Powołanie IDO nie rozwiąże wszystkich problemów dotyczących ochrony danych osobowych. Konieczne jest też opracowanie regulaminu określającego zarówno relacje inspektora z innymi osobami w urzędzie, jak i formę ich współuczestnictwa w wykonywaniu zadań.
Dziennik Gazeta Prawna
Od 25 maja podmioty publiczne muszą stosować rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (Dz.Urz. UE z 2016 r. L 119, s. 1, dalej: RODO) oraz polską ustawę o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000). Niestety wśród wielu kierowników urzędów panuje przeświadczenie, że świeżo powołani inspektorzy ochrony danych osobowych sami sobie poradzą z zadaniami, jakie nakładają na jednostki nowe przepisy.
Koniec z fakultatywnym ABI
Inspektor zastąpił administratora bezpieczeństwa informacji (ABI). Nie chodzi przy tym jedynie o zmianę nazwy stanowiska.
– W sektorze publicznym przede wszystkim przeszliśmy od systemu, w którym wyznaczenie ABI było fakultatywne, do systemu, w którym powołanie IOD jest obligatoryjne [PATRZ: RAMKA] – wyjaśnia Monika Młotkiewicz, zastępca dyrektora departamentu rejestracji administratorów bezpieczeństwa informacji i zbiorów danych osobowych w Urzędzie Ochrony Danych Osobowych (dawniej Biuro GIODO). – RODO istotnie wzmacnia pozycję IOD, dając mu wiele ważnych gwarancji niezależności. Ponadto przewiduje konkretne formy wsparcia inspektora w wykonywaniu przez niego zadań – dodaje Młotkiewicz.
Z doskoku
Niestety praktyka pokazuje, że niektóre jednostki zadania IDO powierzyły informatykom pracującym w urzędzie bądź szkole. Tymczasem są to osoby, które najczęściej nie są ekspertami w dziedzinie ochrony danych osobowych. – Tymczasem warunkiem tego, by IOD właściwie wykonywał swoje obowiązki, jest jego wiedza. Nie tylko na temat przepisów o ochronie danych osobowych, ale także sektorowych. Musi też znać szczegóły funkcjonowania systemów wykorzystywanych przez administratora, procedury administracyjne, a także regulacje wewnętrzne – tłumaczy Monika Młotkiewicz.
I dodaje, że inspektor ma pełnić rolę audytorską wobec działań i decyzji podejmowanych przez administratorów danych osobowych. Ma im doradzać, a także oceniać skutki wprowadzenia planowanych rozwiązań dla ochrony danych osobowych. Jego zadaniem jest również pośredniczenie pomiędzy administratorem a krajowym organem ochrony danych osobowych oraz osobami fizycznymi, o których informacje są przetwarzane w urzędzie. Szeroka paleta obowiązków pokazuje, że z odpowiednim ich wypełnianiem nie poradzi sobie osoba nieprzygotowana merytorycznie.
Potrzebna pomoc
Zdaniem ekspertów duża liczba zadań nałożonych na IOD, zarówno w wewnętrznej, jak i zewnętrznej sferze funkcjonowania urzędu, oznacza konieczność stworzenia wokół IOD zespołu wsparcia. – Kierownictwo wielu podmiotów publicznych błędnie pojmuje istotę funkcji IOD. Tymczasem nie jest to osoba, która w pojedynkę zajmie się całą problematyką ochrony danych osobowych w urzędzie. Pracodawcy często wysyłają na szkolenia bądź specjalistyczne studia podyplomowe jednego człowieka z jednostki, gdyż mają nadzieję, że inspektor przejmie wszystkie zadania i obowiązki, które przepisy prawa faktycznie adresują do całej organizacji, w tym zwłaszcza do jej kierownictwa – wyjaśnia Młotkiewicz. Prawda jest natomiast taka, że IOD nie zajmie się każdym obowiązkiem wynikającym z RODO. – Im wcześniej sobie to uświadomimy, tym lepiej – radzi Młotkiewicz.
Takiemu stanowisku w sukurs idą przepisy. Zgodnie bowiem z art. 38 ust. 2 RODO administrator danych wspiera IOD w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby. Przez to ostatnie pojęcie należy rozumieć również zasoby ludzkie. Dlatego też eksperci radzą przydzielenie IOD pracowników do pomocy w realizowaniu zadań. Takie rozwiązanie jest pożądane szczególnie w średnich i dużych urzędach. – Potrzebna jest świadomość kadry kierowniczej, że z punktu widzenia zadań, które nałożono na IOD, niezbędne jest przyznanie mu wsparcia wewnętrznej jednostki organizacyjnej. Standardem powinno być wypracowanie w instytucjach publicznych dokumentu – regulaminu IOD – określającego zarówno relacje inspektora z innymi osobami w urzędzie, jak i formę ich współuczestnictwa w wykonywaniu zadań IOD, w tym w sytuacjach kryzysowych – podpowiada dr Grzegorz Sibiga z Polskiej Akademii Nauk.
Człowiek ds. kluczowych, nie drobnostek
Chodzi o to, by IOD miał czas skupić się na kluczowych zadaniach, a nie drobnych sprawach, które może wykonać inna odpowiednio przeszkolona osoba. – To, że IOD będzie pełnił funkcję punktu kontaktowego dla osób, których dane dotyczą, nie znaczy, że osobiście musi przygotowywać dla nich odpowiedź, gdy ci zawnioskują np. o informacje, jakie dane przetwarza urząd. Gdy ktoś prosi o kopię jego danych będących w posiadaniu organu, to może je udostępnić zespół wsparcia IOD, a nie bezpośrednio on sam – podaje przykład dr Sibiga. W jego ocenie to właśnie we wspomnianym regulaminie IOD podmiot publiczny powienien określić wewnętrzny tryb postępowania w sprawach, które wpływają do inspektora. – Dobrze by było, aby IOD uczestniczył w procesach w urzędzie związanych z danymi osobowymi, ale niekoniecznie musi on wykonywać wszystkie czynności. Szczególnie jeśli chodzi o standardowe sytuacje – wskazuje dr Sibiga. W wielu urzędach powszechne jest również przekonanie, że wyznaczenie IOD zdejmuje odpowiedzialność z osób pełniących funkcję organów, a co za tym idzie i administratorów danych osobowych. Takie podejście okazuje się błędne [PATRZ: OPINIA EKSPERTA].
Jak audytor
W tym kontekście warto wskazać, że zadania IOD w dużym stopniu mają charakter audytorski. Tymczasem w przepisach poświęconych różnego rodzaju audytowi wewnętrznemu podkreśla się, że audytor nie może wchodzić w rolę podmiotu kierującego jednostką. Przykładowo, zgodnie z par. 23 rozporządzenia ministra finansów z 4 września 2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i wyliczeniach tego audytu (t.j. Dz.U. z 2018 r. poz. 506) audytor wewnętrzny musi powstrzymywać się od wykonywania czynności doradczych, które powadziłyby do przyjęcia przez niego obowiązków, odpowiedzialności lub uprawnień wchodzących w zakres zarządzania jednostką.
IOD ważną osobą
Stanowisko IOD powinno należeć do ważniejszych w podmiocie publicznym. Nie chodzi przy tym tylko o takie formalne umiejscowienie IOD w strukturze organizacyjnej urzędu – aby podlegał on bezpośrednio najwyższemu kierownictwu jednostki, ale i faktyczne zapewnienie inspektorowi udziału w procesach decyzyjnych. – Inspektor musi mieć wgląd w każdą sprawę dotyczącą ochrony danych osobowych już od najwcześniejszego jej etapu. Chodzi więc nie tylko o opiniowanie ostatecznych projektów rozwiązań, ale nawet o gwarancję udziału w spotkaniach kierownictwa, na których wstępnie omawiane są kwestie działań urzędu wiążących się z przetwarzaniem danych – tłumaczy Monika Młotkiewicz. I dodaje: – Inspektor musi mieć możliwość przedstawienia swojego stanowiska w sprawach wszystkich procedur dotyczących operacji na danych osobowych.
Z kolei Magdalena Krystyniecka-Konopczak, pełniąca do 24 maja br. funkcję ABI w Ministerstwie Finansów, przestrzega, że kierownictwo urzędu nie powinno ignorować zdania IOD w sytuacji, gdy jest ono odmienne od założeń decydentów. Wtóruje jej Dorota Skolimowska, dotychczasowa ABI w Acxiom GSC Polska. Jej zdaniem schemat działania w urzędzie powinien wyglądać w ten sposób, że każdy temat dotyczący ochrony danych będzie konsultowany z IOD. Jeżeli administrator nie zechce uwzględnić zaleceń IOD, powinien to uzasadnić. Pożądane jest również, by kierownictwo urzędu zadbało o odpowiednie przedstawienie inspektora pracownikom i petentom urzędu – nie tylko wskazanie go z imienia i nazwiska, ale również przedstawienie jego uprawnień oraz sposobu kontaktowania się z nim.
WAŻNE
Z inspektorem powinien być konsultowany każdy temat dotyczący ochrony danych. Kierownictwo urzędu nie powinno ignorować zdania IOD w sytuacji, gdy jest ono odmienne od założeń decydentów.
WAŻNE
Rola inspektora polega na tym, by koordynować i nadzorować działania w urzędzie, które wiążą się z przetwarzaniem danych osobowych, tak aby pozostać w zgodzie z nowymi przepisami.
OPINIA EKSPERTA
Każdy kij ma dwa końce
Piotr Drobek zastępca dyrektora departamentu edukacji społecznej i współpracy międzynarodowej w UODO (dawniej Biuro GIODO), Katedra Prawa Informatycznego na Wydziale Prawa i Administracji UKSW / Dziennik Gazeta Prawna
Podejście wielu administratorów jest takie, że skoro powołali IOD, to już nie muszą się zajmować tą problematyką. Takie twierdzenie jest błędne. Wyznaczenie osoby wyspecjalizowanej w zagadnieniu ochrony danych nie zdejmuje bowiem z administratorów odpowiedzialności za przetwarzanie danych osobowych. Zadania administratora oraz inspektora są różne i każdy odpowiada za coś innego. IOD ma fachowo doradzać administratorowi od strony prawnej i praktycznej w przypadku pojawienia się wątpliwości związanych z procesami przetwarzania danych osobowych. Opiniuje też projekty rozwiązań, które planuje kierownictwo jednostki, a które wiążą się z wykonywaniem operacji na danych osobowych. Ostateczna decyzja zawsze należy jednak do administratora. To on ma obowiązek zapewnić zgodność działania urzędu z przepisami dotyczącymi ochrony danych, a także wykazać, że przetwarzanie danych odbywa się zgodnie z RODO. Administrator może również sięgać po inne głosy doradcze niż tylko stanowiska powołanego przez siebie IOD.