Może prowadzić to do konfliktu interesów z nowymi obowiązkami nadzoru nad procesami przetwarzania danych. I łamać wymóg niezależności takiej osoby, za co grożą administratorowi wysokie kary.
Brak wiedzy i oszczędności budżetowe – to główne przyczyny, dla których część urzędów i jednostek sektora finansów publicznych decyduje się mianować na inspektorów ochrony danych (IOD) pracowników zajmujących się w danym urzędzie np. kwestiami informatycznymi, księgowymi albo osoby prowadzące biuro czy sekretariat. Tymczasem takie działanie może okazać się niezgodne z RODO i skutkować karami nakładanymi przez Urząd Ochrony Danych Osobowych (UODO). Zdaniem ekspertów istnieje uzasadniona obawa, że przypadkowe osoby – zwłaszcza mające wiele innych obowiązków – nie poradzą sobie z nowymi zadaniami. Ale to nie jedyny problem. O wiele większym może okazać się wykazanie niezależności – warunku narzuconego przez RODO. A brak powołania niezależnego IOD naraża samorządowców na karę.
– Wcale mnie nie dziwi ustanawianie inspektorami przypadkowych pracowników. Z podobną sytuacją mieliśmy bowiem do czynienia przy wdrażaniu do samorządów funkcji administratorów bezpieczeństwa informacji (ABI). Urzędom brakuje odpowiedniego budżetu oraz fachowej kadry i dlatego spychają nowe obowiązki na sekretarki czy informatyków – komentuje Piotr Grzelczak, radca prawny z wrocławskiej kancelarii GFP Legal.
– Wielu samorządowców uważa, że skoro w urzędzie czy jednostce publicznej jest informatyk, to on będzie potrafił wdrożyć RODO i może zostać IOD. A przecież on wcale nie musi wiedzieć, jak to zrobić. Wdrożenie RODO to bardziej projekt organizacyjny niż informatyczny – uważa z kolei dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”. Ekspertka mówi, że sytacja nieco lepiej wygląda w większych urzędach. Najczęściej pracuje w nich bowiem np. radca prawny, osoba zajmująca się przetwarzaniem informacji lub po prostu administrator bezpieczeństwa informacji (który po 25 maja br. automatycznie przejmie funkcję IOD).
Przypomnijmy: przyjęty przez rząd projekt ustawy o ochronie danych osobowych zakłada, że jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2017 r. poz. 2077 ze zm.), instytuty badawcze, o których mowa w ustawie z 30 kwietnia 2010 r. o instytucjach badawczych (Dz.U. z 2017 r. poz. 1158 ze zm.) oraz Narodowy Bank Polski, są zobowiązane do wyznaczenia inspektora ochrony danych. Oznacza to, że IOD muszą powołać zarówno duże urzędy, jak i małe jednostki, np. biblioteki publiczne.
Konflikt interesów
Dlaczego jednak informatyk czy sekretarka nie mogą być IOD? Zasadniczo nic nie stoi na przeszkodzie, aby te osoby poszerzyły swoje kompetencje i stały się specjalistami z zakresu RODO. Artykuł 37 ust. 5 RODO stanowi, że IOD powinien być wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań z art. 39 RODO. Motyw 97 preambuły przewiduje, że niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają przetwarzane dane osobowe. Jak czytamy w wytycznych Grupy Roboczej Art. 29, wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.
Rzecz jednak w tym, że powierzenie zadania IOD sekretarce lub informatykowi mogłoby być niezgodne z unijnym rozporządzeniem, które wymaga niezależności takiej osoby. Motyw 97 stanowi, że IOD – bez względu na to, czy jest pracownikiem administratora danych osobowych – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Z kolei art. 38 ust. 6 RODO mówi, że IOD „może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. Co to dokładnie oznacza?
Zagadnienie to wyjaśniała Grupa Robocza Art. 29 w Wytycznych nr 243. Stwierdziła ona, że można uznać, iż za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor do spraw operacyjnych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), a także niższe stanowiska, o ile te osoby biorą udział w określaniu celów i sposobów przetwarzania danych osobowych.
Problem z niezależnością
Eksperci wskazują wiele argumentów, że w przypadku osób, które zajmują stanowiska w urzędzie, może być problem z wykazaniem takiej niezależności. Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, związany z Instytutem Allerhanda, uważa, że istnieje ryzyko sytuacji, kiedy IOD będzie monitorować przestrzeganie RODO przez samego siebie. Wszak sekretarka czy pracownik działu zarządzania zasobami ludzkimi również przetwarzają dane osobowe.
Mało tego, dr Litwiński uważa, że powoduje to ryzyko nacisku przełożonych na taką osobę. Przykładowo pracownik wykonujący jednocześnie obowiązki IOD oraz inne może być łatwo ukarany za wykonywanie obowiązków IOD pod pretekstem ukarania za inne zadania. – To zaś rodzi bardzo duże zagrożenia dla niezależności takiego IOD – uważa dr Paweł Litwiński.
Z kolei mec. Piotr Grzelczak dodaje, że powołanie na IOD osoby piastującej stanowisko niskiego szczebla, np. sekretarki, nie da jej możliwości realnego oddziaływania na procesy przetwarzania danych osobowych. Tymczasem art. 38 RODO zobowiązuje administratora oraz podmiot przetwarzający, by zapewnili, że inspektorzy będą właściwie i niezwłocznie włączani we wszystkie sprawy dotyczące ochrony danych osobowych. Norma ta ma zapobiegać próbom ograniczania IOD dostępu do informacji niezbędnych dla realizacji jego zadań, a tym samym sprzyja zachowaniu jego niezależności.
WAŻNE
Jeżeli Urząd Ochrony Danych Osobowych stwierdzi podczas kontroli, że administrator nie dopełnił wymogu zachowania niezależności inspektora ochrony danych osobowych, to może nałożyć na niego karę w wysokości do 100 tys. zł.
Jak podkreślają eksperci, niezależność IOD jest bardzo ważna i nie można jej obejść, stosując luki w prawie. Doktor Sakowska-Baryła mówi nam, że spotkała się z pomysłem urzędników, aby podzielić etat np. informatykowi w taki sposób, aby przez cztery godziny wykonywał on obowiązki informatyka, a przez kolejne cztery – zadania IOD. – To kompletnie chybiony pomysł. IOD wciąż będzie osoba, która tak naprawdę musiałaby kontrolować, oceniać i zgłaszać naruszenia powstałe w wyniku własnej pracy – podkreśla dr Sakowska-Baryła.
Czym może grozić stwierdzenie w trakcie kontroli przeprowadzonej przez Urząd Ochrony Danych Osobowych, że IOD jest podmiotem zależnym od administratora przetwarzającego dane osobowe? Otóż jest to naruszenie obowiązków administratora (art. 38 ust. 6 RODO), więc podlega karze do 100 tys. zł.
Jakie formalności
Zakładając, że udałoby się w jednostce publicznej znaleźć pracownika, który mógłby być niezależnym IOD – jak powinno odbyć się to pod kątem formalnym? Doktor Marlena Sakowska-Baryła tłumaczy, że najwygodniej należałoby to uczynić, zmieniając po prostu warunki pracy za porozumieniem stron. Najlepiej aneksować umowę i doprecyzować zadania pracownicze.
Warto przypomnieć, że wciąż trwają prace nad projektem rozporządzenia Rady Ministrów w sprawie wynagradzania pracowników samorządowych, które zostało przygotowane przez Ministerstwo Rodziny, Pracy i Polityki Społecznej. Rozporządzenie ma uzupełnić katalog stanowisk o IOD – o wprowadzenie takiej zmiany występował od dawna generalny inspektor ochrony danych osobowych (GIODO).
Obowiązek uszyty na outsourcing
Jak uważa mec. Piotr Grzelczak, w większych urzędach powinno powołać się pracownika wykonującego wyłącznie obowiązki IOD – bo w praktyce będzie on miał pełne ręce roboty. Co jednak np. z małymi bibliotekami? Eksperci są zgodni: nie będzie ich stać na powołanie człowieka na osobną funkcję IOD. Najlepszym wyjściem byłoby zatem skorzystanie z usług outsourcingu.
– To rozwiązanie względnie tanie. Odejmuje obowiązek zatrudnienia osoby tylko na stanowisko IOD, a i daje pewność, że nadzór nad przetwarzaniem danych osobowych będzie prowadził profesjonalista. Oczywiście o ile podmioty wyspecjalizowane nie będą na siebie przyjmowały obowiązków od zbyt wielu firm i urzędów, bo wówczas ich kontrola byłaby w praktyce iluzoryczna – mówi dr Sakowska-Baryła.
Pozostaje także jeszcze jedno wyjście – skorzystanie z usług IOD w ramach centrum usług wspólnych w gminie.
Odpowiedzialność IOD
Za niewłaściwe zabezpieczenie oraz wyciek danych osobowych odpowiadają administrator i podmiot przetwarzający dane. Należy jednak zaznaczyć, że sam IOD nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań (art. 38 ust. 3 RODO).
IOD będący pracownikiem jednostki czy urzędu wciąż może jednak podlegać zwykłej odpowiedzialności pracowniczej, np. gdy naruszy przepisy prawa karnego, prawa pracy (kradzież, mobbing, molestowanie czy inne ciężkie naruszenie obowiązków pracowniczych). Jeżeli zaś chodzi o odpowiedzialność materialną, to zgodnie z art. 119 kodeksu pracy odszkodowanie za spowodowaną przez pracownika szkodę nie może przekroczyć trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody.
– Bardziej dotkliwa dla nierzetelnego IOD byłaby odpowiedzialność z tytułu umowy cywilnoprawnej. Z tego względu osoby na stanowisku IOD zatrudnione na taką umowę powinny pomyśleć o zapewnieniu sobie odpowiedniego ubezpieczenia OC. Zwłaszcza jeżeli w umowie nie dopilnowano ograniczenia odpowiedzialności materialnej – mówi dr Marlena Sakowska-Baryła.
Odpowiedzialność podmiotów świadczących usługi IOD w ramach outsourcingu wynika z treści umowy. Doktor Paweł Litwiński wymienia, że może być np. nieograniczona, ograniczona do konkretnej kwoty lub ograniczona do winy umyślnej. ⒸⓅ
Dyscyplina finansów publicznych
Czy zapłacenie przez gminę (jednostkę gminną) kary za naruszenie przepisów RODO mogłoby być potraktowane, jako naruszenie dyscypliny finansów publicznych? Czy może za to odpowiedzieć np. wójt lub kierownik jednostki – zwłaszcza w sytuacji, gdy taki administrator danych wyznaczy na funkcje IOD osobę kompletnie niemającą do tego kwalifikacji? Odpowiedź na te pytania nie jest oczywista. Zdaniem ekspertów to mało prawdopodobne, ale też nie można tego wykluczyć.
– Trudno byłoby uznać dopuszczenie do nałożenia kary administracyjnej z powodu braku wdrożenia odpowiednich zabezpieczeń (a dokładniej niepowołanie odpowiedniego IOD) za naruszenie dyscypliny finansów publicznych. Przepisy dotyczące naruszenia dyscypliny finansów publicznych mają na celu ochronę nieco innych wartości – uważa mec. Piotr Grzelczak.
Podobnego zdania jest radca Marcin Nagórek. Zaznacza, że gdyby jednak dopuścić taką ewentualność, to ocenić, czy doszło do naruszenia dyscypliny, musiałaby regionalna komisja orzekająca działająca przy regionalnej izbie obrachunkowej.