Po koniec 2019 r. na stronie Urzędu Ochrony Danych Osobowych opublikowano polską wersję Podręcznika Ochrony Danych Osobowych – zbioru wytycznych dla IOD w sektorze publicznym, dotyczących sposobu zapewnienia zgodności z RODO, opracowanego w ramach projektu „T4DATA”. Czy warto sięgnąć po lekturę?
Publikację przygotowali Douwe Korff oraz Marie Georges – członkowie europejskiej grupy ekspertów ds. praw podstawowych (Fundamental Rights Experts Europe [FREE] Group) przy znaczącym wkładzie włoskiego urzędu ochrony danych i partnerów projektu.
Informacje dla inspektorów
Podręcznik opracowano jako element materiałów szkoleniowych dla finansowanego ze środków UE programu szkolenia trenerów „T4DATA”, którego celem było wsparcie pracowników w ramach wielu organów ochrony danych w zakresie szkolenia inspektorów ochrony danych, w szczególności w sektorze publicznym. Projekt realizowany był pod auspicjami włoskiego organu ochrony danych.
Podręcznik składa się z trzech części:
- cześć ogólna traktująca o historii prawa do ochrony danych osobowych, a także o szerszym kontekście legislacyjnym w jakim muszą poruszać się Inspektorzy,
- rozdział poświęcony kluczowym aspektom RODO,
- praktyczne wskazówki dotyczące zadań inspektora ochrony danych lub działań wymagających w praktyce jego zaangażowania.
Trzy razy RODO
Część pierwsza dla praktyków będzie zdecydowanie najmniej przystępna. W treści czuć naukowy sznyt i suchą analizę przepisów. Jednak dla osób początkujących cenne może być nakreślenie obszarów, które regulują:
- unijne ogólne rozporządzenie o ochronie danych (RODO),
- projektowane rozporządzenie UE o e-prywatności,
- Dyrektywa z 2016 r. o ochronie danych w związku z przetwarzaniem ich przez organy ścigania,
- nowe instrumenty ochrony danych w obszarze wspólnej polityki zagranicznej i bezpieczeństwa,
- nowe rozporządzenie regulujące ochronę danych przez instytucje UE,
- „zmodernizowana” Konwencja Rady Europy o ochronie danych z 2018 roku.
Na minus zaliczyć można znikomą w tej części ilość przykładów (pytanie o praktyczne zastosowanie przepisów w sytuacjach granicznych nasuwają się same), a także układ tekstu (nagminne korzystanie z różnej wielkości czcionek przywodzi na myśl klasyczne badanie wzroku a także straszliwą praktykę jednego z nieistniejących już wydawnictw, które lubiło w ten sposób ćwiczyć cierpliwość swoich czytelników).
Cześć druga jest już zdecydowanie ciekawsza, bo poświęcona zasadzie podejścia opartego na ryzyku i rozliczalności. W sposób wyczerpujący opisano sposób wyboru, miejsce i zadania Inspektora Ochrony Danych w organizacji, co inspirować może zarówno samych IOD-ów jaki i podmioty korzystające z ich usług, by poprawnie aranżować swój system ochrony danych z wykorzystaniem tej instytucji. Lekturę ułatwią przykłady, których od tego momentu będzie już zauważalnie więcej.
Ostatni rozdział jest najbardziej „podręcznikowy” a zarazem najbardziej praktyczny. Zawiera dużą ilość odwołań do wytycznych Europejskiej Rady Ochrony Danych (EROD), a także liczne tabelki i zestawienia mające pomóc w codziennej pracy. Opisano m.i.in. tworzenie i aktualizację rejestrów, kwestię oceny ryzyka i DPIA (oceny skutków dla ochrony danych), postępowanie z naruszeniami, ochronę danych w fazie projektowania i domyślą ochronę danych, obsługę wpływających wniosków czy też współpracę z organem nadzorczym.
Osoby z sektora prywatnego razić może bardzo dogmatyczne i czasem być może zbyt drobiazgowe podejście do pewnych elementów (w szczególności przedstawiona „absolutystyczna” wizja zasady rozliczalności w codziennej praktyce IOD), ale tu brać trzeba poprawkę na specyfikę sektora publicznego, nastawionego na systematyczność i długotrwały charakter procesów, ale też wielokroć podkreślaną transparentność działań dla społeczeństwa.
Suma summarum
Całości nie czyta się łatwo. Znać tu profesorskie pióro i nieco górnolotny ton „ex cathedra”, jednak na pewno jest to materiał bardzo pomocny, nawet dla IOD spoza sektora publicznego. Nie powinna też czytelników zniechęcić nieco platońska, idealna wizja zadań i roli IOD. Jak mawiał jego uczeń – Arystoteles – intelekt nie przyswoi nic, czego nie pozna przez doświadczenie.
Podręcznik dostępny jest na: https://uodo.gov.pl/pl/168/1298
Zapraszamy na szkolenie: 5-dniowe Kompleksowe Szkolenie dla Inspektorów Ochrony Danych
