RODO jest stosowane od 3 lat, a dokładnie od 25 maja 2018 r. Rozporządzenie to nakłada m.in. na organy administracji publicznej szereg obowiązków związanych z ochroną danych osobowych. Zgodnie z art. 37 RODO organy publiczne mają obowiązek wyznaczenia Inspektora Ochrony Danych (IOD). Niestety budżety tych podmiotów, zwłaszcza samorządowych (JST), zwykle nie zostały odpowiednio zabezpieczone na pokrycie kosztów z tym związanych. Rezultatem tego jest fakt, iż powołując Inspektora Ochrony Danych, często nie bierze się pod uwagę kwalifikacji tej osoby czy też zaangażowania jakie powinna ona włożyć w pełnienie tej funkcji.
Głównym kryterium branym pod uwagę w zamówieniach publicznych na wykonywanie funkcji IOD jest cena, a często jest ona jedynym parametrem ofert porównywanym w postępowaniu. Czy zatem poprzez wyznacznik ceny można wybrać IOD, który byłby fachowcem i jednocześnie rzetelnie wykonywał swoje zadania? Czy niska cena nie świadczy o czymś przeciwnym? Czy wreszcie takie podejście nie jest sprzeczne z wymaganiem RODO dotyczącym kwalifikacji IOD-y (art. 37 ust. 5).
Z naszych doświadczeń wynika, że kwoty w wybieranych ofertach lub zaplanowane w budżetach są bardzo niskie. Przy zamówieniach JST często oscylują one w granicach 79-150 zł za jednostkę. Potwierdzają to również doniesienia medialne. Są to ceny tak skrajnie niskie, że prawdziwi specjaliści nie są zainteresowani obsługą tych podmiotów. Zdają sobie bowiem sprawę, że rzetelne zaangażowanie w zadania inspektora, choćby w najmniejszym podmiocie, wymaga nakładu czasu, który trudno wycenić na kwotę tego rzędu. Jeżeli wykonawca podejmuje się działania za tak niską cenę, musi pełnić tę funkcje również w wielu innych podmiotach. Prowadzi to do patologicznych sytuacji, w których taki Multi-IOD-a pełni tę funkcję w 100-200 różnych organizacjach. Tym samym musi on dzielić na nie swoje zaangażowanie, co wcześniej czy później może odbić się negatywnie na wynikach jego pracy. W dłuższej i społecznej perspektywie prowadzi to do umniejszenia pozycji i roli IOD.
Multi-IOD-a
Taki Multi-IOD-a, który został wyznaczony w kilkudziesięciu lub nawet kilkuset podmiotach nie jest w stanie pojawiać się w nich fizycznie. Dochodzi więc do sytuacji, że pełni on swoją rolę jedynie korespondencyjnie, czy ostatnio – ze względu na przyzwyczajenia wytworzone przez pandemię – przy pomocy różnych narzędzi telekomunikacyjnych. W wielu przypadkach osoby te ani razu nie pojawiają się w placówce. O ile w pandemii można to było jeszcze uzasadnić walką z COVID-19, to w obecnej sytuacji luzowania obostrzeń administratorzy mogą i powinni oczekiwać od inspektorów osobistych wizyt w siedzibie organizacji. I jedni, i drudzy mogą więc nagle znaleźć się w dość niespodziewanym położeniu. Administratorzy zdając sobie sprawę, że ich inspektor jest „duchem”, którego nie poznają osobiście. Multi-inspektorzy zaś – zderzywszy się z nowymi oczekiwaniami ADO, które w czasach przed pandemią wydawały się oczywiste. Chyba można pokusić się o stwierdzenie, że pandemia COVID-19 mogła sprzyjać występowaniu patologicznych zachowań przy wyznaczaniu inspektorów.
Wątpliwa jakość efektów pracy Multi-IOD-y
Sam fakt permanentnej fizycznej nieobecności Multi-IOD-y w siedzibie organizacji może nie jest dowodem na brak jego fachowości, skoro większość z nas przywykła do pracy zdalnej. Rzeczywistym problemem jest brak właściwego zaangażowania inspektora w swoje zadania u danego administratora, skoro wpiera on ich bardzo wielu. Polega on m.in. na tym, że IOD jedynie raz na jakiś czas przesyła jakieś dokumenty, które na domiar złego są bardzo słabej jakości. Często są to po prostu przekopiowane przepisy RODO. W efekcie przekazane dokumenty są bardzo ogólne oraz niedookreślone – mało przydatne dla organizacji. Innym efektem braku zaangażowania jest długi czas oczekiwania, a czasem nawet brak odpowiedzi Multi-IOD-y na kierowane do niego pytania. Zwyczajnie nie ma on czasu, aby odpowiedzieć na wszystkie maile i liczy, że niektóre sprawy rozwiążą się same – bez jego udziału.
Pierwsza kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na instytucję samorządową
Dotychczas nie doszło do większych naruszeń ochrony danych osobowych w jednostkach samorządowych. Nie należy jednak napawać się optymizmem, gdyż według ekspertów, może być to jedynie kwestia czasu.
Prezes Urzędu Ochrony Danych Osobowych nałożył w październiku 2019 roku pierwszą karę na instytucję samorządową – Burmistrza Miasta Aleksandrów Kujawski. Kara wynosiła 40 000 zł – jest to 40% maksymalnej stawki w sektorze publicznym. Przypominamy, że – zgodnie z art. 102 ustawy o ochronie danych osobowych – prezes UODO może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski maksymalnie 100 tys. złotych kary. Administrator zobowiązany był w tym przypadku również do podjęcia działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Decyzja była umotywowana głównie tym, że burmistrz „nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane”. Nie znajdujemy w treści decyzji odniesień do przepisów RODO związanych z wyznaczeniem IOD-y lub wykonywaniem przez niego zadań. Trudno zatem stwierdzić czy organ nadzorczy w ogóle badał tę kwestię.
Burmistrz wniósł skargę do WSA, który skargę oddalił i utrzymał w mocy karę nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych.
Czy pracownik starostwa może pełnić funkcję IOD?
Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Warunkiem koniecznym jest jednak to, aby takie zadania i obowiązki nie powodowały kolizji interesów. IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. Przykłady takich stanowisk zostały określone w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych.
Zgodnie z zaleceniami UODO administrator, który chciałby wyznaczyć na IOD swojego pracownika powinien rozważyć co najmniej 3 kryteria:
organizacyjne – IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej,
merytoryczne – inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD,
czasowe – IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania.
Do nieprawidłowości, które wykryto w marcu 2021, doszło w Starostwie Powiatowym w Gnieźnie. IOD starostwa powiatowego, jako świeżo zarejestrowany przedsiębiorca, wziął udział w postępowaniu prowadzonym w trybie zapytania ofertowego i wygrał przetarg. Następnie wykonywał swoją działalność gospodarczą w zakresie pełnienia funkcji IOD w szkołach podległych starostwu. Jednocześnie osoba ta wciąż pozostawała pracownikiem starostwa, zatrudnionym na tożsamym stanowisku w urzędzie. Co ciekawe, przetarg ten odbył się dwukrotnie. Podczas pierwszego postępowania doszło do jego unieważnienia ze względu na rażąco niską cenę jednego z oferentów. W wyniku drugiego przetargu wyłoniona została wspomniana firma pracownika starostwa, który zaproponował cenę jeszcze niższą. Osoba ta wykonywała jednocześnie obowiązki służbowe jako pracownik starostwa i pełniła funkcję IOD z ramienia swojej prywatnej firmy. W rezultacie pobierała wynagrodzenie z dwóch różnych źródeł za ten sam czas pracy. W przypadku tym mogło również dochodzić do konfliktu interesów, ponieważ ta sama osoba pełniła jednocześnie funkcję IOD jako urzędnik oraz jako firma prywatna. Taką sytuację można uznać za niezgodną z art. 30 Ustawy o zatrudnieniu pracowników samorządowych. Naruszenie tego przepisu może skutkować dyscyplinarnym zwolnieniem z pracy takiego pracownika.
Na powyższym przykładzie widać jak bardzo zdesperowani są pracownicy samorządów, pełniący funkcję IOD w kilku różnych podmiotach. Po pierwsze, uciekają się do wątpliwych prawnie i moralnie działań, aby otrzymać godziwe wynagrodzenie za swoją pracę. Z drugiej strony pełnienie tej funkcji w wielu różnych podmiotach wpływa negatywnie na jakość pracy. Po trzecie, nieetyczne postępowanie IOD nie przystoi osobie, które powinna być postrzegana jako osoba zaufania publicznego.
Istotna jest również w tej sprawie odpowiedzialność Zarządu Powiatu. Najwyraźniej do wyznaczenia IOD doszło z naruszeniem szczególnych przepisów prawa. Interesujące jest czy Prezes UODO zechciałby zbadać tę sprawę z perspektywy naruszenia przepisów RODO.
Wyznaczając IOD kierujmy się kwalifikacjami zawodowymi
Przypominamy, że – zgodnie z art. 37 ust. 5 RODO – inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia. Zgodnie z opinią UODO osoba pełniąca funkcję IOD powinna mieć „odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO”. Wskazano również, że powinien on mieć wiedzę na temat procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora, sektora w którym działa administrator, procedur administracyjnych i funkcjonowania jednostki. Przy ocenie wskazanych umiejętności bierze się pod uwagę charakter i zakres działań inspektora.
Pełnienie funkcji Inspektora Ochrony Danych jest bardzo czasochłonnych i wymagającym zajęciem. Pamiętajmy, że IOD ma ogromny wpływ na zapewnienie należytego poziomu bezpieczeństwa danych osobowych, a tym samym gwarancji praw i wolności osób, których dane dotyczą. O zadaniach i odpowiedzialności jaka ciąży na IOD pisaliśmy na naszym blogu w grudniu.
Kodeks etyki IOD-y
Często pomijanym, ale niemniej istotnym aspektem w pracy IOD są zasady, którymi powinien się on kierować. Zgodnie z Kodeksem Etyki Stowarzyszenia Inspektorów Ochrony Danych SABI, są to:
zasada prawości;
zasada obiektywizmu;
zasada niezależności;
zasada profesjonalizmu;
zasada poufności;
zasada unikania konfliktu interesu.
Niezwykle ważne jest, aby IOD postępował zgodnie z przepisami prawa oraz dobrymi obyczajami. Stanowi to podstawę społecznego zaufania do jego ocen oraz opinii. Realizując to założenie, IOD w szczególności powinien wykonywać sumiennie oraz z należytą starannością powierzone mu zadania. Podczas ich sprawowania powinien szanować prawa osób, których dane te dotyczą. Inspektor Ochrony Danych powinien dbać o godność tego stanowiska i traktować z szacunkiem osoby, na rzecz których pełni swoją pracę. Jego kontakty z innymi inspektorami powinny opierać się na współpracy, koleżeństwie oraz wzajemnym szacunku. Jest niedopuszczalne, aby Inspektor informował o posiadaniu kompetencji do pełnienia tej funkcji, która byłaby sprzeczna z prawem, dobrymi obyczajami lub naruszała jej godność. Również pozyskiwanie klientów w sposób sprzeczny z prawem jest absolutnie niedopuszczalne przez osobę pełniącą funkcję IOD.
Działanie IOD powinny opierać się na zasadach obiektywizmu. Przede wszystkim nie może on ulegać naciskom innych osób, gdyż ciężko byłoby mu przyznać charakter osoby bezstronnej. Funkcję swoją musi pełnić w oparciu o posiadaną wiedzę, umiejętności i doświadczenie.
Niezależność, obiektywizm oraz profesjonalizm Inspektora, jak również zasada poufności, mogą zostać naruszone w wyniku konfliktu interesów. IOD powinien unikać tego typu sytuacji. Musi być zatem świadomy, w jakich konkretnych okolicznościach może dojść do konfliktu interesów.
Podsumowanie
Za podsumowanie artykułu niech posłuży prognoza. Podejrzewamy, że kolejna kara nałożona na jednostkę samorządu terytorialnego może być częściowo powodowana uchybieniami przy wyborze inspektora oraz niewłaściwym wykonywaniem przez niego zadań. W szczególności, gdy powodem wszczęcia postępowania administracyjnego będzie naruszenie ochrony danych osobowych, organ nadzorczy zapewne będzie chciał sprawdzić, na ile IOD-a był w stanie temu zapobiec.
Co prawda UODO nie będzie weryfikować działań IOD-y z perspektywy etyki, jednak uważamy, że przestrzeganie zasad wskazanych w Kodeksie etyki SABI jest bardzo ważne i gwarantuje pełnienie tej funkcji zgodnie z przepisami RODO. Dla członków Stowarzyszenia jego stosowanie jest obowiązkowe, dlatego członkowsko w SABI osoby przewidywanej do pełnienia roli inspektora, powinno być istotną jej zaletą. Oczywiście nie trzeba być członkiem SABI, aby stosować Kodeks etyki. Z uwagi na brak precyzyjnych kryteriów profesjonalizmu IOD-y, przestrzeganie przez kandydata Kodeksu etyki, powinno być istotnym czynnikiem przy jego wyborze do pełnienia tej funkcji.