Cykl blogowy: Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych?

Cykl blogowy: Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych?

autor

Chciałbym zaprosić Państwa do cyklu artykułów, który pomaga w podjęciu decyzji „Kto powinien pełnić funkcję Dioda, aby nie stracić kontroli nad bezpieczeństwem danych?

Funkcja IOD-a to nie stanowisko „do odhaczenia”. To realny wpływ na bezpieczeństwo, odpowiedzialność i odporność organizacji. W tym cyklu pokażę, jak dziś wygląda rynek usług IOD, co się zmienia, jakie są modele współpracy i jak ocenić, czy Twój obecny wybór naprawdę działa.

Każda część to konkret: przykłady, ostrzeżenia, praktyczne porady i narzędzia. Bez owijania w bawełnę.

Ten cykl to nie tylko tekst. To zaproszenie do przemyślanej decyzji – o tym, kto realnie stoi na straży bezpieczeństwa Twojej organizacji.

Warto zainwestować swój czas w przeczytanie tych artykułów, by zaoszczędzić czas, pieniądze i spokojny sen.

Część 1. Dlaczego firmy zmieniają IOD-ów i co ich do tego popycha?

Ochrona Danych Osobowych od 1997 roku:

Ochrona Danych Osobowych (ODO) w Polsce pojawiła się w 1997 roku wraz z demokracją, gdy pojawiła się nowa Konstytucją RP oraz Ustawa o Ochronie Danych Osobowych.

To był sygnał, że człowiek i jego dane są ważne i należy je chronić a ludzie mają swoje prawa.

ABI/IOD: Nowy zawód:

W 2015 wraz z ustawą o swobodzie działalności gospodarczej pojawił się nowy nieobowiązkowy zawód Administrator Bezpieczeństwa Informacji (ABI), który miał stać na straży Ochrony Danych Osobowych u Administratora Danych, czyli w organizacji, ale dopiero “RODO” wprowadziło duże zamieszanie wprowadzając obowiązkową funkcję Inspektora Ochrony Danych (IOD) w instytucjach publicznych oraz firmach, które mają dużo danych osobowych (np. pracowników i/lub Klientów). Natomiast w firmie lub innej organizacji np. non-profit, która nie ma powołanego dioda, zadania wykonuje Administrator Danych.

Jaka jest rola IODa?

Inspektor Ochrony Danych jest przede wszystkim „szeryfem” danych osobowych, który pilnuje dobrych praktyk, przepisów. Ważne, aby IOD był jak dobry rodzic, na którego można liczyć, gdy dojdzie do incydentu czy naruszenia, który pomoże w trudnej sytuacji, ale powie też, że czegoś nie można robić, nawet jak się to komuś nie podoba, ponieważ chroni organizację przed konsekwencjami.

Zadania IODa są określone w art. 39 RODO m.in.

– Obowiązkowe szkolenia. Nikt nie powinien mieć dostępu do danych osobowych zarówno w systemach informatycznych jak i w formie papierowej, jeżeli wcześniej nie przeszedł szkolenia z ochrony danych osobowych, następnie nie zapoznał się z Polityką Ochrony Danych, nie podpisał oświadczenia, że rozumie i będzie stosował. A następnie otrzymał prawidłowe upoważnienie do przetwarzania zgodnie z zakresem obowiązków.

Monitoruje zgodność z przepisami prawa oraz zapobiega potencjalnym zagrożeniom poprzez regularne „badania stanu zdrowia Ochrony Danych Osobowych” czyli audyty, analizy ryzyka.

– Doradztwo czy można coś robić czy nie. Obowiązkowym punktem jest włączenie IODa przed wdrożeniem nowego systemu informatycznego, aby zadbać o właściwą ochronę już na etapie projektowania.

– Wdrożenie Polityk Ochrony Danych, aby zbiór dokumentów i procedur uwzględniał każdy obszar ochrony danych.

– Współpraca z organami nadzorczymi, głównie dotyczy to Urzędu Ochrony Danych Osobowych (UODO).

Więcej o tym w artykule Rola Inspektora Ochrony Danych w Twojej Organizacji.

Podsumowując, dzisiaj funkcja IODa jest standardem, ale coraz częściej obserwujemy, że sam fakt „posiadania IOD-a” nie wystarcza. Coraz więcej organizacji decyduje się na zmianę dotychczasowej obsługi, mimo że pozornie wszystko „działa”.

 

Dlaczego tak się dzieje? Jakie potrzeby i ryzyka stoją za tą decyzją?

Kiedy zmieniamy IODa?

Można to porównać do sytuacji z telefonią komórkową. Wszyscy mamy telefon, wielu z nas nawet dwa – prywatny i służbowy. Ale nie oznacza to, że jesteśmy lojalni wobec operatora. Jeśli jakość obsługi spada, koszty rosną, a reakcje na zgłoszenia są zbyt powolne – po prostu zmieniamy dostawcę.

Dokładnie to samo dzieje się dziś z usługami IOD. Organizacje dojrzewają, mają większą świadomość ryzyk i nie chcą już obsługi „na papierze”. Szukają konkretu, odpowiedzialności, partnerstwa i przede wszystkim wychodzenia z inicjatywą, aby podnosić poziom bezpieczeństwa, a nie działań doraźnych. A tam, gdzie tego nie dostają – szukają nowych rozwiązań. I właśnie dlatego co roku grono Klientów, które powierza nam odpowiedzialność za zadania IODa się powiększa. Co ważne – głównie z polecenia. 

Główne powody zmiany IOD-a
  1. Brak reakcji w sytuacjach kryzysowych
    Naruszenia danych, żądania osób fizycznych, kontrole z UODO – to momenty, w których weryfikuje się jakość współpracy. Jeśli IOD nie odbiera telefonu, nie zna procedury lub nie potrafi wesprzeć – zaufanie się kończy. Tłumaczą się teściową w szpitalu, urlopem, chorobą, a przecież w przypadku naruszenia ochrony danych osobowych mamy do 72 godz. na zgłoszenie incydentu. W raporcie przecież nie napiszemy, że Administrator nie zgłosił w terminie naruszenia, bo IOD miał teściową w szpitalu. Klienci mają swoje problemy i nie wolno ich obarczać swoimi.
  2. Zbyt ogólne lub przestarzałe podejście
    Audyt raz na kilka lat, ostatnie szkolenie z 2018 roku, czyli ponad 7 lat temu, brak analizy ryzyka… W wielu organizacjach „coś zostało zrobione” przy wdrożeniu RODO, ale nikt już tego nie aktualizuje. A przecież przepisy i ryzyka dynamicznie się zmieniają. Poza tym RODO trzeba „zintegrować” z innymi obszarami np. NIS2, ISO, HR, IT, Sygnaliści, zmiany w przepisach prawa. Dokumentacja nie odpowiada rzeczywistości. np. nieuwzględnione nowe czynności w Rejestrze Czynności Przetwarzania (RCP), nieaktualne klauzule informacyjne, umowy powierzenia.
  3. Niska jakość komunikacji i doradztwa
    Klienci często wskazują, że IOD nie tłumaczy w sposób zrozumiały, nie daje konkretnych rekomendacji, tylko „zabezpiecza się klauzulą”. To frustruje – szczególnie kierownictwo organizacji, które oczekuje rozwiązań, a nie lawirowania. Wielu IODów działa reaktywnie, a nie proaktywnie wychodząc naprzeciw, aby Klient miał poczucie, że Ochronę Danych Osobowych powierzył właściwej osobie/firmie i może zająć się podstawową działalnością.
  4. Brak systemowego podejścia
    Gdy IOD działa samodzielnie, bez zespołu, bez wsparcia zaplecza, bez narzędzi, bez standaryzacji procesów – pojawia się pytanie: kto go zastąpi w czasie urlopu, choroby, szkolenia u innego klienta? Brak zastępowalności to realne ryzyko operacyjne. W jaki sposób jest zarządzana dokumentacja Administratora Danych, aby zapewnić ciągłość działania na wypadek np. urlopu macierzyńskiego IODa?
  5. Brak kompetencji
    Często IOD to osoba, która ma dodatek funkcyjny, przez co albo będzie zaniedbywać swoje główne obowiązki np. kadrowej, szefa działu administracji czy IT albo zadania IOD będą robione po łebkach. Podobnie jest z jednoosobowymi firmami lub firmami, które specjalizują się w IT czy prawie. Są dobrymi prawnikami lub informatykami, a RODO było tylko okazją na dorobienie. Często szkolenia są niskiej jakości, ponieważ brakuje kompetencji z wystąpień publicznych lub też szkolenia są nudne, oparte na czytaniu artykułów z ustawy i ciężko wytrzymać dłużej niż kilkanaście minut.
Co mówią dane?

Co roku Klienci powierzają CompNet Sp. z o.o. pełnienie funkcji IOD w ramach outsourcingu. W 2024 oraz pierwszym półroczu 2025 wskaźnik retencji klientów wyniósł ponad 99% – co oznacza bardzo wysoki poziom zadowolenia. To prawda, że czasami zdarzały się odejścia, ale były one najczęściej z powodów:

  • problemów finansowych w organizacji,
  • reorganizacji lub likwidacji jednostki,
  • zmian kadrowych po wyborach (szef się zmienia np. po wyborach i nie ma świadomości odpowiedzialności czy też naszej jakości świadczonych usług).

To ważny sygnał: klienci, którzy wiedzą, jak wygląda dobra obsługa IOD, nie rezygnują z niej pochopnie. Zmiana następuje najczęściej tam, gdzie coś zawiodło wcześniej – i organizacja nie chce już więcej ryzykować.

Zmiana to nie porażka – to dojrzałość

Jeszcze kilka lat temu lojalność wobec dostawców usług była silniejsza. Dziś nikt się nie dziwi, że firma zmienia operatora komórkowego, system kadrowo-płacowy, księgowego – bo liczy się jakość, cena i szybkość reakcji. Dlaczego z IOD-em miałoby być inaczej?

Coraz więcej szefów rozumie, że IOD to nie tylko obowiązek, ale element zarządzania ryzykiem i reputacją.
Dlatego zamiast „trwać w schemacie”, zaczynają analizować jakość świadczonych usług, sprawdzać wsparcie w sytuacjach trudnych i szukać partnerów, którzy oferują nie tylko kompetencje, ale też procesy, dostępność i zrozumienie specyfiki branży.

To dobry kierunek – i ważny sygnał, że RODO przestaje być biurokracją, a staje się częścią strategii zarządzania organizacją.

Podsumowanie

Zmiana IOD-a nie musi oznaczać porażki poprzedniego modelu. Może być po prostu konsekwencją wzrostu świadomości, zmieniających się realiów i potrzeby większego bezpieczeństwa. Warto spojrzeć na swoje obecne rozwiązanie i odpowiedzieć sobie na pytanie:

Czy dziś, z perspektywy ostatnich 12 miesięcy, czuję się bezpiecznie jako Administrator Danych?

Weź sprawy w swoje ręce

Większość organizacji coś zrobiła w ramach “RODO”. Jedni bardzo dużo, ale nadal się zdarzają organizacje, które w 2018 “coś tam zrobili” i …… nic więcej.

Zastanawiasz się, czy Twoja obsługa RODO spełnia aktualne wymagania organizacji? Ta checklista pomoże Ci zidentyfikować niepokojące sygnały. Zaznacz, które z poniższych stwierdzeń są prawdziwe w Twojej sytuacji:

  1. Czy wiesz, kto zastępuje Twojego IOD-a, gdy jest nieobecny? Tak/Nie
  2. Czy w ciągu roku otrzymałeś raport z audytu sprawdzającego Ochronę Danych Osobowych od IOD w którym czytelnie wskazane są obszary, które obszary działają a jakie wymagają natychmiastowej poprawy? Tak/Nie
  3. Czy rekomendacje IODa są jasne, terminowe? Tak/Nie
  4. Czy w ciągu ostatnich 3 lat miałeś szkolenie z Ochrony Danych Osobowych lub narzędzia eLearingowe, które zapewniają wywiązanie się z obowiązku prowadzenia szkoleń? Tak/Nie
  5. Czy otrzymujesz od IOD-a jasne rekomendacje oraz pomoc w sytuacjach kryzysowych? Tak/Nie
  6. Czy masz reakcję najpóźniej do 24 godz. na incydenty, naruszenia z zakresu Ochrony Danych Osobowych? Tak/Nie
  7. Czy Twój IOD działa proaktywnie i wychodzi naprzeciw, aby zapobiegać a nie leczyć np. cykliczne audyty, analizy ryzyka, informowanie o aktualnych zmianach w przepisach, czy jednak działa reaktywnie, czyli tylko gdy Ty prosisz o kontakt? Ograniczają swoją pracę do wystawienia faktury? Tak/Nie

Jeśli zaznaczyłaś/łeś jakąkolwiek odpowiedź na „Nie” – to dobry moment, by:

– Przeanalizować aktualny model obsługi.

– Rozważyć zmianę IOD-a lub rozszerzenie współpracy.

– Porozmawiać z dostawcą usług lub porównać inne dostępne modele na funkcję IODa.

Skuteczna ochrona danych to nie tylko obowiązek – to realna przewaga konkurencyjna i odporność Twojej organizacji.

Zgłoś się do nas! Wiemy jak skutecznie Wam pomóc: https://www.comp-net.pl/kontakt/

A już wkrótce: Część 2 – Wyzwania administratora danych – nie tylko RODO.
Jeśli chcesz mieć pewność, że Twój IOD nadąża – nie przegap kolejnej części.
Autorzy:
Sebastian Strzech

Prezes Zarządu CompNet Sp. z o.o. / IOD

Monika Kowalik

Dyrektor Wykonawczy w CompNet Sp. z o.o. / IOD

Sebastian Strzech – od 2002 roku pomagam organizacjom nie tylko spełniać wymogi prawa, ale budować realne bezpieczeństwo danych. W świecie, gdzie cyberzagrożenia nie biorą urlopu, nie ma miejsca na przypadek. Ten cykl to efekt tysięcy godzin audytów, wdrożeń i rozmów z administratorami danych, którzy chcą działać świadomie. Jeśli też jesteś jednym z nich – porozmawiajmy.