Wywiad z IOD Beatą Lewandowską-Weiser cz. 2.

Dowiedz się kim jest Multiinspektor

Jakie kompetencje powinien posiadać IOD? Wspomniała już Pani, że winien on cechować się znajomością branży i pewnych kategorii prawniczych. Co jeszcze? 

Beata Lewandowska-Weiser: Dobry IOD powinien dogłębnie znać tematykę informatyzacji. Musi mieć wiedzę odnośnie zabezpieczeń systemów, zabezpieczeń sieci, połączeń. Musi mieć wiedzę praktyczną, taką jak ta, którą posiadają informatycy, a przynajmniej do nich zbliżoną. Zbliżoną na tyle, żeby umieć porozmawiać z informatykami i na tyle, żeby umieć zadać im odpowiednie pytania. Chodzi o to, żeby taki informatyk nie chciał zbyć inspektora i w jakiś sposób go przechytrzyć. Tak więc moim zdaniem podstawowym jest, żeby IOD miał wiedzę z dziedziny informatyki. Druga sprawa to to, że IOD musi mieć wiedzę z dziedziny prawa, musi się w kategoriach prawnych orientować. Różne podmioty działają na różnych podstawach prawnych, tak więc inspektorzy muszą potrafić odnaleźć odpowiednie ustawy i artykuły, a także odpowiednio je zinterpretować. Obecnie bardzo istotne jest także to, że każdy inspektor, który uznaje, że jest dobrym IOD, musi znać normę ISO27001. Bez znajomości tej normy IOD nie może wykonywać swojej pracy, bo samo rozporządzenie na niewiele się tutaj zda. W tej chwili mamy już ustawę o cyberbezpieczeństwie, która reguluje, w jaki sposób powinny zostać stworzone systemy zarządzania bezpieczeństwem informacji. Tutaj nie chodzi już o samą politykę ochrony danych na mocy rozporządzenia, a chodzi o stworzenie całego systemu bezpieczeństwem informacji. Gdybyśmy chcieli szukać dobrego IOD to moim zdaniem powinien on mieć wykształcenie informatyczne, wykształcenie prawnicze i najlepiej, by miał jeszcze certyfikat audytorski z normy ISO27001.

Co z kompetencjami miękkimi, takimi jak na przykład umiejętność pracy w zespole? 

BL-W: Tematy bezpieczeństwa systemów ochrony danych nie są tematami prostymi. Z mojej obserwacji wynika, że często klienci komunikują, że nie mają o tym żadnego pojęcia. Gdy przedstawiam np. tabelę audytową, to klienci mówią, że zupełnie nie wiedzą, co jest w niej napisane. IOD muszą przede wszystkim potrafić przełożyć specjalistyczne tematy na zwykły język i wytłumaczyć klientowi, o co chodzi w konkretnych punktach i pytaniach. Klientów należy też w taki sposób poprowadzić, aby zaangażowali się oni z tę ochronę danych, żeby chcieli nabyć nową wiedzę i coś w tym kierunku zrobić, a także, żeby po prostu te tematy zrozumieli, bo nie są to proste kwestie. 

Praca IOD różni się w zależności od tego, w jakim sektorze rynku IOD jest zatrudniony. W jakich aspektach obserwowane są te różnice? Czy IOD z sektora prywatnego dobrze odnajdzie się np. w sektorze publicznym? 

BL-W: Ja należę do takich IOD, którzy współpracują zarówno z branżą przedsiębiorców, jak i z podmiotami publicznymi. I nawet, jeśli mamy podmioty publiczne i są to szkoły, przedszkola. urzędy czy ośrodki pomocy społecznej to każdy, dosłownie każdy podmiot jest indywidualny. Żeby współpracować z jakąkolwiek branżą, nawet jeśli jest to branża publiczna, to i tak musimy ją podzielić na odpowiednie instytucje. Musimy też posiadać dokładny zakres wiedzy z działania każdego podmiotu. Oczywiście, wszystkich obowiązuje jeden rejestr czynności, ale żeby ten rejestr opracować to IOD muszą wiedzieć, czym dane podmioty się zajmują. Przykładowo w urzędzie gminy czy urzędzie miasta czynności przetwarzania do opracowania będzie około 150, natomiast w szkole czy przedszkolu możemy się zamknąć w grupie 50, 60 czynności przetwarzania. Najmniej czynności przetwarzania obserwuje się w przedsiębiorstwach prywatnych, które nie koncentrują się stricte na pracy na danych osobowych, czyli wykonują swoje zadania statutowe, które nie są jednak oparte głównie na pracy na danych osobowych. Wszędzie tam, gdzie mamy koncentrację pracy na obsłudze i współpracy na danych, mamy szereg obowiązków i czynności, co oznacza, że należy zdobyć dużą wiedzę, żeby tę pracę wykonać i dobrze opisać. Należy się wgłębić w działanie każdej odrębnej instytucji.   

Inspektor Ochrony Danych

Czy branżę i tym samym zawód IOD czekają jakieś zmiany? Jakie są prognozy na przyszłość? 

BL-W: Były takie propozycje, aby uregulować temat kwalifikacji inspektorów. W tej chwili pojawia się bardzo dużo inspektorów, którzy pełnią tę rolę, a mają ukończone jedynie krótkie kursy. Nawet studia podyplomowe, które dedykowane są dla inspektorów, nie dadzą maksymalnych kwalifikacji do pełnienia tych funkcji. Wyłącznie studia lub jakiś kurs to za mało, by mieć wiedzę i obycie z tematem. Wtedy nie możemy mówić o ochronie danych. Ochrona danych miała w założeniu gwarantować bezpieczeństwo i bezpieczniejsze przesyłanie danych, a z tego, co dziś obserwujemy, to te dane gdzieś sobie „fruwają” jak chcą, bez większych ograniczeń. W zasadzie na każdym kroku jesteśmy monitorowani przez różne instytucje i różne media, tak więc RODO nie chroni nas całkowicie. Dlatego teraz tym bardziej, jeśli mamy niedostatecznie przygotowanych IOD, to oni zwyczajnie nie zadbają o to, aby to bezpieczeństwo było zapewnione w dostatecznym stopniu. 

Jednym z narzędzi, które ułatwia pracę IOD jest RODOprotektor. Jak sprawdza się w Pani codziennej pracy? 

BL-W: Zanim zdecydowałam się na pracę z RODOprotektorem, to sprawdziłam kilka innych rozwiązań. Wciąż nie są one konkurencją dla RODOprotektora. Inspektorzy, żeby utrzymać się na konkurencyjnym rynku nie mogą mieć wygórowanych ofert cenowych. Musimy więc być swego rodzaju multiinspektorami. Pracując jako multiinspektor – nie wyobrażam sobie pracy bez RODOprotektora. Gdybym musiała zrezygnować z tego oprogramowania to wtedy zrezygnowałabym z pracy multiinspektora w ogóle (śmiech). W przypadku podmiotów, które potrzebują około 60, 70 obowiązków informacyjnych dla każdej czynności przetwarzania, która odbywa się np. w urzędach, to zwyczajnie nie wyobrażam sobie, żeby te obowiązki przygotowywać w Wordzie i przechowywać na dysku i przesyłać każdemu pracownikowi, który poprosi o nowy obowiązek. Kolejna kwestia to szacowanie ryzyka. Jest to ogromny atut tej aplikacji. Wykonaliśmy mnóstwo procesów szacowania ryzyka. To znacząco ułatwia pracę klientom. Współpracuję z firmą BTC już od dobrych kilku lat i wiem, że RODOprotektor tworzony był w taki sposób, aby było to rozwiązanie intuicyjne i naprawdę wygodne dla inspektorów. 

Trochę o technicznej stronie RODOprotektora: jak przebiegało wdrożenie, jak wygląda obsługa systemu, co z interfejsem? 

BL-W: Na początkowym etapie wdrożenia byłam w stałym kontakcie z pracownikiem firmy BTC: konsultowaliśmy się i wspólnie przechodziliśmy przez pierwsze etapy. Później przeszłam na samodzielną obsługę systemu i skonfigurowałam go w taki sposób, aby był on dla mnie wygodny. Wiem, że niektórzy prowadzą tylko rejestr czynności, jeszcze inni opierają się wyłącznie na opisywaniu zbiorów z danymi osobowymi, ja natomiast staram się to wszystko łączyć. To wszystko zależy od tego, na jakim poziomie inspektor chce się w takie działania zaangażować. Jest to oprogramowanie, które z całą pewnością nie jest trudne, ani skomplikowane. Ja sobie z nim poradziłam szybko i bezproblemowo opanowałam jego działanie. Należy dodać, że jest to system naprawdę rozbudowany i konkretny. RODOprotektor jest systemem na bardzo wysokim poziomie. Ci, którzy korzystają z tego oprogramowania to są IOD, którzy bardzo solidnie podchodzą do swoich obowiązków i bardzo skrupulatnie opisują zarówno procedury, jak i cały obieg przetwarzania danych. 

RODOprotektor to system, cechujący się wielofunkcyjnością i pełną zdolnością do konfiguracji. Co jeszcze? 

BL-W: Jest to rozwiązanie bardzo profesjonalne. Z pewnością nie jest to system prosty. Mam tu na myśli ilość danych, które możemy do niego wprowadzić. W tym systemie możemy zrobić wszystko to, czego wymaga od nas rozporządzenie. To, co jest jeszcze istotne to fakt, że w RODOprotektor wszystko jest ze sobą powiązane. Rejestr czynności jest powiązany z rejestrem upoważnień, z rejestrem obowiązków informacyjnych, z analizą i szacowaniem ryzyka. To nie są odrębne bloki, przy których musimy cały czas od nowa coś wpisywać. Jeśli wybierzemy sobie program informatyczny, do którego musimy co chwilę coś wpisywać, to po co nam taki program? Aplikacja powinna być przede wszystkim intuicyjna i sprawnie działać. Właśnie to jest tym, za co najbardziej cenię RODOprotektora: jeśli raz wprowadzimy pewne informacje, to na ich podstawie później jesteśmy w stanie przygotować wiele innych dokumentów. 

Dane kontaktowe IOD Beaty Lewandowskiej-Weiser

OD – Audyt, Consulting, Outsourcing
Ul. Złotowska 4, 64-965 Lędyczek
Tel. 692432847
NIP 7641639047
www.iodopila.pl
biuro@iodopila.pl

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość