Rozmowa z Jarosławem Felińskim, prezesem Stowarzyszenia Inspektorów Ochrony Danych Osobowych.
Krzysztof Sobczak: W nazwie stowarzyszenia, którym pan kieruje, jest nazwa zawodu, którego jeszcze formalnie nie ma.
Jarosław Feliński: Stowarzyszenie Inspektorów Ochrony Danych Osobowych działa od 2016 roku i powstało jako organizacja mająca aktywizować inspektorów w procesie wspierania społeczeństwa informacyjnego, w tym zwiększanie świadomości Kierowników jednostek organizacyjnych w przygotowaniu do RODO, którzy od 25 maja tego roku zajmować się mają ochroną danych osobowych w firmach, urzędach i instytucjach. To prawda, że jeszcze w tych podmiotach nie ma inspektorów ochrony danych osobowych, ale są kandydaci od 27 kwietnia 2016 roku, kiedy to opublikowane zostało unijne Rozporządzenie ogólne o ochronie danych osobowych i tam jest wymienione takie stanowisko. Powołaliśmy więc stowarzyszenie aby uczestniczyć w dyskusji i procesie przygotowawczym do wdrożenia tej regulacji w Polsce. Czyli brać udział w konsultowaniu projektów legislacyjnych, uczestniczyć w konferencjach i seminariach na ten temat. Żeby w tym okresie przejściowym wzmocnić pozycję inspektorów i wykazywać ich przydatność w ramach współpracy z różnymi jednostkami i organizacjami, w tym z projektantami krajowej ustawy, a także potwierdzić potrzebę dobre przygotowania tych ludzi do czekającej ich pracy. Chcemy jako praktycy od lat zajmujący się tą problematyką, którzy od wielu lat realizują dotychczasową ustawę, uczestniczyć w tworzeniu klarownych przepisów o ochronie danych osobowych na gruncie polskim z uwzględnieniem szczególnej roli inspektora, który został oznaczony w rozporządzeniu jako ten, który posiada kwalifikacje zawodowe i będzie realizował takie zadania już po 25 maja 2018 roku.
Zabiegamy więc o to, by przygotować się w możliwie najlepszy sposób z punktu widzenia doświadczeń, praktyki i przepisów do tych nowych wymagań.
Czy dobrze rozumiem, że przygotowują się do tego osoby, które są obecnie administratorami bezpieczeństwa informacji, albo w jakiejś innej formie zajmujące się danymi osobowymi?
W większości tak. Znaczna część członków naszego stowarzyszenia pracuje obecnie jako administratorzy bezpieczeństwa informacji, co jest funkcją wynikającą z dotychczasowej ustawy, część prowadzi działalność doradczą w tym zakresie, jako prawnicy czy informatycy. Wielu z nas zapewne będzie, po wejściu w życie nowych przepisów, inspektorami ochrony danych osobowych. A teraz można powiedzieć, że są to inspektorzy in spe, czyli w oczekiwaniu na obowiązywanie nowej regulacji. Jest to moment takiego wzmacniania merytorycznego i przygotowywania potrzebnych materiałów, ale także budowania świadomości użytkowników danych oraz kierownictw firm i instytucji.
Czy jest niezbędne oprzyrządowanie prawne do pełnienia tej funkcji? Ci inspektorzy in spe wiedzą co ich czeka w pracy?
Jest to nieźle przygotowane na poziomie samego RODO. Co ważne, ujednolicone zostało niedawno rozporządzenie ministra rodziny, pracy i polityki społecznej, w którym oznaczono inspektora ochrony danych osobowych jako klasyfikowaną specjalność zawodową. To jest o tyle istotne, że od 2016 roku obowiązuje ustawa o zintegrowanym systemie kwalifikacji zawodowych, która określa poziom przygotowania, czyli pierwszy, drugi i trzeci stopień kwalifikacji zawodowych wymaganych do wykonywania tej, jak każdej innej pracy. To jest zbieżne z naszą ideą wzmacniania pozycji organizacyjnej i merytorycznej tej grupy zawodowej. Bo dotychczas było wiele niejasności i błędów, a na administratorów bezpieczeństwa informacji wyznaczane były często przypadkowe osoby, "hurtowo szkolone" i po jednym dniu uznawane za fachowców, od tabel i rejestrów. Teraz jednym z celów naszego stowarzyszenia jest informowanie i przekonywanie krajowych organów oraz wszystkich zobowiązanych do posiadania inspektora ochrony danych osobowych, że na te stanowiska muszą być wyznaczane odpowiednio i profesjonalnie przygotowane osoby, którym nadany zostanie wynikający z RODO status. Zwracamy uwagę na zasadniczy zakres RODO, cel i charakter prawnych podstaw przetwarzania danych i dalsze działania IODO.
Ale też tym samym sugerujemy, w ramach prac nad ustawą, wprowadzenie instytucji zastępcy inspektora w celu naturalnej potrzeby zastępstwa i zachowania ciągłości działania w procesie zabezpieczenia danych.
Projekt ustawy tego nie przewiduje. Jest to potrzebne?
Na podstawie dokładnych analiz i oceny sprawności zarządzania dużych organizacji np. uczelnie wyższe, My uważamy, że tak, ale Ministerstwo Cyfryzacji, które koordynuje prace nad projektem, w ramach konsultacji było innego zdania. W piśmie wysłanym parę miesięcy temu do resortu wykazywaliśmy potencjalne zagrożenia, jakie mogą wynikać z braku takiej funkcji. RODO wymaga, aby w każdej organizacji ochrona danych osobowych była odpowiednio zorganizowana. Warunek ten będzie spełniony, jeśli zajmować się tym będzie odpowiednio przygotowany inspektor. Ale co będzie, gdy ten pracownik pójdzie na urlop lub zachoruje? Zastąpi go ktoś przypadkowy, bez odpowiedniej wiedzy i doświadczenia? Projekt ustawy przewiduje, że w takiej sytuacji szef instytucji wyznaczy kogoś innego do wykonywania tych zadań. Obawiamy się, że to może być ryzykowne. Nie spodziewamy się też wielu chętnych do takiego zastępstwa, bo to przecież praca związana z dużą odpowiedzialnością. Pracownicy zajmujący się innymi sprawami nie muszą się na tym znać. Dlatego uważamy, że administrator danych powinien wyznaczyć osobę, która po odpowiednim przygotowaniu mogłaby w razie potrzeby zastąpić inspektora ochrony danych osobowych.
Unijne rozporządzenie jest znane od dwóch lat, ale polskiej ustawy jeszcze nie ma. Czy w tej sytuacji ci wspomniani inspektorzy in spe wiedzą wszystko o czekającej ich pracy?
Tak, ponieważ rozporządzenie bardzo precyzyjnie to określa.
I ustawa nie jest do tego potrzebna?
Akurat jeśli chodzi pozycję i zakres zadań inspektorów to mogłoby jej nie być. Owszem, jest szereg spraw, w których uszczegółowienie czy doprecyzowanie regulacji przez krajową ustawę jest konieczne, ale inspektorzy ochrony danych będą wiedzieli co do nich należy i jak mają to robić, nawet gdyby do 25 maja ustawa nie została uchwalona. Projekt UODO wskazuje na kilka dat wyznaczenia IODO i tym samym może być niejasnym wskazaniem określonego ustawą postępowania. Z rozporządzenia jednoznacznie wynika data 25 maja , że jest to osoba, która jest włączana we wszystkie sprawy związane z przetwarzaniem danych, która ma odpowiednie do tego środki, jest jednoznacznie umieszczona w strukturze organizacji, z wyraźnie przypisaną podległością pod szefa jednostki. Ale najistotniejszym elementem, który wprowadzono w statusie inspektora ochrony danych osobowych jest 39 artykuł RODO, który mówi, że ma on zwiększać świadomość, szkolić personel i przeprowadzać audyty stosowania obowiązujących przepisów. I to jest według mnie istota tego przemienienia dotychczasowych administratorów bezpieczeństwa informacji w inspektorów ochrony danych osobowych. To ma być konsultant, doradca, osoba informująca, edukująca i wspierająca w tym zakresie innych pracowników i kierownictwo instytucji.