- Sposób wyboru inspektora i wypełniania przez niego zadań podlega kontroli UODO - mówi Piotr Drobek, radca w Urzędzie Ochrony Danych Osobowych
Niedawno opisaliśmy w DGP niepokojące sygnały o inspektorach ochrony danych (IOD), którzy obsługują nawet kilkaset podmiotów, a także o urzędach, które wybierają inspektorów, kierując się wyłącznie najniższą ceną i płacą im po 150 zł miesięcznie. UODO dostrzega te problemy?
Tak, przy czym cieszę się, że od razu definiujemy dwie grupy problemów. Jedne dotyczą tego, jak inspektorzy pełnią swą funkcję, drugie zaś tego, czy mają odpowiednie kwalifikacje. Nie chciałbym, żeby ci „problematyczni” inspektorzy przesłaniali nam obraz całej rzeszy ekspertów rzetelnie wykonujących swe obowiązki. Rzeczywiście jednak, pewne problemy występują na rynku i UODO je monitoruje. Nie pojawiły się one zresztą wraz z RODO, ale występowały też wcześniej, za czasów administratorów bezpieczeństwa informacji. Choć nie było obowiązku ich powoływania, niektórzy robili to, ale w sposób czysto formalny, wybierając osoby, które nie gwarantowały właściwego wsparcia przy ochronie danych.
Dzisiaj problem jest o tyle większy, że administracja publiczna jest zobowiązana do wyznaczenia IOD, a niestety nierzadko wybiera go wyłącznie na podstawie najniższej ceny.
I to jest sposób niewłaściwy, który bez wątpienia narusza art. 37 RODO, czyli przepis nakazujący kierować się przy wyborze kwalifikacjami zawodowymi i umiejętnościami wypełniania zadań IOD. Oczywiście cena może być kryterium, ale po spełnieniu tych dwóch wspomnianych podstawowych warunków. I tu dochodzimy do tego, na co UODO od dłuższego czasu zwraca uwagę, czyli do roli podmiotów prowadzących. Administratorami danych są często szkoły, które mogą nie poradzić sobie z wyborem IOD. Dlatego UODO kieruje komunikat do wójtów czy burmistrzów – wesprzyjcie w tym podległe sobie jednostki.
Bywa i tak, że gmina organizuje jeden przetarg, w którym wybiera jednego IOD dla podległych sobie jednostek. Pojawia się pytanie – ile podmiotów może obsłużyć jeden inspektor?
To pytanie, na które nie ma jednej, dobrej odpowiedzi. Zanim jednak do tego dojdę, muszę zaznaczyć, że formalnie nie jest możliwe, by to burmistrz czy wójt wyznaczył IOD dla wszystkich podległych mu jednostek. Każda z nich jest bowiem oddzielnym administratorem i każda musi to zrobić oddzielnie.
Co zaś do liczby administratorów, których może obsłużyć jeden IOD – zależeć ona będzie od wielu czynników. Choćby od tego, czy jest to jedna osoba, czy też stoi za nią zespół ekspertów. Przede wszystkim jednak od tego, jakie zadania ma taki IOD. W praktyce – może okazać się, że jeden IOD bez wsparcia zespołu to za mało, by obsłużyć jeden tylko podmiot, np. duży szpital.
Gdzieś jednak istnieje chyba granica, po przekroczeniu której wiadomo, że inspektor nie jest w stanie rzetelnie wykonywać swych obowiązków? W naszym tekście podaliśmy przykład osoby, która została wyznaczona jako IOD przez ok. 300 administratorów.
Jeszcze za czasów GIODO mówiliśmy, że ponad 100 obsługiwanych podmiotów to bez wątpienia za dużo. Powtórzę – nie chciałbym formułować abstrakcyjnych granic, bo one zawsze powinny być wyznaczane dla konkretnej sytuacji. Przed wyznaczeniem IOD administrator powinien sobie odpowiedzieć na pytania: na ile dana osoba będzie w stanie funkcjonować w jego jednostce, na ile będzie dostępna, czy będzie z nią szybki kontakt, z jaką częstotliwością będzie musiała fizycznie bywać w określonym miejscu.
A jak często powinien się pojawiać inspektor na miejscu? Raz na miesiąc wystarczy?
To może być za mało. Przy czym znów – będzie to zależało od konkretnych potrzeb. Inaczej to będzie wyglądało we wspomnianym przeze mnie dużym szpitalu, gdzie pewnie IOD powinien być przez cały czas dyspozycyjny, a inaczej u małego przedsiębiorcy, gdzie realnych problemów jest dużo mniej, a więc kontakt z IOD może być dużo rzadszy. Decyzję musi podjąć administrator, gdyż to on przede wszystkim powinien znać swe potrzeby. I to on, w ostateczności, ponosi odpowiedzialność za to, jak chroni dane, a więc również i za to, czy wyznaczył właściwą osobą na IOD.
Czy UODO może uznać, że IOD nie ma właściwych kwalifikacji lub umiejętności? To pytanie przede wszystkim o to, czy jest to również sprawdzane, jeśli nie odrębnie, to przy okazji przeprowadzanej już kontroli?
Oczywiście. Sposób wyboru IOD i wypełniania przez niego zadań jest regulowany w RODO, a więc również podlega kontroli UODO. Co więcej, jeśli kontrola wykaże nieprawidłowości w tym zakresie, to może to być samodzielną podstawą do nałożenia kar finansowych. Znów jednak muszę podkreślić, że kary te grożą administratorowi, a nie IOD, bo to na administratorze ciąży obowiązek prawidłowego wyboru i nadzoru.
W wywiadzie opublikowanym przez DGP Jarosław Feliński, prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych, przekonywał, że powinniśmy zmierzać w stronę uregulowania zawodu IOD.
W tej chwili nie jest to możliwe. Ustawodawca europejski, uchwalając RODO, nie przyznał funkcji IOD statusu zawodu regulowanego i na poziomie krajowym nie można tego zmieniać. Mówiąc wprost – taka próba regulacji byłaby niezgodna z przepisami unijnymi. Dlatego też należy się oprzeć na mechanizmach rynkowych, które powinny doprowadzić do tego, że osoby niewłaściwie wykonujące swe zadania po prostu nie znajdą na tym rynku pracy.
A czy można w jakiś sposób wesprzeć administratorów w wyborze osób kompetentnych?
RODO nie przewiduje urzędowego potwierdzania kwalifikacji, to zaś oznacza, że na poziomie krajowym również nie możemy wprowadzać takich mechanizmów. Widać to dobrze na często przywoływanym przykładzie Słowacji. Owszem, przed RODO wymagano w tym kraju zdania egzaminu państwowego, żeby móc wykonywać funkcję IOD. Tyle że model ten przestał obowiązywać 25 maja 2018 r., gdy zaczęło być stosowane RODO. Od tego momentu nie można wymagać urzędowego potwierdzania kwalifikacji przez IOD. Osobiście zresztą uważam, że system państwowych egzaminów jest złudny i nie gwarantuje, że osoby, które zdadzą takie egzaminy, będą w przyszłości rzetelnie wykonywać swe obowiązki.
W niektórych państwach wydaje się natomiast certyfikaty potwierdzające kwalifikacje.
Tak, ale jest to całkowicie dobrowolne. Nie można uzależniać prawa do wykonywania funkcji IOD od posiadania jakiegokolwiek certyfikatu. Dobrowolne systemy certyfikacji rzeczywiście funkcjonują jednak w niektórych krajach. We Francji i w Hiszpanii organy ochrony danych wprowadziły systemy certyfikacji IOD. Zarówno jeden, jak i drugi organ wyraźnie wskazują, że od uzyskania certyfikatów nie jest uzależnione prawo do bycia IOD. Takie certyfikaty mogą być natomiast pewną wskazówką przy wyborze konkretnego inspektora.
Byłby pan za tym, żeby takie certyfikaty wprowadzić też w Polsce?
Osobiście postawiłbym na samodoskonalenie inspektorów i uważam, że jest to największe zadanie, jakie stoi w tej chwili przed organizacjami, które ich zrzeszają. Budowanie standardów czy nawet narzucanie pewnych wymogów swoim członkom, w tym również w zakresie uzupełniania swej wiedzy. UODO stara się w tym pomagać. Po to uruchomiliśmy infolinię skierowaną wyłącznie do IOD, po to prowadzimy na stronie internetowej specjalną sekcję, na której odpowiadamy na najczęściej zadawane przez inspektorów pytania, po to też rozsyłamy do nich specjalnie tworzony newsletter czy współpracujemy z uczelniami wyższymi w ramach studiów podyplomowych. Bliższej współpracy z IOD ma też służyć zmiana struktury UODO i wyodrębnienie osobnego wydziału, który będzie się tylko tym zajmował.©℗