W obecnych przepisach nie ma takiego wymogu. Tak samo jak nie ma zakazu zatrudniania IOD z wyrokiem. Polski ustawodawca nie mógł iść dalej niż RODO.
/>
Inspektor ochrony danych (IOD), jak wynika z RODO (czyli rozporządzenia parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE L 119 s. 1), pełni wyjątkowo ważną rolę w systemie ochrony danych osobowych. Uczestniczy on praktycznie we wszystkich działaniach administratora danych w obszarze ochrony danych i w tym zakresie podlega jedynie jego kierownictwu, a także pełni rolę punktu kontaktowego dla organu nadzorczego i podmiotów danych, czyli osób, których dane dotyczą. Pamiętajmy także, że przy okazji wykonywania swoich zadań IOD uzyskuje dostęp do ogromnej ilości informacji, często poufnych i wrażliwych – i to zarówno z punktu widzenia administratora danych, jak i osób, których dane są przetwarzane. Wydawałoby się, że przy takim zakresie zadań i odpowiedzialności ustawodawca od takiej osoby będzie wymagać nie tylko wiedzy, ale przede wszystkim gwarancji uczciwości, bowiem IOD ma nie tylko zapewnić spokojny sen administratora danych, ale przede wszystkim zagwarantować uczciwe, bezpieczne i zgodne z prawem przetwarzanie danych osobowych i realizację praw osób, których dane te dotyczą.
Okazuje się jednak, że zarówno prawodawca unijny, jak i nasz ustawodawca nie zatroszczyli się szczególnie o aspekt uczciwości IOD, dopuszczając do pełnienia tej funkcji osoby karalne.
Wymogi wobec IOD inne niż wobec ABI
Pozycja i zadania inspektora ochrony danych osobowych zostały szczegółowo uregulowane w przepisach RODO. Jednakże wymogi, jakie powinna spełniać osoba pełniącą tę funkcję, zostały nakreślone bardzo ogólnie.
I tak zgodnie z ust. 5 artykułu 37 „IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 […]”. Także ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) nie ustanawia żadnych nowych wymogów, a w kwestii wyznaczania IOD odsyła do rozporządzenia. Przy czym warto zaznaczyć, że nowe przepisy znacznie się różnią od postanowień poprzedniej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) – bowiem zgodnie z jej art. 36a ust. 5 pkt 3 administratorem bezpieczeństwa informacji mogła być osoba, która „nie była karana za umyślne przestępstwo”. Co ciekawe, obecne brzmienie przepisów nie mówi o „doświadczeniu”, a stawia warunek „posiadania wiedzy fachowej”. To w mojej opinii może oznaczać, iż starano się podkreślić, że osoba taka powinna wykazać się doświadczeniem jeszcze większym niż to, którego wymagano od ABI. Posiadanie wiedzy fachowej „na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań” to wymaganie duże większe niż warunek wykazania po prostu jakiegoś doświadczenia. Innymi słowy: prawodawca wyraźnie postawił tu wyższe wymagania wobec IOD, a więc poprzez taki pryzmat powinniśmy patrzeć na całą instytucję IOD.
WAŻNE Jeśli IOD został przyłapany na naruszeniu prawa, a następnie skazany za to, to taka osoba i tak może stać się inspektorem u innego administratora danych.
Podobną zmianę przeszły przepisy dotyczące uprawnień organu nadzorczego wobec IOD i ABI. Zgodnie z ustawą z 1997 r. generalny inspektor ochrony danych osobowych prowadził rejestr administratorów bezpieczeństwa informacji. Aby osoba mogła być zarejestrowana jako ABI, administrator musiał oświadczyć, że spełnia ona wymogi określone m.in. w art. 36a ust. 5, a więc że nie była karana za przestępstwa umyślne. Ponadto gdy ABI nie spełniał wymogu niekaralności, GIODO z urzędu wykreślał taką osobę z rejestru. Tymczasem teraz zgodnie z art. 10 ust. 1 obecnie obowiązującej ustawy „podmiot, który wyznaczył inspektora, zawiadamia prezesa urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora”. Wynika z tego, że prezes Urzędu Ochrony Danych Osobowych nie bada już w żaden sposób tego, czy osoba pełniąca funkcję IOD spełnia wymogi określone w RODO czy nie.
Pracodawca nie zweryfikuje
W starym stanie prawnym przepis odnoszący się do niekaralności nie był ograniczony jedynie do przestępstw z zakresu ochrony danych osobowych. Administrator bezpieczeństwa informacji mógł być poproszony o przedstawienie oświadczenia o spełnieniu powyższych wymogów, dopuszczalne było również sprawdzenie kandydata na ABI w Krajowym Rejestrze Karnym1, w którym m.in. znajdują się informacje o osobach prawomocnie skazanych (takie uprawnienie przysługuje pracodawcom – zgodnie z art. 6 ust. 1 lit. 10 ustawy o KRK dostęp do rejestru przysługuje „pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej). A ponieważ, o czym już wspominano, w obecnie obowiązujących przepisach prawnych – zarówno w RODO, jak i nowej ustawie o ochronie danych osobowych – brak jest regulacji dotyczących ograniczeń pełnienia funkcji IOD przez osoby skazane za przestępstwa umyślne, to przedsiębiorca zasadniczo nie ma podstaw do weryfikacji kandydata w KRK.
Czy zatem pomocna przy eliminacji z zawodu tego typu osób może okazać się interpretacja tak ogólnych warunków progowych stawianych wobec IOD na kanwie RODO jak: „kwalifikacje zawodowe”, „wiedza fachowa” czy „umiejętność wypełnienia zadań”? I tu z wyjaśnieniem przychodzi nam Grupa Robocza Art. 29 ds. Ochrony Danych2, która wyraźnie stwierdza, że „zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika czy zleceniobiorcy, IOD może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków IOD (np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkie naruszenie obowiązków)”.
Powyższe wytyczne wprost wskazują, że IOD, niezależnie od formy zatrudnienia, może zostać zwolniony lub może mu zostać wypowiedziana umowa w przypadku ciężkich naruszeń. Jednym z takich naruszeń niewątpliwie jest kradzież, zarówno mienia administratora (jego własności intelektualnej, sprzętu, informacji), jak i danych osobowych jego pracowników i klientów. Oczywiście kradzież, jak i każde inne przestępstwo, musi zostać udowodniona, a wina przypisana inspektorowi ochrony danych jako sprawcy. Obowiązuje bowiem żelazna zasada prawa karnego, tj. domniemanie niewinności, a bez winy nie ma kary (łac. nulla poena sine culpa).
Nie ma jednak podstaw prawnych, aby konsekwencje popełnienia czynu zabronionego popełnione przez IOD w jednym miejscu pracy były przenoszone na kolejne. Innymi słowy: jeśli IDO został zgodnie z prawem skazany i zwolniony z pełnienia swojej funkcji, może bez przeszkód pozostać lub stać się inspektorem u innego administratora danych, bowiem ten nie może wymagać od niego zaświadczenia o karalności, a więc nie może posiadać wiedzy o jego karalności. Jeśliby jednak taką wiedzę posiadł, to może wówczas próbować oprzeć decyzję o zakończeniu współpracy z uwagi na to, że osoba taka nie spełniła wymogu określonego w przepisach jako „umiejętność wypełniania zadań”; jednak trzeba dodać, że jest to ułomna podstawa.
UODO pozbawiony narzędzi prawnych
A czy UODO może wykreślić IOD na podstawie informacji, jakie uzyskał od innego uczestnika rynku (np. ADO będącego byłym pracodawcą czy podmiotu danych)? Niestety nie, bowiem nie ma takich narzędzi prawnych. Oczywiście administrator danych może po prostu zrezygnować z usług IOD, który jest karany, może rozwiązać z nim kontrakt – jak każdy inny – na zasadach określonych w umowie lub odwołać pracownika z tej funkcji, czyni to jednak w oparciu o możliwość zakończenia kontraktu jako takiego, a nie w oparciu o brak spełniania warunków, jakie musi wypełniać IOD. Wśród wspomnianych wyżej kryteriów nie ma żadnego, którego odnosiłoby się – nawet pośrednio – do kwestii karalności (np. wymogu posiadania nieskazitelnej opinii).
Podsumowanie
Obecny brak przepisów w zakresie możliwości weryfikacji przeszłości IOD – czy był on karany za przestępstwo umyślne – powoduje, że taka osoba nawet po prawomocnym skazaniu za przestępstwo przeciwko ochronie danych osobowych, teoretycznie może ubiegać się o pełnienie funkcji IOD. Rozwiązaniem tego problemu byłby powrót do wymogu braku karalności IOD, jednak ze względu na brak takiego w RODO, nasz ustawodawca nie zdecydował się wprowadzić go do ustawy. Prezes UODO, nawet posiadając wiedzę o niespełnianiu przez IOD kryteriów narzuconych przez prawo, jest poniekąd bezradny, nie może bowiem wykreślić IOD z rejestru. Ma co najwyżej możliwości, by w pośredni sposób spowodować, że IOD będą osobami spełniającymi wszelkie kryteria, np. może odmówić certyfikacji (lub cofnąć już przyznaną), wpłynąć na treść kodeksów postępowań. Twardych narzędzi jednak nie posiada.
Ale poza twardymi narzędziami pozostaje sfera pewnych zasad – etyki. Każdy z administratorów, jak i inspektorów powinien mieć je na uwadze, bowiem prawo nie zawsze nadąża za zmianami lub ma po prostu luki, które powinny być uzupełniane przez etykę. Taka jest jej rola, a w tak delikatnej sferze jako ochrona danych (prywatności) tym bardziej jest ważna.
Pozostaje nam zatem mieć nadzieję, że IOD będą z założenia osoby poza wszelkimi podejrzeniami o nieuczciwość, ale życie już mi pokazało, że tak nie jest. ©℗
opinia eksperta
Na etapie prac nad RODO długo zastanawiano się, jakie wymagania trzeba postawić inspektorowi ochrony danych co do jego wykształcenia, kompetencji, nieskazitelności, umiejętności i innych cech. W końcu zdecydowano się przyjąć koncepcję, że powinna być to kwestia pozostawiona do decyzji administratora. Uznano, że to on powinien zdecydować: komu zaufa, kogo u siebie będzie zatrudniał. Zrezygnowano tym samym z określania w rozporządzeniu wszelkich wymogów typu: wykształcenie wyższe, wykształcenie kierunkowe czy niekaralność, bardziej koncentrując się na tym, by taka osoba wykazała się umiejętnościami i wiedzą (ale jednocześnie i ten ogólnie określony wymóg nie został bliżej zdefiniowany). W efekcie taki kształt przepisów RODO z jednej strony stawia administratora w sytuacji, w której może on zatrudnić na to stanowisko każdą osobę, jeśli jego zdaniem spełnia jego wymagania. Ale z drugiej strony – zgodnie z rozporządzeniem – to na przedsiębiorcy spoczywa odpowiedzialność za to, kogo w tej roli zatrudni i komu zaufa. Wydaje się, że nawet prezes UODO nie będzie miał podstawy, by skontrolować, czy taka osoba może pełnić rolę inspektora na podstawie informacji, czy była w przeszłości karana czy nie.
Czy tak powinno być? Nie sposób tego jednoznacznie ocenić. Niekoniecznie bowiem niekaralność jest elementem, który ma decydujący wpływ na zaufanie przedsiębiorcy. Oceniając taki kształt przepisów, trzeba m.in. spojrzeć na rolę inspektora. Można tę rolę w uproszczeniu określić jako „wskazującego palcem”. Ma to być osoba informująca administratora o brakach oraz podpowiadająca mu, co powinien zmienić (poprawić). Natomiast nie jest to osoba, która w danej firmie ponosi odpowiedzialność za wdrożenie przepisów RODO. To na administratorze spoczywa odpowiedzialność za wypełnienie obowiązków wynikających z RODO. Inaczej mówiąc: inspektor ochrony danych ma wyłapać problemy, które powstają, a ktoś inny musi te problemy rozwiązać. Patrząc od tej strony, bardziej wartościowe byłoby, aby osoby, które zajmują się wdrożeniem RODO i działalnością operacyjną oraz pracujące przy przetwarzaniu danych osobowych, były sprawdzane pod kątem wiarygodności, w tym być może także niekaralności.
Przypisy
1 Barta, Janusz, Fajgielski, Paweł i Markiewicz, Ryszard. „Ochrona danych osobowych. Komentarz”, art. 36 (a), wyd. VI. LEX, 2015.
2 Grupa Robocza Art. 29 ds. Ochrony Danych, „Wytyczne dotyczące inspektorów ochrony danych z 13 grudnia 2016 r.” (zmiana 5 kwietnia 2017 r.).