Jolanta Ojczyk: Na rynku pojawiły się informacje, że coraz częściej jeden inspektor ochrony danych osobowych (IOD) obsługuje kilkadziesiąt instytucji, co odbija się na rzeteności wykonywanych zadań. Państwa firma specjalizuje się w ochronie danych osobowych, świadczy też usługi przejęcia funkcji IOD, czy dochodzą do państwa takie sygnały?
Dr Paweł Mielniczek: Środowisko inspektorów ochrony danych jest niesamowicie zróżnicowane: od pracowników, dla których IOD to jedna z wielu funkcji (np. szefowie kadr czy księgowości), poprzez osoby, które się przekwalifikowały i dopiero zbierają doświadczenie, aż po zewnętrzne firmy, które do pełnienia funkcji IOD wyznaczają cały zespół. Mogą zdarzyć się sytuacje, gdy jedna osoba przejmuje tyle obowiązków, że nie jest w stanie zapewnić dobrej bieżącej obsługi, nie mówiąc już o sytuacjach trudnych, takich jak incydenty czy kontrola. Takie przypadki weryfikuje jednak rynek: mało kto chciałby zatrudniać IOD, który sam nie spełnia wymogów RODO, nie zapewniając dostępności i nie realizując wszystkich swoich zadań.
Czytaj również: Zarabiają fasadowi inspektorzy, karę zapłaci administrator >>
Może jednak warto pomyśleć o certyfikowaniu IOD? Obecnie praktycznie każdy może nim zostać.
Na poziomie organu nadzorczego, akredytację podmiotów certyfikujących wprowadziły już Hiszpania i Francja. Odbyte szkolenia lub tego rodzaju certyfikaty są jednak znakiem jakości, a nie uprawnieniem. Ze względu na powszechny trend deregulacji, wprowadzenie powszechnego wymogu uzyskania uprawnień jest mało prawdopodobne. Warto pamiętać, że certyfikat świadczy zwykle o wiedzy – nie zastąpi on doświadczenia, metodyki pracy czy interdyscyplinarnego zespołu.
Ilu IOD jest obecnie w Polsce?
Całkowita liczba IOD nie jest znana, gdyż Urząd Ochrony Danych Osobowych nie prowadzi publicznego rejestru. Szacuje się jednak, że w Unii Europejskiej około pół miliona organizacji powołało swojego IOD (dane za International Association of Privacy Professionals). Na wielkość tej liczby ma wpływ fakt, że IOD powołały prawie wszystkie podmioty publiczne i większe przedsiębiorstwa. Zgodnie boowiem z art. 37 RODO obowiązek wyznaczenia IOD mająm.iin.: organy lub podmioty publiczne oraz instytucje, które przetwrzają na dużą skalę dane wrażliwe. Należy jednak pamiętać, że każdy IOD jest osobą fizyczną, choć nie każdy wypełnia obowiązki wyłącznie samodzielnie. Im więcej zadań, tym większe prawdopodobieństwo, że jedna osoba nie wystarczy – wtedy potrzebny jest cały zespół.
Może być więc tak, że jest jeden IOD, który obsługuje dużo podmiotów, ale stoi za nim zespół?
Jak najbardziej - ochrona danych osobowych to doskonały obszar do outsourcingu usług. Trudno ocenić jakość na podstawie samego faktu, że jedna osoba pełni funkcję IOD w wielu podmiotach. Głównym kryterium jest zdolność IOD do merytorycznej i efektywnej realizacji obowiązków oraz jego dostępność i czas reakcji. Może być tak, że osoba zatrudniona na etat i fizycznie obecna w organizacji, zareaguje wolniej – ze względu na inne obowiązki lub braki merytoryczne. Zespół ma kilka zasadniczych zalet: możliwość połączenia różnych specjalizacji (kluczowe są prawo, IT i zarządzanie ryzykiem), bogate doświadczenie, a także zastępowalność w razie urlopu czy choroby. Co ciekawe, koszty zewnętrznego zespołu często są znacznie niższe od zatrudnienia IOD na etacie – wiele zależy od ilości pracy i elastyczności oferty.
Jak wybrać dobrego IOD, ile podmiotów powinien obsługiwać?
Dobry IOD powinien dysponować wiedzą z dziedziny prawa, bezpieczeństwa IT, ciągłości działania oraz zarządzania kryzysowego, mieć wystarczającą ilość czasu na wypełnienie wszystkich zadań, zapewniać szybką dostępność w razie incydentu, a także posiadać przygotowanie, materiały i narzędzia do prowadzenia szkoleń personelu. Liczba podmiotów może być myląca: jedna organizacja (np. urząd miasta) może generować więcej pracy niż kilka dużych przedsiębiorstw o zróżnicowanym profilu działalności.
Ile zarabia inspektor ochrony danych osobowych? Przed stosowaniem RODO mówiono, że to będzie jedno z bardziej lukratywnych zajęć.
Spektrum kosztów - bo wynagrodzenie, to dla frimy jest koszt - jest szerokie, od kilku do kilkudziesięciu tysięcy złotych!. Trudno więc mówić o kokretnych stawkach, bo różne są budżety podmiotów zatrudniających IOD. Najwięcej na ochronę danych mogą przeznaczyć duże przedsiębiorstwa, dużo mniej małe firmy lub instytucje publiczne. Nie chodzi jednak jedynie o same możliwości finansowe, ale także o wagę przykładaną do ochrony danych. Wreszcie, cena powinna być dostosowana do zakresu usług, a w szczególności do czasu i jakości pracy. Jeśli firmę obsługuje cały zespół, to z pewnością jakość jest wyższa, ale czas pracy krótszy. Wszystko więc zależy od organizacji i jej potrzeb.
Czy zatrudnienie IOD zwalnia z odpowiedzialności administratora?
Wyznaczenie IOD nie oznacza, że organizacja może zapomnieć o RODO. Takie myślenie może być nawet praprzyczyną niedostosowania organizacji do przepisów o ochronie danych osobowych. Przepisy i sankcje przewidziane przez RODO są adresowane przede wszystkim do administratora i podmiotu przetwarzającego, bo to nie IOD przyjmuje i stosuje proponowane przez siebie rozwiązania. IOD odpowiada za swoje rekomendacje i proponowane rozwiązania. Patrząc na problem z perspektywy administratora warto, aby posiadał on ubezpieczenie od odpowiedzialności cywilnej. Zgodnie z art. 38 RODO, IOD nie może być jednak odwoływany ani karany za wypełnianie swoich zadań – jest to jedna z gwarancji jego niezależności. Dobry IOD oznacza, że organizacja wie jak działać, ma pewność środowiska prawnego, w którym operuje i może skupić się na podstawowym przedmiocie swojej działalności.
