Katarzyna Kubicka-Żach: Jakie wyzwania stoją przed ABI/IOD po 25 maja, kiedy będą już stosowane przepisy RODO?
Maciej Kołodziej, ekspert ds. ochrony danych osobowych, wiceprezes SABI - Stowarzyszenia Inspektorów Ochrony Danych:
Na Inspektorach Ochrony Danych spoczywa wiele wyzwań i obowiązków, wynikających z zapisów artykułów 37-39 RODO, w tym cztery główne kategorie: ekspert, doradca, osoba nadzorująca proces ochrony danych osobowych oraz specjalista odpowiedzialny za kontakty z Organem Nadzorczym – Prezesem Urzędem Ochrony Danych Osobowych, obecnie GIODO, oraz osobami, których dane są przetwarzane.
Bardzo ważna jest rola lokalnego eksperta, który w oparciu o swoją wiedzę będzie informował o obowiązkach dotyczących ochrony danych. IOD musi więc mieć gruntowną wiedzę fachową i doświadczenie dotyczące ochrony informacji, w tym danych osobowych, z perspektywy polskich i europejskich przepisów i praktyk.
Inspektor powinien nadzorować wykonywanie obowiązków związanych z ochroną danych w organizacji. Będzie też osobą, która ma pomóc Administratorowi danych osobowych - kierownikowi jednostki organizacyjnej - między innymi w interpretacji przepisów.
IOD ma doradzać i szkolić personel w zakresie ochrony danych osobowych. Jego zadaniem będzie też przeprowadzanie audytów, polegające na przyrównaniu stanu procesu ochrony danych z przepisami i regulacjami wewnętrznymi. W przypadku rozbieżności, gdy trzeba osiągnąć stan zgodny z założeniami i przepisami, ma pomagać administratorowi we wdrożeniu niezbędnych zmian.
Inspektor powinien uczestniczyć we wszystkich działaniach organizacji związanych z ochroną danych osobowych. Brać aktywny udział w planowaniu i być informowanym o zmianach i realizacji zadań dotyczących ochrony danych.
Skoro IOD tak dobrze musi znać nowe przepisy, to może powinien być jednak prawnikiem?
- Często pojawia się pytanie, czy IOD powinien być prawnikiem, informatykiem, audytorem albo posiadać specjalizację edukacyjną. Uważam, że IOD, dla właściwego wykonywania obowiązków, powinien mieć wszystkie wymienione umiejętności, cecha rzadko spotykana, albo Administrator decydując się na specjalistę w jednej dziedzinie zapewni mu odpowiednie wsparcie w organizacji w pozostałych zakresach. Czy wiodącym będzie prawnik, informatyk, czy audytor - to kwestia decyzji Administratora danych.
Nie jest złym pomysłem, aby IOD był prawnikiem, ale nie może ograniczać się on do wsparcia prawnego. Powinien też pomagać administratorowi wdrożyć odpowiednie środki techniczno-organizacyjne. Zaliczają się do nich: odpowiednie polityki i instrukcje postępowania przy ochronie danych, wytyczne dotyczące systemów informatycznych, funkcjonowanie organizacji, nadzór nad procesem ochrony i bezpieczeństwa danych.
Na pewno przydatna będzie, obowiązująca w instytucjach publicznych, instrukcja kancelaryjna, którą można zmodyfikować lub uzupełnić o reguły przetwarzania danych osobowych, uwzględniając czynności dotyczące dokumentów papierowych oraz procesów informatycznych.
Otwiera się też, niezbędna moim zdaniem, kompetencja w zakresie techniki i technologii, a prawnicy nie zawsze potrafią się zorientować w ochronie technicznej i przetwarzaniu informacji. Pytanie - jak inspektor prawnik będzie w stanie temu podołać i jakich będzie wymagał dodatkowych zasobów - osobowych i finansowych - w organizacji, aby we właściwy sposób realizować swoje obowiązki.
Z podsumowania zadań i obowiązków inspektora wyłania się wielowątkowy warsztat pracy. Pojawia się więc pytanie o niezbędny do realizacji czas, niezbędne zasoby i o to, jak IOD poradzi sobie z tak dużą liczbą zadań w skali całej organizacji, w której pełni funkcję. Do rozważanie pozostaje więc stworzenie interdyscyplinarnego zespołu wspierającego inspektora w pracy.
Czyli powinna to być osoba o wielu kompetencjach. Skąd takich ludzi wziąć?
- Nie jest to łatwa sprawa, obecnie na rynku mamy deficyt takich specjalistów, a potrzeby, szczególnie w administracji publicznej, ogromne, ponieważ każdy organ i podmiot publiczny - wymieniony w art. 9 ustawy o finansach publicznych - musi mieć swojego, lub w rozsądny sposób współdzielonego z innymi organizacjami, inspektora.
Prawdopodobnie powstaną więc tzw. Zespoły Inspektora Ochrony Danych, wspierające merytorycznie i pomagające wyznaczonemu inspektorowi. Ma to szczególne znaczenie w przypadku współdzielenia osoby inspektora między organizacjami. W takim przypadku zalecanym jest umocowanie w każdym podmiocie jednej osoby dedykowanej do współpracy z inspektorem.
Obecni Administratorzy Bezpieczeństwa Informacji (ABI) lub specjaliści ds. ochrony danych osobowych (SODO) są predysponowani, żeby pełnić te funkcje dalej jako Inspektorzy Ochrony Danych (IOD). Jednak nie każdy z nich jest w pełni zorientowany, na czym będą polegały zmiany wprowadzane przez RODO, ponieważ swój obecny warsztat pracy opierają na przepisach obecnej Ustawy o ochronie danych osobowych i regulacjach krajowych, które przestaną niedługo obowiązywać. Mimo, że są to podobne funkcje, to jednak bycie inspektorem wymaga uzupełnienia wiedzy i weryfikacji dotychczasowych doświadczeń i umiejętności kandydata na inspektora.
Ciężko odpowiedzieć też na pytanie, czy dana osoba będzie dobrym inspektorem, to kwestia ocenna. Oceny ma dokonać administrator, który może szukać inspektora wśród swoich pracowników lub sięgnąć po osoby spoza organizacji. Często trzeba szukać rozwiązań kompromisowych, optymalnych, niekoniecznie najlepszych, ponieważ wiele jednostek publicznych nie miało szansy zabezpieczenia swojej przyszłości, także finansowo, podczas gdy były uchwalane budżety na rok 2018. Z braku środków szukają więc teraz osób do pełnienia funkcji inspektora, oferując im niezbyt atrakcyjne warunki współpracy lub wskazują wewnątrz organizacji osoby przypadkowe, co tym bardziej pogłębia problem.
Jakie jeszcze będą obowiązki IOD?
- Każda osoba może zwrócić się z wszelkimi pytaniami o swoje dane do administratora danych, a realnie zwróci się, na podstawie art. 38 ust. 4 RODO, do inspektora, do którego kontakt - ze względów organizacyjnych zalecany jedynie mailowy - musi znajdować się na stronie www, czyli w BIP organu lub podmiotu publicznego. W pewnym momencie może okazać się, że IOD nie będzie mógł sam wypełniać swojej funkcji, będzie musiał mieć kogoś do pomocy, choćby do obsługi tej korespondencji.
Administrator może nałożyć na inspektora również inne zadania i dodatkowe obowiązki, jeśli nie spowodują one konfliktu interesów w wykonywanych zadaniach. Może się więc okazać, że w niektórych organizacjach inspektor wykonywał będzie wszystkie obowiązki związane z ochroną danych osobowych także te, które RODO przewiduje jako zadania administratora, a dodatkowo będzie miał zlecone inne obowiązki niekoniecznie związane z ochroną danych. Takie podejście rodzi zagrożenie dla właściwego, terminowego i profesjonalnego wykonywania funkcji inspektora.
Kiedy pojawią się przepisy doprecyzowujące tematykę ochrony danych osobowych?
- Nowe przepisy krajowe, uzupełniające lub doprecyzowujące, w dopuszczonym przez RODO zakresie, nową regulację powinny być gotowe na 25 maja, ale według sygnałów z procesu legislacyjnego pojawią się z opóźnieniem. Nowa ustawa o ochronie danych osobowych jest niejako XII rozdziałem RODO. To nie jest akt zastępujący, a jedynie uzupełniający przepisy RODO, które zaczną obowiązywać 25 maja.
Jest jeszcze drugi akt krajowy związany z RODO, ustawa obecnie procedowana, która wprowadza zmiany do obowiązujących polskich ustaw. To ponad 250 stron nowych artykułów modyfikujących lub uzupełniających przepisy krajowe, aby można było funkcjonować w nowej rzeczywistości, ponieważ RODO, jako bezpośrednio stosowane prawo europejskie, jest nadrzędne nad przepisami krajowymi.
Czy jest możliwe stworzenie czegoś na kształt planu szybkiego reagowania, kiedy wystąpi nagła sytuacja związana np. z zagrożeniem lub wyciekiem danych i trzeba działać natychmiast?
- W wielu organizacjach powstają specjalne „Instrukcje postępowania na wypadek wystąpienia naruszenia lub nieprawidłowości w procesie ochrony danych”. Należy zadbać, żeby informacja o problemach szybko trafiła do osób odpowiedzialnych za proces ochrony danych osobowych - inspektora, administratora, ale również przełożonego, który przekaże informacje dalej. Ważne jest to, aby niezwłocznie pozyskać informację o tym, że pracownicy, podwykonawcy lub inne osoby uzyskały wiedzę na temat ewentualnego problemu z przetwarzaniem danych osobowych.
Analiza pozwoli odpowiednio zareagować, jeśli zgłoszenie wskazuje na rzeczywisty problem, lub podjąć odpowiednią komunikację ze zgłaszającym lub z osobami, których dane dotyczą, aby zdementować błędne informacje. W związku z tym każdy powinien wiedzieć, komu i jak przekazać wiadomość. Jednym ze sposobów jest umieszczenie odpowiednich narzędzi - formularz zgłoszeniowy, kontaktowy adres e-mail lub w ostateczności także numer telefonu „alarmowego” - na stronie www.
Dla podjęcia decyzji o koniecznych działaniach na podstawie otrzymanej informacji warto przewidzieć odpowiedni zespół ekspertów, działający pod kierownictwem Inspektora Ochrony Danych. W jego skład mogą wchodzić pracownicy działów: IT, audytu i prawnego, ale także przedstawiciel najwyższego kierownictwa, osoba zajmującą się obsługą klientów oraz rzecznik prasowy lub odpowiadająca mu osoba, której zadaniem jest koordynowanie komunikacji w organizacji i poza nią - na wypadek potrzeby informowania o ew. incydencie i podjętych działaniach.
Katalog działań w przypadku wystąpienia incydentu ochrony danych jest dość szeroki. Muszą być podjęte decyzje przewidziane w art. 33 i 34 RODO. Konieczne będzie przeprowadzenie analizy ryzyka, czy w wyniku zdarzenia osoby, których dane są przetwarzane, mogły zostać poszkodowane lub naruszono ich prawa. Jeśli doszło do naruszenia ochrony danych osobowych konieczne będzie powiadomienie o incydencie Prezesa Urzędu Ochrony Danych Osobowych lub nawet odpowiednich służb, w przypadku wystąpienia czynów niedozwolonych. Trzeba więc mieć plan i wypracowane zasady postępowania.
Czy będą udostępnione jakieś wzory postępowań?
- Jeżeli organ nadzorczy albo jednostki nadzorujące pracę podmiotu nie opracują wzorów, to ich nie będzie. Wtedy, zgodnie z RODO, administratorzy, czyli same podmioty przetwarzające dane, będą musiały stworzyć i stosować takie plany.
Albo będzie to kolejne zadanie inspektora?
- Katalog jego zadań jest otwarty, więc można na niego nakładać różne zadania.
Jak uświadomić urzędników, co to są dane osobowe, jak z nimi postępować, by skutecznie je chronić?
- Przede wszystkim należy urzędników, pracowników i współpracowników odpowiednio przeszkolić i poinformować, z jakimi danymi się spotykają i jak należy je przetwarzać. W RODO jest otwarty katalog tego, co rozumiemy jako dane osobowe. Znajdują się w nim takie dane jak np. imię i nazwisko, adres, identyfikator i inne dane identyfikujące osobę, np. adresowe, ale także parametry infrastruktury technicznej, logi, pliki cookies, dane, które podmiot danych dostarczył lub wytworzył, korzystając z usług lub czynności realizowanych przez administratora, a także te, które na jego rzecz lub na jego temat zostały przygotowane.
Może się okazać, że każda nawet najmniejsza z przetwarzanych informacji może stanowić dane osobowe. Trzeba to wyraźnie przekazać. Należy stworzyć dokumentację i czytelne zasady postępowania, także w obszarach codziennego wykonywania obowiązków, korzystania z komputerów, w których przetwarzane są dane osobowe lub przetwarzania tych danych w dokumentach „na papierze”. Procedury formalne oraz obowiązujące zasady muszą być pracownikom przekazane na szkoleniach i powinny być okresowo przypominane. Proces ten musi być zaplanowany i stale monitorowany. Jest to rola inspektora.
Należy też zwrócić uwagę, że jedną z przesłanek przetwarzania danych wynikającą z RODO jest przepis prawa, który zobowiązuje i wskazuje na konieczność przetwarzania danych. RODO wskazuje na konieczność powołania konkretnego obowiązku prawnego, a nie jedynie dopuszczalności przetwarzania, która często wynika z obecnych przepisów.
Urzędnicy muszą mieć świadomość, że w tym zakresie nie ma dowolności. Nie wolno im pozyskiwać danych wedle własnego uznania, muszą wskazać konkretną podstawę prawną dla każdej procedury związanej z przetwarzaniem, a w szczególności z pozyskiwaniem i przekazywaniem danych osobowych. W jednostkach administracji publicznej nie znajduje, co do zasady, zastosowania zgoda na przetwarzanie danych osobowych, ani prawnie uzasadniony interes realizowany przez administratora, które przewidziano w art. 6.1.a/f RODO.
Warto podkreślić, że w przypadku wystąpienia nieprawidłowości i ukaraniu podmiotu publicznego za niezgodne z RODO przetwarzanie danych każda nałożona kara może być dodatkowo traktowana jako naruszenie obowiązków służbowych urzędnika i dyscypliny budżetowej, co może wprowadzać kolejne elementy odpowiedzialności i ich konsekwencje na osoby, które przyczyniły się do niewłaściwego postępowania z danymi osobowymi w organizacji.
A jak uświadomić kadrę zarządzającą urzędem, która często nie zdaje sobie sprawy ze swoich obowiązków i sądzi, że tylko ABI/IOD je ma?
- Zarządzający urzędem „kierownik jednostki organizacyjnej” – administrator, powołany w definicji art. 4.7 RODO - odpowiada za proces przetwarzania i ochrony danych osobowych, ponieważ wynika to wprost z przepisów. Jeżeli ktoś dopuści się zaniedbań, to odpowiedzialność jest co prawda współdzielona, ale odpowiada administrator i niepoprawnym jest stwierdzenie, że odpowiedzialność ponosi inspektor. Inspektor odpowiada w ramach organizacji za powierzone obowiązki, ale przed Urzędem Ochrony Danych Osobowych odpowiada administrator.
W samorządzie za reprezentację organu lub podmiotu odpowiadają konkretne osoby – wójt, burmistrz, prezydent, starosta, marszałek. Kadra zarządzająca, inspektor i pracownicy odpowiadają za ochronę danych w zależności od swoich obowiązków i pełnomocnictw. Trzeba wyraźnie pokazać, że administrator jest na początku tej grupy i ją reprezentuje.
Na koniec refleksja – bardzo często jakość ochrony danych osobowych nie wynika ze skomplikowanego systemu ochrony informacji wdrożonego w organizacji, w którym przewidziano wiele wariantów postępowania, zasady, ograniczenia, definicje i kary, ale z rozsądku i właściwego wykonywania nałożonych obowiązków przez osoby które dane przetwarzają.
Należy podkreślić wartość możliwości zapytania inspektora w przypadku wątpliwości i uzyskania merytorycznej decyzji administratora, jak postąpić, zanim coś zostanie zrobione, zamiast reagować na skutki nieprawidłowości, błędów i zaniedbań. Takie podejście wymaga jednak często zmiany obowiązujących zasad, innej dojrzałości organizacyjnej oraz współpracę pomiędzy osobami podejmującymi decyzje, ich doradcami i osobami wykonującymi czynności na rzecz podmiotów danych.
RODO ma na celu uporządkowanie zasad ochrony według nowych standardów, ale ciężar decyzji jak to zostanie zorganizowane ciąży na administratorach - kierownikach jednostek - i to od ich działań i zaangażowania zależy powodzenie całego procesu ochrony danych w każdym urzędzie, instytucji czy przedsiębiorstwie.
Dziękuję za rozmowę.