Prawo nie określa kryteriów ani wymagań, jakie można postawić kandydatowi na inspektora ochrony danych (IOD). RODO stanowi jedynie, że "inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych (…)".

Kryterium ceny decyduje

Jedyne 79 zł czy 150 zł za miesiąc oferuje się IOD w niektórych jednostkach samorządowych, np. placówkach oświatowych. To tak mało, że wyspecjalizowani inspektorzy nie są tym zainteresowani. Stawki w większych organizacjach typu MOPS czy urząd gminy z reguły są wyższe, bo tam IOD pracuje na etacie. W jednostkach typu biblioteka, GOK, szkoły przedszkola IOD działa głównie w ramach outsourcingu. Tak niskie zarobki powodują też, że jeden inspektor świadczy usługi dla… nawet kilkudziesięciu podmiotów.

Zobacz procedurę w LEX: Wyznaczenie inspektora ochrony danych >

Według dr Marleny Sakowskiej-Baryły, radcy prawnego, partnera w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p., największą bolączką jest kwestia związana z koniecznością zapewnienia inspektora ochrony danych w każdym podmiocie publicznym. - Mam wrażenie, że wielu administratorów w samorządzie podeszło do tego nieodpowiedzialnie. Po pierwsze często nie zabezpieczyli budżetów na działania IOD, w związku z tym o powołaniu IOD bardzo często nie decyduje wiedza w konkretnej dziedzinie i dedykowane określonemu sektorowi jego umiejętności - mówi.

Czytaj w LEX: Kto może, a kto musi wyznaczyć IOD? >

 


- Niestety kryterium ceny bywa kluczowe – przyznaje Piotr Sojka, inspektor ochrony danych w Urzędzie Miasta Gliwice, członek Zespołu Ochrony Danych Osobowych przy Śląskim Związku Gmin i Powiatów. To jego zdaniem poważny problem, który wiąże się z bezpieczeństwem danych, a tak naprawdę – z bezpieczeństwem osób.

Czytaj w LEX: Inspektor ochrony danych – wyznaczenie i status >

W wielu jednostkach powołanie IOD wciąż traktuje się jak zło konieczne lub, co chyba gorsze, jako remedium na wszystkie problemy związane z RODO. - Wtedy wyznacza się na IOD-a tego kto "nie zdążył do windy" lub wybiera się najtańszego IOD-a , na zasadzie "kto tańszy, ten lepszy" byleby tylko był – dodaje Piotr Sojka. A niestety bezpieczeństwo kosztuje i to prawda, którą należy przyjąć do wiadomości.

Sprawdź w LEX: Czy sekretarz gminy może pełnić funkcję inspektora ochrony danych? >

Co jest najważniejsze u IOD?

Przede wszystkim należy skupić się na kompetencjach - czy kandydat zna prawne aspekty działań organizacji, cele i prawne podstawy gromadzenia danych w poszczególnych działach. Dodatkowo, czy jest w stanie na rozmowie kwalifikacyjnej przedstawić koncepcję przyszłych działań, wskazać pomysł na funkcjonowanie inspektora i przepisów RODO w np. gminie, spółce, ośrodku pomocy społecznej, korporacji.

Sprawdź w LEX: Czy inspektorem ochrony danych osobowych w szkole może być nauczyciel pełniący tą funkcję społecznie?  >

- Co wie na temat zarządzania, czy zna techniki, narzędzia audytowe i metody nadzorcze, jak sobie radzi w relacjach z personelem, czy umie uczyć o bezpieczeństwie informacji – wylicza Jarosław Feliński, prezes Zarządu Stowarzyszenia Inspektorów Ochrony Danych Osobowych, wykładowca AGH i UJ w Krakowie i WSAP w Szczecinie, także przedsiębiorca.

Czytaj w LEX: Okiem IOD-a: publikowanie danych w BIP a RODO >

Patologie w inspektorowaniu - jeden IOD dla wielu podmiotów

Jarosław Feliński podaje przykłady „patoinspektorowania”, gdy ta sama osoba jest wykazana jako inspektor w 100 lub 200 podmiotach. - Taka praktyka może zdecydowanie umniejszać pozycję i rolę inspektora – mówi. - Stanowczo odradzałbym zatrudnienie lub zlecenie usługi osobie, która wykonuje prace na rzecz zbyt dużej liczby podmiotów. Jest to oczywiste z uwagi na konieczność poświęcenia stosownego czasu na działania w organizacji, a w szczególności podczas wyjaśniania sytuacji kolizyjnych, opracowania materiałów szkoleniowych lub innych zdarzeń – podkreśla Jarosław Feliński.

W sytuacji IOD, którzy pracują dla wielu podmiotów jednocześnie, pojawia się problem z uczestnictwem w obsłudze naruszenia, gdy wystąpił incydent w tym samym czasie w kilku jednostkach w różnych częściach kraju – przestrzega mec. Marlena Sakowska-Baryła.

Sprawdź w LEX: Czy IOD zatrudnionemu w jednostce samorządu terytorialnego można powierzyć dodatkowe zadania? >

Czas inspektora i dodatkowe prace

Żeby wykonywać nałożone zadania, IOD musi mieć odpowiednie zasoby – przede wszystkim czas. Tymczasem inspektorom dokłada się zadania, które stoją w konflikcie interesów z ich funkcją. A IOD musi mieć czas na to, aby mógł doradzić, odpowiedzieć na pytania pracowników jednostki lub wykonać audyt czy sprawdzenie.

Sprawdź w LEX: Czy można zwolnić z obowiązku realizacji pensum dyrektora szkoły w związku z powierzeniem mu przez zarząd powiatu obowiązków Inspektora Ochrony Danych Osobowych (IODO) dla wszystkich szkół i placówek prowadzonych przez powiat? >

- Jako IOD nie narzekam na brak zajęć – ciągle odpowiadam na pytania, opiniuję umowy, pisma, regulacje wewnętrzne i staram się podnosić swoje kompetencje - trudno mi powiedzieć, jak może takie zadania realizować osoba z firmy zewnętrznej obsługująca więcej jednostek – mówi Piotr Sojka.

Czytaj też: Wziąć RODO na języki - różnice w tłumaczeniach zmorą administratorów danych>>

Inspektor - widmo

Mec. Marlena Sakowska-Baryła alarmuje, że bywają „korespondencyjni inspektorzy”, których nikt nie widział nigdy w placówce. - To autentyczne sytuacje - taka osoba wysyła raz na jakiś czas dokumenty, o bardzo słabej jakości, najczęściej po prostu skopiowane z RODO. Na przykład tworzy procedury tylko na podstawie przepisów RODO – kopiując jego przepisy, co powoduje, że są one bardzo ogólne, niedookreślone i trudno jest przypisać komukolwiek odpowiedzialność - wyjaśnia. Takie działanie nie ma sensu, bo poszczególne czynności powinny być przypisane konkretnym osobom.

Sprawdź w LEX: Czy można karać inspektora ochrony danych osobowych za jego decyzje dotyczące przestrzegania RODO? >

Dobry IOD zapobiegnie naruszeniom

Do wycieku danych może dojść w różnych sytuacjach – pracownik ujawni dane niewłaściwej osobie lub pozostawi niezabezpieczony komputer. Może to być wadliwie działająca aplikacja, lub szkodliwe oprogramowanie. Niezabezpieczone dokumenty, wyrzucone na śmietnik twarde dyski lub zgubiony pendrive.

Trudno określić, jakie mogą być następstwa - dane mogą zostać wykorzystane do sprofilowania osób w celach marketingowych, ale mogą też służyć do kradzieży tożsamości czy wzięcia kredytów. - Dlatego tak ważny jest nacisk na podnoszenie świadomości na każdym poziomie hierarchii organizacji – podkreśla Piotr Sojka. I dodaje, że co prawda IOD, nawet najlepszy, nie spowoduje, że nie będzie naruszeń, ale dzięki ciągłemu monitorowaniu i szkoleniom może znacząco wpłynąć na prawdopodobieństwo takich zdarzeń.

Czytaj w LEX:  Okiem IOD-a: dokumentacja ochrony danych zgodna z RODO - zadania IOD-a >

Do spektakularnych wycieków nie doszło

Eksperci mówią, że na razie nic nie wiadomo o spektakularnym wycieku danych w jednostce samorządowej. To oznacza tylko tyle, że albo nie było takiego zdarzenia, albo że po prostu o nim nie wiemy. Przy rosnącej liczbie zagrożeń oraz poziomie zinformatyzowania może to być niestety tylko kwestia czasu.

- W moim odczuciu sprawa Aleksandrowa Kujawskiego to początek lawiny. Prędzej czy później kary dotkną większą liczbę jednostek samorządowych, ponieważ sądzę, że cały czas istnieje spory problem z nadaniem odpowiedniej rangi bezpieczeństwu prywatności osób – podkreśla Piotr Sojka.

W październiku ubiegłego roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę na instytucję samorządową. Aleksandrów Kujawski ma zapłacić 40 tysięcy złotych za to, że nie zawarł umowy powierzenia przetwarzania danych osobowych oraz za zbyt długi czas publikowania oświadczeń majątkowych.