, czy obszary dotyczące informowania pracowników, że jeden z nich jest zarażony czy podlega kwarantannie. To są problemy, nad którymi do tej pory prawnicy się spierają, czy jest to dopuszczalne, czy nie. Sam organ nadzorczy dosyć ogólnie kwituje ten obszar ochrony danych, stwierdzając, że ochrona życia i zdrowia jest ważniejsza niż ochrona danych osobowych. To są jedynie ogólne stwierdzenia, natomiast co robić w konkretnych sytuacjach to jest właśnie rola IOD, by byli w stanie ocenić konkretną sytuację i doradzić rozwiązanie aby to prawo do prywatności było w miarę zagwarantowane pomimo pandemii.

IOD – zawód przyszłości?

Jak branża bezpieczeństwa informacji i ochrony danych osobowych będzie rozwijać się w najbliższych latach? Jaka przyszłość stoi przed IOD i audytorami?

Myślę, że zarówno audytorzy zarządzania systemami bezpieczeństwa informacji, ciągłości działania (bo teraz w czasie pandemii okazało się, że systemy zarządzania ciągłością działania byłyby bardzo przydatne w sytuacjach kryzysowych), czy też systemy ochrony danych osobowych, to są obszary, które zdecydowanie będą się dalej rozwijały pod kątem nadzoru, dostosowywania się, czyli tzw. compliance, ale także takiej codziennej pracy IOD, jeśli chodzi o konsulting, doradztwo, zarządzanie incydentami. A wynika to z tego, że korzystamy z coraz to nowszych technologii, a te przetwarzają coraz więcej informacji o nas samych. Finalnie coraz większy nacisk będzie musiał być położony na nadzór nad tym, by prawo do prywatności oraz bezpieczeństwo informacji i interesy przedsiębiorców były zapewnione. Na pewno zawód inspektora danych ma dużą przyszłość przed sobą.

Konrad Emilarczyk
Konrad
Gałaj-Emiliańczyk
Od zawsze interesowałem się ochroną danych osobowych, jeszcze będąc na studiach prawniczych. Szeroko rozumiane bezpieczeństwo informacji, tajemnica przedsiębiorstwa, ciągłość działania i przygotowanie do sytuacji kryzysowych - to obszary zainteresowań, które w mojej ocenie, w zupełności wystarczają by spełniać się zawodowo.
  • Szkolenie dla inspektorów ochrony danych

    Podczas warsztatów uczestnicy uzyskają kompleksową wiedzę oraz zdobędą praktyczne doświadczenie w pełnieniu funkcji Inspektora Ochrony Danych (IOD). Warsztaty zostały opracowane na podstawie norm w zakresie bezpieczeństwa informacji (ISO/IEC 27001:2017), ciągłości działania (ISO/IEC 22301:2017) oraz wytycznych Europejskiej Rady Ochrony Danych Osobowych (ERODO) i Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Warsztaty pozwolą każdemu uczestnikowi w sposób odpowiedzialny i z uwzględnieniem ryzyka dla administratora danych pełnić funkcję IOD...

    Dowiedz się więcej

  • WARSZTATY Z TWORZENIA PLANÓW AWARYJNYCH I ODTWORZENIOWYCH NA PRZYKŁADZIE ZAGROŻENIA COVID-19

    Podczas szkolenia uczestnicy zostaną zapoznani z praktyką przygotowywania skutecznych planów awaryjnych i odtworzeniowych na przykładzie zagrożenia epidemicznego COVID-19. Szkolenie jest podzielone na kilka bloków tematycznych rozpoczynając od identyfikacji wpływu biznesowego epidemii na organizacje, przechodząc przez proces budowania planów awaryjnych i odtworzeniowych w poszczególnych jednostkach organizacyjnych, a kończąc na praktyce uruchamiania i modyfikacji planów awaryjnych. Uczestnicy dowiedzą się jak zbudować plany awaryjne na wypadek epidemii...

    Dowiedz się więcej

  • Szkolenie: Ochrona danych osobowych i ocena skutków przetwarzania danych zgodnie z ISO/IEC

    Podczas szkolenia uczestnicy zostaną zapoznani z praktyką wdrażania systemu ochrony danych osobowych zgodnie z RODO. Szkolenie jest podzielone na dwa bloki tematyczne rozpoczynając od zapoznania podstawową terminologią ochrony danych osobowych, przechodząc przez opis wymogów RODO, a kończąc na praktyce wdrożenia i utrzymania systemu ochrony danych osobowych. Uczestnicy dowiedzą się jak planować wdrożenie poszczególnych elementów wymaganych przez RODO i wytyczne Prezesa UODO i ERODO dotyczące praktyki wdrażania i utrzymania systemu ochrony danych osobowych.

    Dowiedz się więcej

  • Szkolenie: Wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO i RODO

    Podczas szkolenia uczestnicy zostaną zapoznani z praktyką przygotowania, wdrażania i nadzoru nad systemem bezpieczeństwa informacji zgodnie z normą ISO/IEC 27001:2017. Uczestnicy dowiedzą się jak zintegrować poszczególne elementy wymagane przez najlepsze praktyki zarządzania bezpieczeństwem informacji z wymogami dotyczącymi ochrony danych osobowych w Polsce. W trakcie szkolenia zostaną omówione najtrudniejsze elementy implementacji oraz praktyczne case study opisujące skuteczność proponowanych rozwiązań. Szkolenie pozwala usystematyzować wiedzę i zweryfikować dotychczas podejmowane działania dotyczące implementacji SZBI...

    Dowiedz się więcej