Katarzyna Kubicka-Żach: Czy świadomość istotności IOD rośnie?

Jarosław Jan Feliński, prezes Zarządu Stowarzyszenia Inspektorów Ochrony Danych Osobowych, wykładowca AGH i UJ w Krakowie i WSAP w Szczecinie, przedsiębiorca - kierownik Zespołu Audytorów: Z perspektywy kilkunastu lat pracy w dyscyplinie bezpieczeństwa danych osobowych i doświadczeń ostatnich miesięcy wprowadzania RODO w Polsce, radykalnej jakościowej zmiany nie dostrzegam. Przeciwnie - komentarze, publikacje, a nawet niektóre instytucje nadzoru państwowego w tej dziedzinie potwierdzają, że każdy może być inspektorem. Odpowiadam na to - każdy może być, lecz nie każdy być powinien.

Stowarzyszenie Inspektorów Ochrony Danych Osobowych w Polsce od 2016 roku systematycznie realizuje różne formy wspierania administratorów i inspektorów w budowaniu świadomości ochrony danych osobowych. Podkreślamy znaczenie nowych wyzwań i potencjalnych szans, a także zagrożeń społeczeństwa informacyjnego. Podczas lutowej konferencji „RODO~TWORY” omówiono przykłady „patoinspektorowania”. Pokazano przykłady, gdy ta sama osoba jest wykazana jako inspektor w 100 lub 200 podmiotach. Taka praktyka może zdecydowanie umniejszać pozycję i rolę IOD.

 


Jak oceni Pan podejście kadry kierowniczej do pozycji IOD?

Na ponad stu uczestników wydarzenia, kierowników czy decydentów było około 10 proc., to dowód na traktowanie przez kierownictwo problemów ochrony prywatności jako uciążliwego „wymysłu” prawnego UE. Podczas konferencji została dokonana empiryczna ocena statusu i roli IOD
w organizacjach. Stan oparty o przeprowadzone przeglądy niestety nie jest nawet zadawalający.

Kadra kierownicza wielu podmiotów traktuje rzecz w sposób instrumentalny - zlecamy wykonanie usługi i RODO nam wprowadzą – taki schemat myślowy i  zupełne zaprzeczenie idei poszanowania prywatności. Oznacza to, że świadomość - rozumiem przez to wiedzę, doświadczenie, umiejętność posługiwania się, nawyki, zdawanie sobie sprawy z czegoś - znaczenia IOD nie przełożyła się na praktykę i poważne oraz odpowiedzialne realizowanie zadań. Zatroskanie w tej materii wyrażają autorytety prawnicze. Podzielam je w pełni.

Czy kadra kierownicza dokonuje weryfikacji kandydatów pod kątem jakości świadczonych prac?

Potencjalni wykonawcy często deklarują wykonywanie audytów na rzecz organizacji, sami nie posiadając wymaganych formalnych uprawnień, nie znając metod audytowych. W skrajnych przypadkach dokonywano zdalnego audytowania jednostki – w tym II piętra, którego w tej jednostce nie było!

Warto dodać, że kierownicy podmiotów publicznych - wójtowie, dyrektorzy, prezesi - na studiach menedżerskich lub zarządzania, pracownicy działów personalnych, dyrektorzy szkół, szpitali, nie mieli ani jednej godziny zajęć z ochrony prywatności i danych osobowych. Zachęcam od lat władze wielu uczelni do wprowadzenia przedmiotu „prawo ochrony danych w zarysie” jako konieczności edukacyjnej cyfrowej rzeczywistości.

Jakie najważniejsze kwalifikacje powinien brać urząd pod uwagę przy wyborze IOD?

Przede wszystkim należy skupić się na kompetencjach - czy zna prawne aspekty działań organizacji, cele i prawne podstawy gromadzenia danych w poszczególnych działach. Dodatkowo, czy jest w stanie na rozmowie kwalifikacyjnej przedstawić koncepcję przyszłych działań, wskazać pomysł na funkcjonowanie inspektora i przepisów RODO w np. gminie, spółce, ośrodku pomocy społecznej, korporacji i szczególnie trudne zadanie w sądach powszechnych.

W sądach mamy szczególną sytuację w postaci określonych ustawowo trzech administratorów i dwie regulacje do zastosowania. Stawiam pytanie osobom decyzyjnym w sądach, czy sami podejmą się takiego wyzwania w takim „sześciopaku”, a gdzie zastępca? W mojej ocenie w takiej jednostce nie można przyzwalać na niską jakość IOD.

Kolejny ważny aspekt - co wie na temat zarządzania, czy zna techniki, narzędzia audytowe i metody nadzorcze, jak sobie radzi w relacjach z personelem, czy umie uczyć o bezpieczeństwie informacji osoby dorosłe. Po drugie pożądaną cechą inspektora jest etyka wykonywania prac, tak aby opracowania właściwego dla organizacji nie tworzył metodą „kopiuj cudze dokumenty – wklej i zmień nazwę”. To zjawisko też jest plagą wielu usług.

Czytaj też: Samorządy oszczędzają na ochronie danych osobowych i... ryzykują

Po trzecie stanowczo odradzałbym zatrudnienie lub zlecenie usługi osobie, która wykonuje prace na rzecz zbyt dużej liczby podmiotów. Jest to oczywiste z uwagi na konieczność poświęcenia stosownego czasu na działania w organizacji, a w szczególności podczas wyjaśniania sytuacji kolizyjnych, opracowania materiałów szkoleniowych lub innych zdarzeń.

Wiele szkody wyrządziły administratorom i in spe kandydatom na inspektorów, tak zwane „jednodniówki” – czyli schematyczne niby szkolenia, z „gotowcami” dokumentów, wzorami pism czy tabel rejestrowych. Każdy absolwent podyplomowego kształcenia specjalistycznego, które prowadzę, sam jest w stanie zaangażować osoby funkcyjne w organizacji i we współpracy z nimi dokonywać  koordynacji prac, jakim jest nadzorowanie określenia podstawy prawnej przetwarzania danych, wykonanie tabel, rejestrów, ocenić sytuację trudną i racjonalnie doradzić.

W poprzednich latach poprzez zachętę proponowałem pogłębianie wiedzy kandydatów na inspektora na studiach podyplomowych jako formalne potwierdzenie wiedzy i umiejętności. Obecnie dostrzegam potrzebę kolejnego kroku – wyższe studia od poziomu licencjata, a nawet technika bezpieczeństwa informacji na poziomie szkoły średniej, studia MBI (menedżerów bezpieczeństwa informacji) na poziomie zaawansowanym. Tym samym doprowadzimy do systemowego kształcenia specjalistów bezpieczeństwa informacji na potrzeby samorządu i biznesu, z ukierunkowaniem na konkretne płaszczyzny ich działań zawodowych.

Czy często zdarza się, że IOD zostają osoby, które od lat w urzędzie pracują i szefostwo „idzie na łatwiznę” łudząc się, że taka osoba, która zna urząd, sobie poradzi?

Znajomość funkcjonowania urzędu a znajomość prawa, specyfiki zarządzania i organizacji ochrony danych to dwa różne pola działania. Zacytuję za Panią - „idąc na łatwiznę” niech wójt, burmistrz, dyrektor przeniesie obowiązki np. na sprawy kadrowe, księgowość czy zamówienia publiczne – bo to nic trudnego i każdy może być kadrowym, księgowym. IOD musi sprawnie działać na przepisach każdej komórki organizacyjnej, w której przetwarzane są dane osobowe i jeszcze jako rzecznik interesu kierownictwa, umiejętnie prezentować stanowisko w relacjach z klientami, inspekcjami lub prasą.

Sytuacja wskazania pracownika łączącego swoje rutynowe zadania i zadania IOD powoli, acz wyraźnie, zanika. Pracownicy niechętnie podejmują się nieznanej materii, ponoszenia odpowiedzialności za ewentualne błędy własne lub innych i mierzenie się z inspekcjami organów nadzorczych.

Jak temu zaradzić – jak uczyć IOD?

Szkolenia ustawiczne są koniecznością, ale wysokiej jakości i rozwijające kreatywność w rozwiązywaniu problemów. W wielu przypadkach jakby zapomniano, że przetwarzanie danych odbywa się na podstawie konkretnego przepisu i podaje się podstawę z RODO – to oczywiste nieporozumienie. Np. moje dane przetwarza pracodawca zgodnie z Kodeksem pracy a nie RODO, mojego dziecka w szkole z przepisów prawa oświatowego. Zbyt często poszanowanie prawa do prywatności zeszło na grunt fizycznej formy ochrony dokumentów, nośników a nadzór inspektora do działań porządkowych.

Stąd wniosek, że szkolenia należy konstruować w oparciu o ideę poszanowania prywatności, a nie ograniczać RODO i przepisów krajowych do zasady „czystego biurka”. Nie umniejszam jej, ale to tylko jeden drobiazg organizacji ochrony. Aż chce się zacytować A. Einsteina „jeżeli zabałaganione biurko jest oznaką zabałaganionego umysłu, oznaką czego jest puste biurko?”. Czyste biurko nie uchroni administratora przed konsekwencjami, gdy będzie miał wadliwą podstawę prawną przetwarzania, zaś nieład na biurku nie ma znaczenia w przypadku właściwej podstawy prawnej przetwarzania.

Czytaj też: Inspektor ochrony danych nie powinien być osobą przypadkową

Czy RODO jest dokuczliwe dla zwykłego obywatela?

Na fali wielu publikacji utwierdzano obywateli, że RODO chroni ich prawa. To nieporozumienie, bo nie jest narzędziem skutecznej ochrony – to po prostu przepis. Istotą zaś przepisu jest jego odpowiednie stosowanie i wykonanie wysiłku zmierzającego do poszanowania praw podstawowych.

Przykładami zgłaszanych dokuczliwości jest coś, co nieładnie nazywam „dokumentozą”, „klauzulozą” i „zgodozą”. Często występujący brak umiejętności określenia odpowiedniej podstawy prawnej skutkuje zgodami pozyskiwanymi na „wszelki wypadek”, to kolejny błąd, sztuką zaś jest wykazanie przez administratora właściwej podstawy prawnej, a gdy jej nie określi, może posiłkować się zgodą.

Martwi skłonność wielu fasadowych inspektorów do przesadnego „klauzulowania”, które często przeczy zasadzie przejrzystego i jasnego informowania osoby. Umieszczenie kilku wariantów tzw. „klauzul” to w zasadzie koniec pracy, często zawierającej poważne błędy merytoryczne. Łatwo jest dokonać takiej diagnozy i oceny po przejrzeniu kilku stron www lub BIP administratorów, co czyni czytelnym jakość pracy IOD.

Jakie jeszcze problemy Pan dostrzega?

Głównym powodem jest nadmierne akcentowanie i epatowanie możliwością nakładania kar na administratorów. W rzeczywistości są one jednym z instrumentów porządkowych RODO - częste wypowiedzi i publikacje komentatorów mają wzmocnić przekaz, ale nie na tym filarze powinniśmy budować świadomość społeczeństwa informacyjnego.

Zamiast położenia silnego akcentu na edukację, wyjaśnienie czym jest prawo do prywatności, dobra osobiste, jak można posługiwać się wizerunkiem innej osoby i przybliżania filozofii poszanowania prywatności osoby jako wartości istotniejszej niż sama forma ochrony – wokół słychać jedno hasło: kary.

Warto może uzbroić się w cierpliwość i wzorem inspektorów BHP szkolonych w okresie kilku lat do pełnienia funkcji, dążyć do ujednolicenia poziomu wiedzy osób zajmujących się inspektorowaniem. Ustawowych zadań IOD w kolejnych latach przybywa. W działaniach kierują się etyką, kulturą ochrony danych osobowych, która sprzyja budowaniu pozycji poważnego doradcy.

Na drugim biegunie są mechanizmy wolnego rynku. Obraz tych działań zilustrowała celnym przykładem prelegentka konferencji, wskazując zaangażowanie stron zlecającego i wykonawcy, który kierując się rachunkiem finansowym zaproponował 79 zł za miesiąc w JST! Czy można mówić w takim przypadku o poważnym podejściu do ochrony danych? Wielokrotnie otrzymuję sygnały o dumpingowaniu cen usług na wolnym rynku.