Inspektor ochrony danych osobowych – nie taki diabeł straszny…

INSPEKTOR CZY AUDYTOR?

jaka jest różnica między inspektorem ochrony danych osobowych a audytorem?

Konrad Gałaj-Emiliańczyk: Podstawowa różnica polega na tym, że inspektor ochrony danych (IOD) jest w dużej mierze konsultantem, natomiast audytor jest bardziej osobą weryfikującą, sprawdzającą i oceniającą stan faktyczny. Często jest to błędnie postrzegane, ponieważ osoby w organizacjach najczęściej spotykają inspektora, kiedy ten przeprowadza audyt, dlatego też najczęściej kojarzony jest właśnie z tym aspektem jego funkcji. W praktyce jest to bardzo duża różnica.

INSPEKTOR OCHRONY DANYCH MA DUŻO WIECEJ OBOWIĄZKÓW NIŻ SAM AUDYTOR SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI CZY INNYCH SYSTEMÓW. TAKŻE RÓŻNICA POLEGA PRZEDE WSZYSTKIM NA TYM, ŻE INSPEKTOR POZA BYCIEM AUDYTOREM JEST RÓWNIEŻ KONSULTANTEM ORAZ OSOBĄ WIELOKROTNIE WYSTĘPUJĄCĄ W IMIENIU ADMINISTRATORA DANYCH OSOBOWYCH.

Jakie studia najbardziej przydają się w pracy IOD?

Kiedyś, gdy zaczynałem pełnienie funkcji administratora bezpieczeństwa informacji, w ogóle nie było studiów w obszarze ochrony danych osobowych. Teraz z jednej strony mamy studia podyplomowe w tym obszarze, a także zaczynają się pojawiać, choć jeszcze są rzadkością, studia I i II stopnia dotyczące bezpieczeństwa informacji już stricte nakierowane na zawód inspektora ochrony danych.

Co by Pan doradził osobie, która chciałaby się przekwalifikować i zostać inspektorem danych osobowych? Jakie kroki powinna taka osoba podjąć?

Jeśli chodzi o rozpoczynanie kariery, przygody z zawodem IOD, myślę, że bardzo ważne jest tu samokształcenie. Przede wszystkim należy zapoznać się z publikacjami na temat bezpieczeństwa informacji i ochronnych danych osobowych, zarówno od strony praktycznej jak i teoretycznej. Tych pozycji jest coraz więcej na Polskim rynku wydawniczym, nie tak jak kilka lat temu. Jeśli stwierdzimy, że to nas interesuje, warto zrobić krok dalej i pomyśleć o studiach, a gdy jesteśmy już po studiach, to o kształceniu podyplomowym. Dodatkowo ciekawym obszarem są różnego rodzaju szkolenia dotyczące audytowania systemów zarządzania i ochrony danych, zarówno certyfikowane krajowo  jak i  międzynarodowo. Więc możliwości zdobywania wiedzy przez inspektorów jest obecnie bardzo wiele.

Uprawnienia audytora uzyskuje się na jakiś czas, a następnie trzeba je odświeżyć. Jak wygląda ta kwestia?

Jeśli chodzi o bycie audytorem systemu zarządzania, to trochę inny obszar. To znaczy można być IOD a nie być audytorem systemu zarządzania bezpieczeństwem informacji. System zarządzania bezpieczeństwem informacji rządzi się swoimi prawami, określonymi w samych normach, gdzie mamy jednostkę akredytującą, akredytowaną, certyfikującą. Tu pojawia się trochę więcej zależności niż w przypadku samego IOD. Bycie audytorem, tym wewnętrznym, z punktu widzenia bezpieczeństwa informacji jest tą podstawową ścieżką kariery, czyli najpierw najczęściej jest się wewnętrznym audytorem, a po zdobyciu nowych kompetencji i zdanie egzaminu osoba staje się audytorem wiodącym. Warto zaznaczyć, że bycie audytorem wiodącym ma sens dla osoby w systemie zarzadzania bezpieczeństwem informacji tylko wtedy, gdy zamierza ona brać udział w tak zwanych audytach certyfikujących. W przeciwnym wypadku bycie audytorem wewnętrznym zupełnie wystarcza, by realizować się zawodowo w ramach audytu wewnętrznego bezpieczeństwa informacji czy ochrony danych osobowych.

Jakie plusy i minusy w pracy IOD Pan widzi?

Zacznę od minusów, które mogą być również dodatnie. W pracy inspektora praktycznie nigdy nie można powiedzieć, że naukę kończy się na poznaniu obowiązujących wymagań i systemów. Trzeba ciągle się rozwijać pod różnym kątem. Z jednej strony, pod kątem znajomości aktów prawnych, z drugiej strony stale podnosić wiedzę pod kątem informatycznym. Zmieniające się technologie zobowiązują inspektorów do ich poznania i ciągłego nadążania za tymi zmianami. To jest element, który powinien zajmować sporą część czasu pracy inspektora, ale ze względu na liczne obowiązki, bardzo tego czasu na to akurat brakuje. Z mojego punktu widzenia,  jest to dużym minusem, i myślę, że wielu inspektorów, którzy pełnią swą funkcję od lat, na pewno się z tym zgodzi.

Jeśli chodzi o plusy, to wiele zależy od tego gdzie inspektor pełni swoją funkcję. Jeśli pełni ją w ramach jednej organizacji, często mówimy o pewnej stabilności pełnionych obowiązków. Natomiast jeśli IOD jest w ramach tzw. outsourcingu, czy też obsługujemy więcej niż jeden podmiot, dużym plusem jest to, że poznajemy ciągle nowe organizacje, stale się uczymy, zdobywamy nowe doświadczenia. To jest bardzo ciekawe z punktu widzenia rozwoju zawodowego.

CO Z KOMPETENCJAMI MIĘKKIMI?

Jeśli chodzi o cechy personalne, to jakie powinien mieć inspektor, audytor danych osobowych?

Z własnego doświadczenia, mogę powiedzieć, że cecha osobowości, która bardzo przydaje się w naszej pracy, to elastyczność. Inspektorzy ochrony danych pracują w wielu organizacjach, w wielu branżach, a w dopasowaniu do konkretnej branży i różnych sytuacji, elastyczność i dyplomacja są najistotniejsze. Wynika to z tego, że IOD z jednej strony chroni dane osobowe personelu w organizacji, a z drugiej strony odpowiada na wszelkie zapytania organu nadzorczego, czyli jest pewnego rodzaju rozjemcą, negocjatorem w wielu sytuacjach między pracownikami, pracodawcą, a organem nadzorczym czy administratorem danych.

Czy ludzie boją się audytorów? Czy w trakcie swej pracy spotyka się Pan z takim sytuacjami?

Tak, tak, to jest bardzo częste. W Polsce wciąż pokutuje pewne nieporozumienie i brak rozróżnienia między pojęciami kontrola a audyt. Audyt wciąż kojarzony jest z kontrolą, która spowoduje jakieś negatywne konsekwencje. Natomiast celem audytu jest to, by poprawić istniejący stan rzeczy, przekazać rekomendacje, które umożliwią doskonalenie status quo w organizacji. Często niestety spotykamy się z sytuacjami, że ludzie się nas boją, są w stosunku do audytorów nieufni. Dlatego jednym z ważnych elementów kompetencji audytora jest umiejętność wzbudzenia do siebie zaufania i ułatwić sobie w ten sposób gromadzenie informacji.

Dlaczego wśród inspektorów, audytorów ochrony danych więcej jest mężczyzn niż kobiet? Zgodzi się Pan z tą tezą?

Nie widziałem żadnych statystyk na ten temat, ale faktycznie, z moich obserwacji wynika, że inspektorami najczęściej zostają mężczyźni. Wynika to z tego, że poprzednia funkcja nadzorcza w obszarze ochrony danych osobowych, czyli administrator bezpieczeństwa informacji była kojarzona najczęściej z informatykami, z których przeważające gro to mężczyźni. Natomiast osobiście znam wiele kobiet inspektorów ochrony danych, które bardzo profesjonalnie realizują swe obowiązki i same są bardzo zadowolone ze swojej pracy.

Bycie inspektorem, z tzw. outsourcingu, czyli obsługującym więcej niż jeden podmiot lub jeden podmiot składający się z wielu lokalizacji, wiąże się z częstymi wyjazdami poza miejsce zamieszkania. To też z pewnością jest jeden z powodów, dla których wśród IOD częściej spotkamy mężczyzn. Generalnie dobrych inspektorów jest trudno zdobyć na rynku, ponieważ jest to praca bardzo obciążająca, właśnie jeśli chodzi o wyjazdy.

INSPEKTOR W DOBIE RODO

Jak zmieniało się podejście firm, organizacji do kwestii ochrony danych osobowych na przestrzeni ostatnich 2-3 latach, czyli od kiedy RODO się właściwie pojawiło do dziś? 

Tak, to była duża zmiana podejścia do tematu. Rok po 25 maja 2018 roku, okazało się, że organizacje nie są za bardzo zainteresowane ochroną danych osobowych i wdrażaniem zabezpieczeń w tym obszarze. Wynika to z tego, że bezpieczeństwo informacji to po prostu koszty, których większość organizacji stara się uniknąć. Dlatego pełnienie funkcji IOD nie okazało się być aż tak popularne, jak pierwotnie sądzono, gdy ów akt prawny był uchwalany. Obecnie sytuacja wygląda inaczej. Organizacje same zaczynają dostrzegać, że momencie wystąpienia jakiegoś incydentu, czy naruszenia ochrony danych osobowych, nie wiedzą co robić. Wtedy pojawia się myśl, że  IOD byłby jednak przydatny, czy to ten wewnętrzny, czy  zewnętrzny.

Kary za niedopełnienie obowiązku ochronnych danych osobowych, które pojawiają się także w Polsce, z pewnością wpływają motywująco na organizacje pod tym kątem?

Zdecydowanie tak. Natomiast to są informacje, które – z mojej obserwacji – znane są raczej wąskiemu gronu osób zajmujących się bezpieczeństwem informacji. Raczej nie przedostają się szerzej do mediów i świadomości przedsiębiorców. Finał jest taki, że mimo iż tych kar jest coraz więcej i są one coraz wyższe, to podmioty liczą na to, że jakoś im się uda uniknąć tych dodatkowych kosztów jeśli chodzi o wdrażanie i utrzymywanie systemów ochrony danych osobowych.

BEZPIECZEŃSTWO DANYCH OSOBOWYCH W CZASACH KORONAWIRUSA

Jak pandemia koronawirusa wpłynęła na Pańską pracę i branżę bezpieczeństwa informacji ochrony danych osobowych?

Pandemia zaskoczyła wszystkich, w tym IOD, jeśli chodzi o wiele aspektów przetwarzania danych osobowych pracowników, w szczególności danych wrażliwych dotyczących stanu zdrowia. W marcu br., czyli na samym początku pandemii, wielu inspektorów miało duże problemy by zidentyfikować obszary ryzyka związane chociażby z badaniem temperatury ciała pracowników przy wchodzeniu do miejsca pracy, czy obszary dotyczące informowania pracowników, że jeden z nich jest zarażony czy podlega kwarantannie. To są problemy, nad którymi do tej pory prawnicy się spierają, czy jest to dopuszczalne, czy nie. Sam organ nadzorczy dosyć ogólnie kwituje ten obszar ochrony danych, stwierdzając, że ochrona życia i zdrowia jest ważniejsza niż ochrona danych osobowych. To są jedynie ogólne stwierdzenia, natomiast co robić w konkretnych sytuacjach to jest właśnie rola IOD, by byli w stanie ocenić konkretną sytuację i doradzić rozwiązanie aby to prawo do prywatności było w miarę zagwarantowane pomimo pandemii.

IOD – zawód przyszłości?

Jak branża bezpieczeństwa informacji i ochrony danych osobowych będzie rozwijać się w najbliższych latach? Jaka przyszłość stoi przed IOD i audytorami?

Myślę, że zarówno audytorzy zarządzania systemami bezpieczeństwa informacji, ciągłości działania (bo teraz w czasie pandemii okazało się, że systemy zarządzania ciągłością działania byłyby bardzo przydatne w sytuacjach kryzysowych), czy też systemy ochrony danych osobowych, to są obszary, które zdecydowanie będą się dalej rozwijały pod kątem nadzoru, dostosowania się, czyli tzw. compliance, ale także takiej codziennej pracy IOD, jeśli chodzi o konsulting, doradztwo, zarządzanie incydentami. A wynika to z tego, że korzystamy z coraz to nowszych technologii, a te przetwarzają coraz więcej informacji o nas samych. Finalnie coraz większy nacisk będzie musiał być położony na nadzór nad tym, by prawo do prywatności oraz bezpieczeństwo informacji i interesy przedsiębiorców były zapewnione. Na pewno zawód inspektora ochrony danych ma dużą przyszłość przed sobą.