Wczoraj w DGP opisaliśmy pewną fikcję związaną z wyznaczaniem inspektorów ochrony danych. Takim inspektorem może być każdy, o wyborze często decyduje najniższa cena i potem mamy osoby, które obsługują naraz nawet kilkuset administratorów w rzeczywistości niewiele robiąc. Jaka jest skala tego problemu?

Nikt nie jest w stanie tego określić, ale moje obserwacje, a także sygnały od członków stowarzyszenia, wskazują, że może być ona duża, a nawet bardzo duża. Jak podawał jeszcze przed uchwaleniem przepisów wprowadzających RODO dr Maciej Kawecki w 2017 roku, samych administratorów publicznych mamy ok. 68 tys., a każdy z nich musi przecież ustanowić IOD.

Niestety obawiam się, że osób rzeczywiście przygotowanych do pełnienia tej funkcji jest kilkakrotnie mniej. Tym bardziej, że ci prawdziwie kompetentni kierują się etyką, kulturą ochrony danych osobowych, która nie pozwala na to, by łapać wszystkie zlecenia jak leci. W efekcie IOD zostają osoby niekoniecznie posiadające wystarczające kwalifikacje, co jeszcze bardziej potęguje wybór w oparciu o najniższą cenę. Z przykrością muszę stwierdzić, że dziś IOD może zostać każdy, choć nie każdy być powinien.

I o jest chyba sedno problemu. W zasadzie każdy może być IOD, bo nikt nie bada kwalifikacji ani doświadczenia. Powinno to podlegać jakiejś weryfikacji?

Systematycznie to akcentuję na konferencjach SIODO i nie mam co do tego żadnych wątpliwości. Polska ustawa o ochronie danych osobowych nie określa w żadnym zakresie kwalifikacji inspektora i pozostawia decyzji, w gestii administratora danych. Problem w tym, że kierownik jednostki zwyczajnie nie wie, jakimi kryteriami kierować się przy wyborze. Często jedynym jest wspomniana już cena, w efekcie czego inspektorem zostaje przypadkowa osoba, która nie ma żadnego przygotowania, o doświadczeniu nie wspominając.
Mamy całkowicie wolny rynek przygotowania i doskonalenia osób, które zostają inspektorami. I to, samo w sobie nie jest złe. Gorzej, że nikt tego kształcenia nie weryfikuje.

Wyznaczenie IOD jest zgłaszane prezesowi UODO. Dobrze rozumiem, że tak naprawdę niczemu to jednak nie służy?

Jeśli czemukolwiek, to jedynie statystyce i wypełnieniu ustawowej konieczności przez administratora. Z tego co wiem, to prezes UODO w żaden sposób nie weryfikuje tych zgłoszeń pod kątem realności wykonania zadań przez zaewidencjonowanych inspektorów singli, działających na terenie całego kraju dla licznych podmiotów.

A powinien?

Nie wiem czy akurat prezes UODO, ale ktoś bez wątpienia tak, może resort szkolnictwa wyższego, spraw wewnętrznych, a w ostateczności ustawodawca powinien dokonać nowelizacji przepisów i wydać odpowiednie przepisy wykonawcze. Są różne możliwości, ale nie można unikać dyskusji o tym problemie.

Przykładowo we Francji, aby zostać IOD, trzeba przejść trzydziestopięciogodzinne szkolenie zakończone egzaminem, które uprawnia do tego, by zostać inspektorem podstawowego szczebla na trzy lata. Jeśli chcesz być inspektorem o szczebel wyżej, to musisz przejść kurs państwowy, który trwa już 90 godzin. Przy czym we Francji, tak jak u nas, inspektorem może być człowiek z ulicy. Tyle że administrator we Francji ma wiedzę i wskazówkę, że jeśli ktoś przeszedł taki, nazwijmy to, państwowy kurs i uzyskał uprawnienia to ma odpowiednie przygotowanie.

W Polsce musi bazować na intuicji, zaangażowaniu się i własnym przekonaniu. Nawet jeśli IOD przedstawia zaświadczenie o ukończeniu iluś tam kursów, to do końca nie wiadomo, co to były za kursy i czy rzeczywiście coś dały. Oczywiście nie mówię tu o studiach podyplomowych, bo te jak najbardziej potwierdzają przygotowanie. Osób, które je ukończyły jest jednak relatywnie mało. Przykładowo Akademia Górniczo-Hutnicza w Krakowie, na której od 2013 roku kształcę według własnego autorskiego programu kandydatów na IOD, zwracamy uwagę na interdyscyplinarność umiejętności IOD. Wraz z innymi uczelniami, gdzie realizujemy studia promowano dotychczas ok. 800 absolwentów.

Są inne kraje, w których przygotowanie do pełnienia funkcji IOD jest sprawdzane?

Tak, choćby Słowacja. Aby zostać urzędnikiem d/s ochrony danych osobowych w tym kraju trzeba było zdać egzamin państwowy. Oczywiście określano zakres tematyczny, ale podejść do niego można nawet z ulicy. To tylko przykłady, ale pokazują, że problem kwalifikacji inspektorów w innych krajach został dostrzeżony. Dodatkowo testy z kandydatami może prowadzić każdy administrator.

Uważam, że czas najwyższy, by Polska także się nim zajęła. Chciałbym, żebyśmy rozpoczęli nawet niespieszną dyskusję na ten temat i wypracowali jakieś minimalne kryteria weryfikacji osób, które zajmują się ochroną danych. Bo dzisiaj, powtórzę to, każdy może zostać inspektorem, choć nie każdy powinien.

Od tego już tylko krok do stworzenia zamkniętej grupy zawodowej.

Do tego właśnie powinniśmy dążyć. Uważam, że powinna powstać izba IOD na wzór izby lekarskiej czy izby radców prawnych. Izba, która ustaliłaby pewne minimalne standardy wykonywania zawodu inspektora, która zainaugurowałaby dyskusję o kulturze ochrony danych osobowych i która pilnowałaby przestrzegania pewnych ustalonych zasad etycznych.

Przywołana publiczna dyskusja nie jest w kontrze do obecnych wykonawców funkcji lecz działaniem zmierzającym do podniesienia rangi IOD w oczach administratorów i wyraźnym wzmocnieniem statusu inspektorów.

Na razie jest jak jest i administratorzy sami muszą sobie radzić. Czym powinni kierować się przy wyborze IOD?

Na pewno jednym z pierwszych pytań, które sam bym zadał, byłoby pytanie o to dla ilu i jakich podmiotów już pracuje taki inspektor, jak zróżnicowane są to organizacje. Bo jeśli dla wielu, to zdecydowanie odradzałbym jego zatrudnienie lub zlecenie usługi. Miesiąc ma określoną liczbę godzin roboczych, a pracy w np. 60 podmiotach na terenie kraju bez bezpośredniego kontaktu z personelem nie można uznać za odpowiedzialny wybór i poważne działanie.

Wybierając inspektora przede wszystkim miałbym na uwadze, że musi on dawać gwarancje bezpieczeństwa opartego na wiedzy. W tym mieszczą się kompetencje, doświadczenie, ale też pewne predyspozycje osobiste. A także odpowiedzialność podejmowanych wyzwań. Wcale nierzadkim zjawiskiem jest bowiem dezercja IOD. Gdy tylko pojawią się pierwsze problemy i trzeba zaoferować coś więcej niż wzorcowe dokumenty, taki inspektor pod byle pozorem rozwiązuje umowę.

A na czym tak naprawdę polega praca IOD? Bo najczęściej mówi się chyba o przygotowaniu dokumentów, które regulują przetwarzanie danych.

To jest coś, co na własny użytek nieładnie nazywam dokumentozą, „klauzulozą” i „zgodozą”. Brak umiejętności określenia odpowiedniej podstawy prawnej skutkuję zgodami pozyskiwanymi na „wszelki wypadek”, to oczywisty brak kompetencji, zaś sztuką jest wskazać podstawę prawną, a gdy jej nie określimy posiłkujmy się zgodą. Przecież lekarz chirurg nie wycina lub nie wszywa czegokolwiek na „wszelki wypadek”. Dokumenty są oczywiście niezbędne jako wskazówki dla pracowników, np. w jakich sytuacjach należy osobę poinformować o jej prawach lub odstąpić od tej czynności zgodnie z RODO, a to jedynie początek procesu ochrony danych osobowych.

Tymczasem dla wielu fasadowych inspektorów „klauzulowanie” to w zasadzie koniec pracy, często zawierającej zresztą poważne błędy merytoryczne. Łatwo jest dokonać takiej diagnozy po przejrzeniu kilku stron www lub BIP administratorów i ocena pracy inspektora jest wystarczająco czytelna.

Jednym z najważniejszych zadań IOD jest dla mnie edukacja. Edukacja szeroko rozumiana, bo chodzi o to, by każdy pracownik w danej organizacji wiedział jakie dane wolno przetwarzać, jak z nimi postępować, jak je zabezpieczać. Podkreślić należy, iż dane chronią ludzie nie instrukcje.

To zaś oznacza konieczność rozmów z kierownikami wszystkich komórek, identyfikowanie problemów i umiejętność ich rozwiązywania. Jednym słowem wysiłek i staranna praca.