Każdy może zostać inspektorem ochrony danych. Niestety część z nich nie ma wystarczających kompetencji, a część łapie tylu klientów, że nie ma szans ich rzetelnie obsłużyć.
Kiedy możliwy jest transfer danych poza UE / DGP
Przetarg na inspektora ochrony danych w jednym z gminnych urzędów. Rozpiętość cenowa duża. Są oferty w okolicach płacy minimalnej, wygrywa jednak osoba deklarująca 150 zł za obsługę miesięczną urzędu i 70 zł za obsługę dodatkowych jednostek (np. szkół, bibliotek).
– Nikt mnie nie przekona, że można rzetelnie wykonywać obowiązki IOD za 100–150 zł miesięcznie. Za tę kwotę można co najwyżej przekazać wątpliwej jakości dokumentację ściągniętą najczęściej z internetu, czyli mamy statystykę wykonania RODO i pozorny spokój administratora. Znam zresztą przypadki, gdy nie zadano sobie nawet trudu zmiany miejscowości w takiej dokumentacji i w trzech, stosowanych przez trzy różne urzędy, widniało to samo miasto – ubolewa Jarosław Feliński, prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych.
– W efekcie mamy wielu fasadowych, iluzorycznych czy wirtualnych inspektorów, z którymi administrator ma incydentalny kontakt lub nie ma go wcale, a dystans dzielący miejsca usługi „multiinspektorów” rozpościera się od Bałtyku po Kasprowy Wierch. A gdzie obsługa bieżących zdarzeń, gdzie śledzenie zmian przepisów prawa organizacji, gdzie edukacja pracowników, gdzie współpraca z kierownikami poszczególnych komórek, gdzie czas na audyty? – pyta retorycznie.
Oczywiste jest, że osoby pracujące za tak niskie stawki muszą mieć wiele różnych zleceń, by wyjść na swoje. Wyznaczenie tej samej osoby przez kilkadziesiąt różnych administratorów nie jest niczym niezwykłym. Działają nawet inspektorzy jednocześnie oferujący usługi z zakresu BHP i zabezpieczenia przeciwpożarowego.
– Według mnie takie praktyki to zwyczajne pozoranctwo po obu stronach – uważa Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.

Krótka ławka

Administracja publiczna ma obowiązek wyznaczania inspektorów. W maju 2018 r. ponad 68 tys. publicznych instytucji musiało ich znaleźć w zasadzie z dnia na dzień. Wcześniej tylko ok. 18 tys. podmiotów miało administratorów bezpieczeństwa informacji. Inspektorzy byli również poszukiwani przez przedsiębiorców, przestraszonych widmem surowych kar finansowych. Specjalizująca się w doradztwie personalnym firma Hays zaliczyła IOD do dziesiątki najbardziej poszukiwanych w Polsce zawodów w 2019 r. Na rynku zwyczajnie nie było i wciąż nie ma wystarczającej liczby ekspertów z odpowiednimi kompetencjami.
Rozwiązania są dwa – albo zatrudnia się pracownika, któremu powierza się to zadanie, albo zawiera umowę z zewnętrznym inspektorem. Niestety w obydwu wariantach można się spotkać z patologicznymi wręcz sytuacjami. Jedna z nich to wspomniany wybór na podstawie kryterium najniższej ceny. Druga to dodawanie zadań inspektora ochrony danych pracownikom, którzy już i tak mają wiele pracy. Często pada na informatyków czy kadrowe, bo przecież te osoby mają do czynienia z danymi. Nikt nie weryfikuje, czy mają jakąkolwiek wiedzę o RODO.
– Pamiętam spotkanie w jednym z miast w północno-wschodniej Polsce, które podzieliłem na dwie części. Jedna z nich poświęcona była wyłącznie osobom łączącym funkcję IOD z innym stanowiskiem, a druga pełniącym wyłącznie funkcję IOD. Był to mój pomysł, bo problemy, jakie ma każda z tych grup, są zupełnie inne – mówi Maciej Kawecki, dziekan Wyższej Szkoły Bankowej, który wcześniej przygotowywał projekt ustawy o ochronie danych osobowych.
– Nie przewidziałem, że na sali przeznaczonej dla urzędników pełniących wyłącznie funkcję IOD pozostaną tylko dwie osoby. Pozostałe kilkadziesiąt osób to byli pracownicy łączący tę funkcję z pracą księgowej, specjalisty BHP, informatyka, technika i wielu innych. To był pierwszy moment, gdy pomyślałem sobie, że system idzie w absolutnie złym kierunku – zaznacza.

Bez specjalnych wymagań

Polskie przepisy nie stawiają IOD żadnych wymagań. RODO teoretycznie mówi o kwalifikacjach zawodowych i wiedzy fachowej, ale nie przewiduje żadnych mechanizmów weryfikacji. Inspektorem może zostać nawet wielokrotnie karany przestępca. Administrator ma obowiązek zgłoszenia wyznaczonego IOD prezesowi UODO, ale to czysta formalność, z której nic nie wynika. Rejestr inspektorów nie jest jawny. Nie wiadomo nawet, ilu administratorów zostało w Polsce wyznaczonych. Poprosiliśmy UODO o udostępnienie tej informacji, ale nie otrzymaliśmy odpowiedzi.
Bez publicznie dostępnego rejestru trudno nawet sprawdzić, ile podmiotów obsługuje dany IOD. Wyszukiwanie w internecie potwierdza jednak, że są osoby pełniące tę funkcję dla kilkudziesięciu różnych podmiotów. Co gorsza, rozrzuconych po całej Polsce. Rekordzista, którego znaleźliśmy, obsługuje ponad 300 różnych jednostek. Co prawda w ramach jednej organizacji, ale posiadającej kilkaset jednostek z osobnymi zarządami, z których każda jest osobnym administratorem danych. Mówiąc wprost – nie ma tylu dni pracujących w roku, żeby zdołał każdą z nich choć raz odwiedzić.
– Jest dla mnie oczywiste, że jeden IOD nie może starannie obsłużyć tak wielu podmiotów, szczególnie w pierwszych latach stosowania RODO – przekonuje Maciej Gawroński.
– IOD ma przy tym obowiązek samokształcenia. Przyjmijmy, że kształci się przez 20 godz. miesięcznie, na administrację poświęca 10 godz. miesięcznie, zostaje mu 140 godz. na pracę dla klientów. U klienta musi być raz w miesiącu na miejscu, co zabierze mu z dojazdem min. 4 godz. Zdalnie poświęci mu jeszcze 4 godz. Czyli obsłuży maksymalnie powiedzmy 17 klientów – wylicza prawnik.
UODO nie chce precyzować, gdzie leży górna granica liczby administratorów, których jest w stanie obsłużyć jeden IOD.
– Ocena tej kwestii zależna jest od wielu czynników, w tym m.in. od efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy na temat funkcjonowania podmiotu, dysponowania przez niego odpowiednią do zakresu zadań i specyfiki procesów przetwarzania danych ilością czasu, konieczności unikania konfliktu interesów oraz wielkości i struktury organizacyjnej jednostki – zwraca uwagę Adam Sanocki, rzecznik prasowy UODO.
– Niemniej, jak każda decyzja dotycząca przyjmowanych rozwiązań w zakresie ochrony danych osobowych, również ta w zakresie wyboru odpowiedniej osoby do pełnienia funkcji inspektora musi być podejmowana z pełną świadomością ciążącej na administratorze odpowiedzialności za prawidłowe przestrzeganie przepisów – zaznacza.
To kluczowe, bo ostatecznie to administrator, a nie IOD ponosi całą odpowiedzialność za ewentualne uchybienia. I to administrator może zostać ukarany finansowo.
– Znam przypadki, gdy inspektor zwyczajnie dezerteruje przy najmniejszych problemach, rozwiązując umowę pod byle pretekstem. Nie oznacza to jednak, że przestaje pracować dla kilkudziesięciu innych podmiotów. Przynajmniej do czasu, gdy także u nich nie pojawią się problemy – zaznacza Jarosław Feliński.
RODO nie wskazuje wprost, czy obsługa wielu podmiotów jest dozwolona. Pośrednio można jednak wywnioskować z jego przepisów, że nawet jeśli tak, to w ograniczonym zakresie. Przykładowo art. 37 ust. 3 mówi, że można wyznaczyć jednego IOD dla kilku organów publicznych. Skoro dla kilku, to już nie dla kilkunastu, a tym bardziej kilkudziesięciu.