GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Podręcznik Inspektora Ochrony Danych – recenzja

Recenzja: BIG DATA, nauka o danych i AI bez tajemnic

Po koniec 2019 r. na stronie Urzędu Ochrony Danych Osobowych opublikowano polską wersję Podręcznika Ochrony Danych Osobowych – zbioru wytycznych dla IOD w sektorze publicznym, dotyczących sposobu zapewnienia zgodności z RODO, opracowanego w ramach projektu „T4DATA”. Czy warto sięgnąć po lekturę?

Publikację przygotowali  Douwe Korff oraz Marie Georges – członkowie europejskiej grupy ekspertów ds. praw podstawowych (Fundamental Rights Experts Europe [FREE] Group) przy znaczącym wkładzie włoskiego urzędu ochrony danych i partnerów projektu.

Informacje dla inspektorów

Podręcznik opracowano jako element materiałów szkoleniowych dla finansowanego ze środków UE programu szkolenia trenerów „T4DATA”, którego celem było wsparcie pracowników w ramach wielu organów ochrony danych w zakresie szkolenia inspektorów ochrony danych, w szczególności w sektorze publicznym. Projekt realizowany był pod auspicjami włoskiego organu ochrony danych.

Podręcznik składa się z trzech części:

  1. cześć ogólna traktująca o historii prawa do ochrony danych osobowych, a także o szerszym kontekście legislacyjnym w jakim muszą poruszać się Inspektorzy,
  2. rozdział poświęcony kluczowym aspektom RODO,
  3. praktyczne wskazówki dotyczące zadań inspektora ochrony danych lub działań wymagających w praktyce jego zaangażowania.

Trzy razy RODO

Część pierwsza dla praktyków będzie zdecydowanie najmniej przystępna. W treści czuć naukowy sznyt i suchą analizę przepisów. Jednak dla osób początkujących cenne może być nakreślenie obszarów, które regulują:

  1. unijne ogólne rozporządzenie o ochronie danych (RODO),
  2. projektowane rozporządzenie UE o e-prywatności,
  3. Dyrektywa z 2016 r. o ochronie danych w związku z przetwarzaniem ich przez organy ścigania,
  4. nowe instrumenty ochrony danych w obszarze wspólnej polityki zagranicznej i bezpieczeństwa,
  5. nowe rozporządzenie regulujące ochronę danych przez instytucje UE,
  6. „zmodernizowana” Konwencja Rady Europy o ochronie danych z 2018 roku.

Na minus zaliczyć można znikomą w tej części ilość przykładów (pytanie o praktyczne zastosowanie przepisów w sytuacjach granicznych nasuwają się same), a także układ tekstu (nagminne korzystanie z różnej wielkości czcionek przywodzi na myśl klasyczne badanie wzroku a także straszliwą praktykę jednego z nieistniejących już wydawnictw, które lubiło w ten sposób ćwiczyć cierpliwość swoich czytelników).

Cześć druga jest już zdecydowanie ciekawsza, bo poświęcona zasadzie podejścia opartego na ryzyku i rozliczalności. W sposób wyczerpujący opisano sposób wyboru, miejsce i zadania Inspektora Ochrony Danych w organizacji, co inspirować może zarówno samych IOD-ów jaki i podmioty korzystające z ich usług, by poprawnie aranżować swój system ochrony danych z wykorzystaniem tej instytucji. Lekturę ułatwią przykłady, których od tego momentu będzie już zauważalnie więcej.

Ostatni rozdział jest najbardziej „podręcznikowy” a zarazem najbardziej praktyczny. Zawiera dużą ilość odwołań  do wytycznych Europejskiej Rady Ochrony Danych (EROD), a także liczne tabelki i zestawienia mające pomóc w codziennej pracy. Opisano m.i.in. tworzenie i aktualizację rejestrów, kwestię oceny ryzyka i DPIA (oceny skutków dla ochrony danych), postępowanie z naruszeniami, ochronę danych w fazie projektowania i domyślą ochronę danych, obsługę wpływających wniosków czy też współpracę z organem nadzorczym.

Osoby z sektora prywatnego razić może bardzo dogmatyczne i czasem być może zbyt drobiazgowe podejście do pewnych elementów (w szczególności  przedstawiona „absolutystyczna” wizja zasady rozliczalności w codziennej praktyce IOD), ale tu brać trzeba poprawkę na specyfikę sektora publicznego, nastawionego na systematyczność i długotrwały charakter procesów, ale też wielokroć podkreślaną transparentność działań dla społeczeństwa.

Suma summarum

Całości nie czyta się łatwo. Znać tu profesorskie pióro i nieco górnolotny ton „ex cathedra”,  jednak na pewno jest to materiał bardzo pomocny, nawet dla IOD spoza sektora publicznego. Nie powinna też czytelników zniechęcić nieco platońska, idealna wizja zadań i roli IOD. Jak mawiał jego uczeń – Arystoteles – intelekt nie przyswoi nic, czego nie pozna przez doświadczenie.

Podręcznik dostępny jest na: https://uodo.gov.pl/pl/168/1298

Zapraszamy na szkolenie: 5-dniowe Kompleksowe Szkolenie dla Inspektorów Ochrony Danych