Katarzyna Kubicka-Żach: Czy są określone warunki, jakie musi spełniać inspektor ochrony danych, żeby go zatrudnić?

Piotr Sojka, inspektor ochrony danych w Urzędzie Miasta Gliwice, członek Zespołu Ochrony Danych Osobowych przy Śląskim Związku Gmin i Powiatów: Nigdzie nie ma precyzyjnie określonych wymagań, które można postawić kandydatowi na inspektora ochrony danych. RODO stanowi jedynie, że "inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39".

Inspektor oprócz wiedzy fachowej musi jeszcze wykazać się znajomością organizacji, jej celów oraz czynności przetwarzania, które w niej zachodzą – słowem znać organizację, w której pracuje.

Czytaj w LEX: Wpływ specustawy koronawirusowej na funkcjonowanie jednostek samorządu terytorialnego >

Jakie są obowiązki inspektora?

Funkcja IOD została pomyślana jako coś w rodzaju audytora i równocześnie doradcy.  Najważniejszymi obowiązkami IOD są monitorowanie przestrzegania przepisów, również wewnętrznych oraz informowanie o obowiązkach – czyli mówiąc prosto, szkolenia. Pamiętajmy, że dobry IOD może być bezcenny. To on ma, monitorując stosowanie przepisów w jednostce, informować o wszystkim co może rodzić problemy, grozić naruszeniem, ma wskazywać słabe punkty systemu bezpieczeństwa.  Żeby jednak wykonywać te zadania, musi mieć odpowiednie zasoby – przede wszystkim czas.

Czytaj w LEX: Kto może, a kto musi wyznaczyć IOD? >

No właśnie, a inspektorzy skarżą się, że są często obciążani dodatkową pracą. Czy to rozważne działania ze strony ich szefów i jakie zagrożenia się z tym wiążą?

Inspektorom czasami dokłada się zadania, które ocierają się lub wręcz stoją konflikcie interesów z ich zadaniami. IOD musi mieć czas na to, aby mógł doradzić, odpowiedzieć na pytania pracowników jednostki lub wykonać audyt czy sprawdzenie. W interesie administratora leży, aby mieć uczciwego "policjanta", który na bieżąco sprawdza czy ustalone wewnątrz jednostki zasady są stosowane, a także, na etapie projektowania tych zasad – zasięgnąć jego zdania. 

Doświadczenie płynące z pracy IOD jest na pewno nieocenione podczas szacowania ryzyka dla poufności, integralności i dostępności danych w kontekście poszanowania praw i wolności osób, których dane dotyczą oraz podczas wykonywania oceny skutków przetwarzania. Aby móc wykorzystać IOD do wymienionych zadań, trzeba mieć jednak świadomość, po co tak naprawdę ten IOD został powołany.

Czytaj w LEX: Okiem IOD-a: status i zadania IOD-a - dobre praktyki >

A czy taka świadomość wśród administratorów jest? Czy IOD czują się docenieni?

Niewątpliwie największym wyzwaniem dla administratorów danych jest ciągłe podnoszenie świadomości personelu i to personelu na każdym szczeblu. Niska świadomość zagadnień związanych z RODO lub niewłaściwa interpretacja przepisów jest prostą drogą do naruszeń bezpieczeństwa danych, a brak zrozumienia kierownictwa nie pozwoli na zbudowanie i wdrożenie skutecznego systemu zarządzania bezpieczeństwem informacji, a później na utrzymanie go.

Niestety bezpieczeństwo kosztuje i to prawda, którą należy przyjąć do wiadomości. Konieczność wykształcenia fachowców w dziedzinie bezpieczeństwa informacji powinno być zagadnieniem, na które administrator powinien położyć szczególny nacisk. Z drugiej strony, brak wsparcia dla osób odpowiedzialnych za bezpieczeństwo danych ze strony kierownictwa niestety działa na niekorzyść administratora danych i osób, których dane przetwarza.

W wielu jednostkach powołanie IOD traktuje się jak zło konieczne lub, co chyba jeszcze gorsze, jako remedium na wszystkie problemy związane z RODO. Wtedy wyznacza się na IOD tego, kto "nie zdążył do windy" lub wybiera się najtańszego IOD, na zasadzie "kto tańszy, ten lepszy", byleby tylko był.

Sprawdź w LEX: Czy rada miasta w urzędzie miasta jest odrębnym administratorem danych, czy jest nim tylko prezydent miasta również w zakresie danych przetwarzanych przez radę miasta? >

Co to znaczy, że najtańszego?

Niestety kryterium ceny to w niektórych jednostkach jedyne kryterium, jakie się stosuje.  Słyszałem, że na rynku istnieją firmy, które  oferują usługi IOD za 150 zł miesięcznie. Wówczas taki IOD musi obsługiwać kilka placówek. Powstaje wtedy pytanie - ile czasu jest w stanie poświęcić każdej z nich? To poważny problem, który wiąże się z bezpieczeństwem danych, a tak naprawdę - bezpieczeństwem osób, bo trzeba pamiętać, że dane osobowe to dane na temat możliwych do zidentyfikowania osób. 

Czytaj też: Samorządy oszczędzają na ochronie danych osobowych i... ryzykują

Słaby, niedoświadczony lub nieprzygotowany IOD to zagrożenia dla danych. Jakie mogą być skutki niewłaściwego zabezpieczenia danych w urzędzie?

Trudno określić, jakie będą następstwa w przypadku na przykład wycieku danych. Być może takie dane zostaną wykorzystane do sprofilowania osób w celach, na przykład marketingowych, ale mogą też służyć do kradzieży tożsamości, wzięcia kredytów, kradzieży lub innych czynów zabronionych.  Spektrum możliwości wykorzystania danych jest praktycznie nieograniczone. Dlatego tak ważny jest nacisk na podnoszenie świadomości na każdym poziomie hierarchii organizacji. Co prawda IOD, nawet najlepszy, nie spowoduje, że nie będzie naruszeń, ale dzięki ciągłemu monitorowaniu i szkoleniom może znacząco wpłynąć na prawdopodobieństwo takich zdarzeń.

Sprawdź w LEX: Czy ośrodek pomocy społecznej może zastosować jeden ogólny wzór klauzuli informacyjnej dla interesantów we wszystkich sprawach? >

A w jakich konkretnie sytuacjach może dojść do zagrożenia bezpieczeństwa danych?

Osoby przetwarzające dane muszą znać wewnętrzne zasady bezpieczeństwa i je stosować. Do wycieku danych może dojść w różnych sytuacjach – pracownik ujawni dane niewłaściwej osobie lub pozostawi niezabezpieczony komputer. Może to być wadliwie działająca aplikacja, lub szkodliwe oprogramowanie. Niezabezpieczone dokumenty, wyrzucone na śmietnik twarde dyski lub zgubiony pendrive. Pamiętajmy, że urząd to kolosalna hurtownia danych. Przetwarza się tu olbrzymie ilości danych o różnym zakresie i kategoriach.

Czytaj w LEX: Okiem IOD-a: publikowanie danych w BIP a RODO >

Co robi IOD, jeśli do naruszenia dojdzie, na czym polega wtedy jego rola?

W przypadku gdy dojdzie do naruszenia, administrator ma obowiązek poinformowania Urzędu Ochrony Danych o zaistniałym zdarzeniu. I znowu znajduje się miejsce dla IOD, który wesprze administratora w postępowaniu z naruszeniem, pomoże opracować zgłoszenie i przedstawi możliwe dalsze kroki. Jak widać - zadań IOD w urzędzie, nawet małym, nie sposób wykonywać z doskoku, a biorąc pod uwagę rozwój sytuacji techniczno-prawnej, raczej tej pracy nie ubędzie.

Świadomy administrator, który wie, że tylko on odpowiada za bezpieczeństwo danych, które przetwarza – zadba raczej o nakłady na bezpieczeństwo i zapewni rozsądne warunki pracy IOD, który będzie mu szkolił i wspierał radą personel oraz informował o możliwych niebezpieczeństwach.

Czytaj w LEX: Studium przypadku - Podręcznik kontroli zarządczej w jednostce samorządu terytorialnego >

Na jakich zasadach można zatrudnić inspektora ochrony danych? I która z możliwych form jest Pana zdaniem korzystniejsza z punktu widzenia bezpieczeństwa danych?

Można zatrudnić IOD na umowę o pracę lub powierzyć zadania w ramach outsourcingu. Trudno mi sobie wyobrazić outsourcing w urzędzie, chyba tylko tak, że IOD jest ciągle na miejscu lub pod telefonem.

Jako IOD nie narzekam na nudę – ciągle odpowiadam na pytania, opiniuję umowy, pisma, regulacje wewnętrzne i staram się podnosić swoje kompetencje - trudno mi powiedzieć, jak może takie zadania realizować osoba z firmy zewnętrznej obsługująca więcej jednostek. Taka sytuacja może być do zaakceptowania w przypadku jednostek małych.

Nie bardzo sobie wyobrażam outsourcing w przypadku urzędu zatrudniającego kilkaset osób, chociaż oczywiście nie wykluczam takiej możliwości. Jeśli urząd jest duży, to chyba taniej wyjdzie wyznaczenie i wyszkolenie pracownika lub pracowników do funkcji IOD niż zatrudnienie firmy zewnętrznej. Pracownik na pewno lepiej zna realia, w których jednostka funkcjonuje, zna słabe punkty organizacji, wreszcie jest z jednostką związany, a to atuty, których zewnętrzny IOD tak szybko nie zbierze.

Czy sprawa Aleksandrowa Kujawskiego, pierwszego miasta, na które Prezes Urzędu Ochrony Danych Osobowych nałożył karę za naruszenie RODO, jest Pana zdaniem wyjątkiem czy należy spodziewać się kolejnych?

W moim odczuciu sprawa Aleksandrowa Kujawskiego to początek lawiny. Prędzej czy później kary dotkną większą liczbę jednostek samorządowych, ponieważ cały czas istnieje spory problem z nadaniem odpowiedniej rangi bezpieczeństwu prywatności osób.

Na razie nic mi nie wiadomo o jakimś spektakularnym wycieku danych w jednostce samorządowej.  To oznacza tylko tyle, że albo nie było takiego zdarzenia, albo po prostu o nim nie wiemy. Przy rosnącej liczbie zagrożeń oraz poziomie zinformatyzowania myślę, że jest to niestety tylko kwestia czasu.

Czytaj w LEX: Funkcjonowanie pomocy społecznej i udzielanie świadczeń w sytuacji zagrożenia koronawirusem >