Katarzyna Kubicka-Żach: Czy samorządy radzą sobie z RODO?

Dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p.: Uważam, że samorządy dobrze sobie poradziły z wdrożeniem systemu ochrony danych osobowych na podstawie RODO, tym bardziej że zachodzi tam wiele - nawet kilkaset - procesów przetwarzania danych osobowych. Jednak kilka kwestii wymaga szerszego zastanowienia, a także chyba jednak interpretacji Prezesa UODO.

Wątpliwości budzi wciąż ustalenie administratorów w sektorze publicznym. W zależności od przyjętego kryterium wyodrębnienia administratora, w samym tylko powiecie możemy wyróżnić administratorów: „powiat”, organy powiatu – czyli osobno zarząd i radę powiatu, „starostwo” w kontekście prawno-pracowniczym i wreszcie samego starostę, który w wielu przepisach posiada status organu posiadającego szereg przypisanych kompetencji, z którymi wiąże się przetwarzanie danych osobowych.

Czytaj w LEX: Okiem IOD-a: publikowanie danych w BIP a RODO >

To ogromny problem, bo jeżeli popatrzymy na praktykę w całym sektorze samorządowym, to w zależności od tego, w którym powiecie, gminie czy województwie jesteśmy, nieco inne podejście jest stosowane i różnie wyodrębniani administratorzy, a co za tym idzie w różny sposób kształtuje się organizację systemu ochrony danych osobowych. Tymczasem powinno to być ujednolicone, bo już na tym etapie mamy problemy z ustaleniem, jak wdrażać przepisy.

Czytaj w LEX: Dostęp do informacji publicznej a ochrona danych osobowych >

Dlaczego tak ważne jest pojęcie administratora z punktu widzenia praktyki?

Administrator ponosi pełnię odpowiedzialności za ochronę danych osobowych, ważne więc jest, komu przypisujemy taką rolę. Myślę, że samorządy mają problem związany z warstwą legislacyjną. Mamy przepisy, które często nazywają administratora nieprecyzyjnie albo – z perspektywy praktycznej - nietrafnie, co może powodować problem z ich stosowaniem. Choćby z tego powodu, że wykonawczo czynności tak naprawdę w niektórych przypadkach wykonuje kto inny.

Dodatkowo na reżim wynikający z RODO nakładają się przepisy tzw. ustawy policyjnej. Jeśli w gminie – w jednym urzędzie - funkcjonuje straż lub gminna jako komórka organizacyjna, to w jednej organizacji mamy dwóch administratorów, których zakresy działania jeśli chodzi o ochronę danych osobowych krzyżują się lub pokrywają się choćby w zakresie prowadzonej dokumentacji czy wyznaczenia inspektora ochrony danych.

Czytaj w LEX: Ocena ryzyka w ramach działalności organów administracji publicznej - z przykładowym formularzem analizy ryzyka >

Problemy związane są też z inspektorem ochrony danych. Z czego to wynika?

Największa bolączką jest kwestia związana z koniecznością zapewnienia inspektora ochrony danych (IOD) w każdym podmiocie publicznym. Art. 37 ust. 1 lit. a RODO nakazuje każdemu podmiotowi publicznemu wyznaczyć IOD. Mam wrażenie, że wielu administratorów w samorządzie podeszło do tego nieodpowiedzialnie. Po pierwsze często nie zabezpieczyli budżetów na działania IOD, spychając to na boczny plan. W związku z tym o powołaniu IOD bardzo często nie decyduje wiedza w konkretnej dziedzinie i dedykowane określonemu sektorowi jego umiejętności.

Jeśli decyduje cena, to trudno właściwie zarzucać temu podmiotowi, że nie potrafi sprostać swoim obowiązkom, bo kryteria wiedzy na temat prawa i praktyk w danej dziedzinie się nie sprawdza, bo to niestety nie jest kryterium decydujące.

Zobacz procedurę w LEX: Wyznaczenie inspektora ochrony danych >

Ile zarabia inspektor?

W placówce oświatowej IOD zarabia mniej więcej 150-200 zł miesięcznie, a to na tyle nieduże pieniądze, że bywa, że wyspecjalizowani inspektorzy, którzy włożyli wiele wysiłku w uzyskanie kompetencji, nie są zainteresowani świadczeniem pracy. Płatność w większych organizacjach typu MOPS czy urząd gminy z reguły jest wyższa, bo tam IOD pracuje na etacie. W jednostkach typu biblioteka, GOK, szkoły przedszkola IOD działa głównie w ramach outsourcingu. Niestety, bywa, że jeden inspektor świadczy usługi dla kilkudziesięciu podmiotów.

Czytaj w LEX: Dokumentacja ochrony danych zgodna z RODO - zadania IOD-a >

Bywają rozwiązania, że gmina angażuje jednego inspektora dla wielu jednostek oświatowych, czy  sytuacje, kiedy ktoś świadczył tym podmiotom do tej pory np. usługi BHP czy z zakresu informatyki a dodatkowo jako rozszerzenie oferty wyznaczono mu zadania IOD.

Czytaj też: Samorządy oszczędzają na ochronie danych osobowych i... ryzykują

Wydaje się, że obecność inspektora wskazana jest w jednostce na co dzień. Jak urzędy sobie z tym radzą?

Niestety, bywa że mamy do czynienia z „korespondencyjnym inspektorem”, którego nikt nie widział nigdy w placówce. To autentyczne sytuacje - taka osoba wysyła raz na jakiś czas dokumenty, o bardzo słabej jakości, najczęściej po prostu skopiowane z RODO. Na przykład tworzy procedury tylko na podstawie przepisów RODO – przepisując, jego przepisy, co powoduje, że są one bardzo ogólne, niedookreślone i trudno jest przypisać komukolwiek odpowiedzialność. Takie działanie nie ma sensu, bo poszczególne czynności powinny być przypisane konkretnym osobom.

Wielokrotnie wspólne przypisanie jednego IOD, na przykład w centrum usług wspólnych, prowadzi do konfliktu interesów po stronie osoby. Jeśli jest ona inspektorem u administratora oraz w podmiocie przetwarzającym, a z taką relacją mamy do czynienia w szkołach i przedszkolach, to okazuje się, że IOD stanowi swoistą „długą rękę” podmiotu, który nadzoruje i placówki.

W takiej sytuacji zapewnienie jednakowego komfortu pewności prawnej administratorowi, jaką jest jednostka obsługiwana i podmiotowi przetwarzającemu, jakim jest jednostka obsługująca, jest wątpliwe.

Zobacz w LEX: Kto może, a kto musi wyznaczyć IOD? >

Zdarza się, że kierownicy urzędów zlecają zadania IOD pracownikom, którzy pracują w urzędzie na innych stanowiskach. Jakie to niesie zagrożenia?

Zamienianie w IOD pracowników sekretariatów szkół czy nauczyciela informatyki nie jest dobre z perspektywy RODO, bo prowadzi do konfliktu interesów – zadana, jakie wykonuje informatyk w jednostce organizacyjnej nie powinny być łączone z funkcją inspektora. Jest wtedy jednocześnie podmiotem nadzorującym i nadzorowanym.

Czy to wynika z braku wiedzy szefostwa?

To nie wynika tylko z braku rozeznania w przepisach, ale z oszczędności, źle pojmowanych. W trakcie mojej działalności zawodowej miałam do czynienia z inspektorami, którzy mieli nikłe pojęcie o ochronie danych osobowych. Przy bliższej rozmowie na temat działań audytowych czy doradczych okazywało się, że ktoś został IOD, „bo musiał” – dotyczy to głownie pracowników jednostki. Drugi wariant – musiał, bo potrzebne było dodanie mu obowiązków jako uzasadnienie podwyżki wynagrodzenia.

Rozstrzał ofert cenowych w odpowiedzi na zapytanie ofertowe dotyczące IOD może zaskakiwać. W jednej z miejskich instytucji roczne świadczenie usług inspektora oscylowało w przedziale kwot pomiędzy 1,4 tys. zł a 2 tys. zł do 54 tys. zł rocznie. Podejrzewam, że ci co oferowali 2 tys. podmiotowi publicznemu to byli ci korespondencyjni inspektorzy. Osoby, które wyceniły usługi na najwyższe kwoty, miały zapewne świadomość tego, jak bardzo intensywnie należy zaangażować się w kwestię ochrony danych osobowych na miejscu u administratora.

Czytaj w LEX: Monitoring w przypadku jednostek samorządu terytorialnego >

Jakie są przykłady zagrożeń, które mogą być następstwem nieprofesjonalnego podejścia do funkcji IOD?

Mogę podać przykłady związane głównie z podstawami przetwarzania danych. Bywa, że inspektorzy, którzy nie mają jeszcze doświadczenia, rekomendują opieranie znacznej części działań na danych osobowych na zgodach na przetwarzanie danych. Można uznać, że nie można mieć lepszej podstawy, ale to nic bardziej mylnego – pamiętajmy, że zgodę można wycofać w każdym momencie. Widziałam takie rekomendacje inspektorów, którzy klauzule zgody nakazali wpisywać w umowy zawierane z kontrahentami lub w dokumentację związaną z zatrudnieniem tam, gdzie to było zbędne. Bywa, że rekomendują usunięcie wszystkich informacji z BIP poprzedniej kadencji samorządowej ze względu na ochronę danych osobowych, choć nie ma to podstawy w przepisach.

Jeśli nie mamy wiedzy, jak funkcjonuje samorząd i nie mamy elementarnej wiedzy o tym, na czym polega ochrona danych osobowych, może być problem. W ślad za udzielonymi zgodami idą ich wycofania przez osoby coraz bardziej wykształcone w dziedzinie ochrony danych. Wtedy pojawiają się pytania, co dalej, a jest to tak samo niekomfortowe jak sytuacja naruszenia ochrony danych.

Czytaj też: Wziąć RODO na języki - różnice w tłumaczeniach zmorą administratorów danych>>

W sytuacji IOD, którzy pracują dla wielu podmiotów jednocześnie, pojawia się problem z uczestnictwem w obsłudze naruszenia, gdy wystąpił incydent w tym samym czasie w kilku jednostkach w różnych częściach kraju.

Kłopotliwe jest także zaangażowanie  IOD na najwcześniejszym możliwym etapie we wszystkie procesy w organizacji, które mają dotyczyć danych osobowych, dlatego, ze mamy kontakt z IOD, albo dlatego, że zwyczajnie z jakichś względów IOD jest pomijany. Tam, gdzie będziemy przetwarzać w przyszłości dane, powinniśmy na początku konsultować się z IOD, żeby ustalić, czy te czynności wykonywane są prawidłowo. Brak konsultacji z IOD prowadzi do sytuacji, gdy na pewne kwestie związane z ochroną danych nie zwrócono uwagi. To nie jest tylko sprawa zgód i informacji, ale sięga znacznie głębiej, gdy np. zamawiamy system informatyczny o określonych parametrach, to wielokrotnie konsultacja z IOD pozwoli uniknąć błędu, a czasami dużych wydatków.

Czytaj w LEX: Rola Administratora Danych osobowych w wyborach samorządowych >