Gdy inspektor ochrony danych osobowych obsługuje placówki "od morza do Tatr" jest mała szansa, że robi to dobrze. Nie ma możliwości, by zareagował na wszelkie sytuacje, które wymagają jego obecności. Tymczasem administratorzy ochrony danych osobowych zbyt lekko traktują nowe wymogi związane z RODO.
Zdjęcia z wycieczki na FB? Ostrożnie>>
Inspektorzy pro forma
RODO wymaga, by każdy podmiot publiczny przetwarzający dane osobowe korzystał z usług inspektora ochrony danych (IOD). Problem w tym, że niektórzy potraktowali to jak przykry obowiązek, w którego realizację nie chcą zbyt wiele inwestować – a takie myślenie może okazać się zgubne. Przepisy unijnego rozporządzenia pozwalają na pewną elastyczność, jeżeli chodzi o wybór odpowiedniego inspektora, ale czasem administratorzy zbyt swobodnie podchodzą do kwestii kwalifikacji, które powinien posiadać IOD.
- Po pierwsze, inspektor musi być osobą, który ma odpowiednią wiedzę na temat prawa i praktykę w dziedzinie ochrony danych osobowych i nie chodzi tu wyłącznie o to, że ktoś przeczytał RODO i ustawę o ochronie danych osobowych, ale zna specyfikę sektora w obrębie którego świadczy usługi – mówi dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych sp.p. - Po drugie, ma to być osoba odpowiednio usytuowana w strukturze, angażowana w sprawy mogące mieć wpływ na stan ochrony danych osobowych. Organizacje, które profesjonalnie podchodzą do tej kwestii, mają inspektora wyróżniającego się wiedzą w swojej dziedzinie, stwarzają mu też odpowiednie warunki do działania. Niestety wciąż jest wiele podmiotów, które ochronę danych osobowych traktują po macoszemu – wtedy inspektor ma charakter fasadowy i za tę fasadowość odpowiadają tak naprawdę obie strony – tłumaczy.
Sprawdź w LEX: Czy inspektorem ochrony danych osobowych w szkole może być nauczyciel pełniący tą funkcję społecznie? >
Dyrektorzy, którzy do kwestii ochrony danych osobowych podchodzą jak do jeża, nie mają ochoty inwestować zbyt dużo pieniędzy i własnego zaangażowania w obsługę. Bo często kwestia wynagrodzenia dla IOD leży poza samym dyrektorem, ale odpowiednie zainteresowanie sprawą ochrony danych osobowych, ich należytym zabezpieczeniem i zapewnieniem realizacji praw osób, których dane dotyczą, we współpracy z IOD to na pewno zależy od chęci współpracy po stronie dyrektora. W rezultacie dyrektorzy często otrzymują produkt adekwatny do zapłaty i własnego niewielkiego zaangażowania. W dodatku często bezkrytycznie polegają na opinii tzw. eksperta, nie weryfikując prawidłowości jego działań i zapominając, że to oni poniosą konsekwencję ewentualnej wpadki.
Czytaj w LEX: RODO w placówkach oświatowych - obowiązki dyrektora >
- Dobry IOD powinien dysponować wiedzą z dziedziny prawa, bezpieczeństwa IT, ciągłości działania oraz zarządzania kryzysowego, mieć wystarczającą ilość czasu na wypełnienie wszystkich zadań, zapewniać szybką dostępność w razie incydentu, a także posiadać przygotowanie, materiały i narzędzia do prowadzenia szkoleń personelu - mówi Prawo.pl adwokat dr Paweł Mielniczek, ekspert ds. ochrony danych osobowych w ODO 24. - Liczba podmiotów może być myląca: jedna organizacja (np. urząd miasta) może generować więcej pracy, niż kilka dużych przedsiębiorstw o zróżnicowanym profilu działalności - dodaje.
Zobacz wzory dokumentów w LEX:
Wyznaczenie inspektora ochrony danych (IOD) w placówce oświatowej >
Odwołanie inspektora ochrony danych (IOD) w placówce oświatowej >
Posiadanie inspektora nie zwalnia z odpowiedzialności
- Administrator często nie zdaje sobie z tego sprawy, że to na nim spoczywa odpowiedzialność za ochronę danych osobowych i wykazywanie zgodności z rozporządzeniem. A jeżeli nie czuje tej odpowiedzialności, to jest przekonany, że inspektor załatwi wszystko za niego, bo on zna się na ochronie danych. Jeżeli ktoś ma na wizytówce napisane „ekspert”, to administratorowi często to wystarcza i już w ogóle nie sprawdza, na czym ta eksperckość właściwie polega, gdzie ta wiedza na temat prawa i praktyki – mówi dr Sakowska-Baryła.
Sprawdź w LEX: Czy istnieje jawny rejestr inspektorów ochrony danych osobowych? >
Mylne jest też przekonanie o tym, że skoro zatrudnia się firmę lub zewnętrznego eksperta, to nie trzeba się w ogóle przejmować konsekwencjami prawnymi, bo jak jakieś będą, to wystąpi się z roszczeniem regresowym do obsługującego szkołę podmiotu, bo kara pieniężna lub odpowiedzialność cywilna nie jest przenaszalna na firmę lub inspektora. Nie wystarczy sama znajomość RODO, bo w każdym sektorze są inne uwarunkowania i bywa, że osoba świadcząca usługi dla szkoły, ubezpieczyciela, lekarza wcale nie ma wystarczającej wiedzy na temat specyfiki danej branży, a „przekwalifikowała się” do świadczenia w zakresie RODO, bo takie było zapotrzebowanie na rynku.
- Spotkałam się z dokumentami, w których bezrefleksyjnie przenoszone są kalki z innych sektorów, przykładem jest choćby konieczność wyrażania zgody w związku z uczestnictwem zawodnika w drużynie sportowej – a siłą rzeczy nie da się być członkiem drużyny bez wiedzy, kto jest w tej drużynie, bez przetwarzania danych. Absurdalna bywa też treść tych zgód, np. gdy dentysta wymaga, by podpisujący oświadczył, że znana jest mu treść art. 7 RODO. Śmiem twierdzić, że to nie jest wiedza ogólna – mówi dr Marlena Sakowska-Baryła – Większość pacjentów nie zgłębia przecież treści poszczególnych przepisów RODO, więc oświadczanie, że zna się jakiś konkretny przepis jest groteskowe. A przecież temu dentyście ktoś przygotował takie formularze i zalecił żądanie od pacjentów składania własnoręcznych podpisów pod tego typu osobliwymi oświadczeniami - tłumaczy.
Sprawdź w LEX: Zadania dyrektora we wrześniu - procedury i wzory >
Również dr Paweł Mielniczek podkreśla, że wyznaczenie IOD nie zwalnia administratora z odpowiedzialności. Tłumaczy, że takie myślenie może być nawet "praprzyczyną" niedostosowania organizacji do przepisów o ochronie danych osobowych. - Przepisy i sankcje przewidziane przez RODO są adresowane przede wszystkim do administratora i podmiotu przetwarzającego – to nie IOD przyjmuje i stosuje proponowane przez siebie rozwiązania - mówi. - IOD odpowiada za swoje rekomendacje i proponowane rozwiązania. Patrząc na problem z perspektywy administratora warto, aby posiadał on ubezpieczenie od odpowiedzialności cywilnej. Zgodnie z art. 38 RODO, IOD nie może być jednak odwoływany ani karany za wypełnianie swoich zadań – jest to jedna z gwarancji jego niezależności. Dobry IOD oznacza, że organizacja wie jak działać, ma pewność środowiska prawnego, w którym operuje i może skupić się na podstawowym przedmiocie swojej działalności - dodaje.
Art. 39 RODO wskazuje zadania inspektora, ale odpowiedzialność za ich niewykonywanie lub niewłaściwe wykonywanie ponosi administrator. I nie ma tu takich rozwiązań dyscyplinujących w zakresie ich odpowiedzialności, jak w przypadku radców lub adwokatów, bo tych rozliczają zrzeszające ich samorządy. Inspektora w ten sposób nie można rozliczyć. Formalnie też nie ma kto go rozliczyć. Członkostwo w jednej z organizacji skupiających osoby zajmujące się ochroną danych osobowych nie daje tu żadnej rękojmi należytego wykonywania zadań, nawet jeśli organizacje te zakładają, że ich członków ma cechować określona postawa. Choć istnieją stowarzyszenia inspektorów ochrony danych osobowych, to nie ma formalnego obowiązku zrzeszania się. Nie ma też systemu certyfikacji ani kodeksu etyki, a organizacje nie mają możliwości weryfikowania pracy inspektorów. Co więcej zazwyczaj stowarzyszeniom zależy na dużej liczbie członków, więc i chęć stawiania warunków kwalifikacyjnych wobec członków nie jest oczywista.
Sprawdź w LEX: Czy organ prowadzący dla 8 przedszkoli może powołać jednego Inspektora Ochrony Danych i zgłosić do PUOD? >
Dyrektorzy szkół muszą zatem przemyśleć dokładniej, jakiej osoby potrzebują i jakie działania będzie musiała ona podejmować.
- Gdy dyrektor rekrutuje polonistkę, to sprawdza, jaką ma wiedzę i jakie ma kwalifikacje, dlaczego w przypadku IOD kryterium jest tylko cena – zastanawia się dr Sakowska-Baryła. Jak mówi, warto też zapytać, ile podmiotów obsługuje inspektor i jak – jeżeli ma siedzibę w innej miejscowości (często w ogóle w innym odległym rejonie kraju) – zamierza reagować na nagłe zdarzenia. Bo są osoby, które obsługują szkoły od morza do Tatr, a zatem na pierwszy rzut oka widać, że administrator nie za bardzo może liczyć na szybką pomoc, zwłaszcza gdy przejrzenie dokumentów wymaga obecności na miejscu. - A często tak właśnie jest, dyrektorzy zbyt późno przypominają sobie, że np. organizują konkurs i będą przetwarzać dane uczestników, albo że organizacja wymiany międzynarodowej również wiąże się z takim przetwarzaniem – tłumaczy.
Sprawdź w LEX: Czy można karać inspektora ochrony danych osobowych za jego decyzje dotyczące przestrzegania RODO? >
Inspektor ma wspierać i pomagać
Problemem bywa też to, że część inspektorów uważa, że ich rolą jest sprawowanie nadzoru nad dyrektorem szkoły i wskazywanie mu błędów w postępowaniu, czy wręcz straszenie negatywnymi konsekwencjami, zamiast pomocy w tworzeniu odpowiednich procedur i dokumentów. Bywa też, że rola IOD kończy się na zawarciu umowy z placówką i cierpliwym znoszeniu, że jego imię i nazwisko zamieszczane jest w na stronie internetowej szkoły. Nie chodzi o to, aby IOD był etatowym pracownikiem szkoły, czy autoryzował każde działanie dyrektora lub personelu placówki, ale o to, aby był z nim zapewniony łatwy kontakt i wspomagał administratora odpowiednimi działaniami. Działania te rzeczywiście nie zawsze wymagają osobistego stawiennictwa w placówce, ale oczywiste jest, że IOD musi angażować się i być angażowany w sprawy ochrony danych osobowych. To relacja obustronna – IOD wspiera administratora, ale ten musi mieć wiedzę, jakiego właściwie wsparcia potrzebuje, jakiego ma oczekiwać i jakie właściwie zadania ma inspektor.
Sprawdź w LEX: Jakie informacje z zakresu RODO powinny znaleźć się na stronie internetowej szkoły? >
Zawieranie umów z fasadowymi inspektorami może zostać uznane za marnowanie publicznych pieniędzy. A za łamanie dyscypliny finansów publicznych odpowiada dyrektor szkoły, więc tym bardziej powinien on zwracać uwagę na to, jaką usługę kupuje. Rynek prawdopodobnie wkrótce sam zweryfikuje jakość świadczonych usług, niemniej – zdaniem dr Marleny Sakowskiej-Baryły - organizacje zrzeszające inspektorów powinny zadbać choćby o stworzenie listy dobrych praktyk.
Część krajów certyfikuje inspektorów
- Środowisko inspektorów ochrony danych jest niesamowicie zróżnicowane: od pracowników, dla których IOD to jedna z wielu funkcji (np. szefowie kadr czy księgowości), poprzez osoby, które się przekwalifikowały i dopiero zbierają doświadczenie, aż po zewnętrzne firmy, które do pełnienia funkcji IOD tworzą cały zespół - mówi dr Paweł Mielniczek. - Mogą zdarzyć się sytuacje, gdy jedna osoba przejmuje tyle obowiązków, że nie jest w stanie zapewnić dobrej bieżącej obsługi, nie mówiąc już o sytuacjach trudnych, takich jak incydenty czy kontrola. Takie przypadki weryfikuje jednak rynek: mało kto chciałby zatrudniać IOD, który sam nie spełnia wymogów RODO, nie zapewniając dostępności i nie realizując wszystkich swoich zadań - dodaje.
Ekspertka twierdzi, że całkowita liczba IOD nie jest znana, gdyż Urząd Ochrony Danych Osobowych nie prowadzi publicznego rejestru. Szacuje się jednak, że w Unii Europejskiej około pół miliona organizacji powołało swojego IOD (dane za International Association of Privacy Professionals). Na wielkość tej liczby ma wpływ fakt, że IOD powołały prawie wszystkie podmioty publiczne i większe przedsiębiorstwa.
- Na poziomie organu nadzorczego, akredytację podmiotów certyfikujących wprowadziły już Hiszpania i Francja. Odbyte szkolenia lub tego rodzaju certyfikaty są jednak znakiem jakości, a nie uprawnieniem. Ze względu na powszechny trend deregulacji, wprowadzenie powszechnego wymogu uzyskania uprawnień jest mało prawdopodobne. Warto pamiętać, że certyfikat świadczy zwykle o wiedzy – nie zastąpi on doświadczenia, metodyki pracy ani interdyscyplinarnego zespołu - podkreśla prawnik.
Jak wyjaśnia Urząd Ochrony Danych Osobowych, RODO nie przewiduje obowiązku certyfikacji inspektorów. Jakakolwiek certyfikacja Inspektorów Ochrony Danych byłaby możliwa jedynie poza ramami prawnymi określonymi przez RODO (np. taką certyfikacje odrębnie przewiduje ustawodawstwo francuskie) na zasadach ogólnych zakładających jej pełną dobrowolność. Natomiast RODO nie umożliwia wprowadzenia na poziomie prawa krajowego dodatkowych wymogów, które muszą być spełnione przez Inspektorów Ochrony Danych, takich jak egzaminy państwowe itp..
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.