Skąd pomysł na stworzenie Stowarzyszenia Inspektorów Ochrony Danych, gdy jeszcze nie ma inspektorów ochrony danych osobowych?
Już w maju ubiegłego roku opublikowano Ogólne Rozporządzenie o Ochronie Danych Osobowych, definiujące tą instytucję, więc uznaliśmy, że jest potrzebna nowa formuła społecznego działania tj. stowarzyszenie, które takich inspektorów będzie łączyło. Idea została przyjęta, zgłoszona i tak zarejestrowano stowarzyszenie w październiku 2016 r.
A czym inspektor ochrony danych osobowych (IODO) będzie różnił się od obecnego administratora bezpieczeństwa informacji (ABI)?
Będzie to rewolucyjna zmiana jakościowa dotycząca osoby wykonującej zadania związane z ochroną danych. ABI przed zmianami z 2015 r. był często osobą dobieraną losowo. Łączono stanowiska kadrowej, księgowej, sekretarki, informatyka i wiele innych, ze stanowiskiem administratora bezpieczeństwa informacji. Takie podejście nie dawało realnie efektów zabezpieczenia danych. Co więcej, nawet, gdy w 2015 r. określono, że wymagany jest pewien określony poziom wiedzy, to szefowie często uznawali, że jeśli osoba taka potrafi odczytać i rozszyfrować ustawę o ochronie danych, to jest to już wiedza wystarczająca na to stanowisko. Natomiast polskie przepisy wiele mówią na temat tego, czym są kwalifikacje zawodowe, nabierane w formalnym procesie kształcenia, bo o tym tu mówię. Dlatego mam nadzieję, że w najbliższym czasie dokona się pożądana zmiana jakościowa w tym względzie. ABI nie może równać się IODO, gdyż występują tu zupełnie inne kryteria doboru.
Jakie więc umiejętności i wiedzę powinien mieć taki inspektor?
Samo rozporządzenie nie definiuje tego wprost. Natomiast istnieją polskie przepisy dotyczące systemu zarządzania bezpieczeństwem informacji. Jest to proces podzielony na kilka etapów i określiliśmy na tej podstawie profil inspektora, który łączy po 20 proc. umiejętności z zakresu informatyki, prawa, zarządzania, pedagogiki (gdyż taka osoba ma według RODO prowadzić szkolenia i audyty bezpieczeństwa) oraz elementy psychologii, ponieważ inspektor działa na grupę i na pojedynczych użytkowników. Gdy ten warsztat zostanie opanowany, możemy mówić o skuteczności, efektywności i funkcjonalności całego systemu. Zatem osoba, która będzie inspektorem musi go znać w nieco szerszym zakresie niż obecny, ABI.
Zakres ten wydaje się szeroki, w porównaniu z tym, co było wcześniej, gdy jak pan wspomniał, były to osoby często przypadkowe. Czy należałoby wprowadzić jakiś standard i możliwość sprawdzana go, np. w formie państwowych egzaminów czy certyfikatów?
Jeśli weźmiemy pod uwagę obecne programy kształcenia na uczelniach, które podlegają ocenie jakościowej komisji, które czuwają, żeby zawierały one odpowiednie punkty Europejskiego Systemu Transferu Punktów (ECTS) – czyli m.in. odpowiednią ilość godzin, doświadczoną kadrę, to trudno uznać, że nie spełniają one warunków. Jeżeli natomiast byłaby taka wola krajowego organu ochrony danych, to może rzeczywiście warto standaryzować pewne kryteria do spełnienia. Mówimy tu, bowiem o przestrzeganiu przepisów prawa, a prawo ochrony danych jest takim elementem, który łączy pozostałe. Więc jeśli taka formuła miałaby być wprowadzona, to jesteśmy, jako stowarzyszenie za tym, żeby usankcjonować, czy w pewien sposób profilować działania zmierzające do uzyskania takiego efektu kształcenia, który potem przełoży się na sprawne działanie jednostek organizacyjnych w tym wymiarze.
A czy znajdzie się w Polsce wystarczająca liczba osób z odpowiednimi kompetencjami, by pełnić tę funkcję?
Znacznie więcej o biznesie, finansach oraz prawie
Zakres zapotrzebowania określił koordynator krajowy reformy ochrony danych osobowych w Ministerstwie Cyfryzacji. Jak wynika z jego szacunków potrzebne będzie ok. 40-50 tys. osób. Na pewno część z tych, którzy są ABI i ukończyli studia podyplomowe można uznać za posiadających odpowiednie kwalifikacje. Ale wiele zależy od tego, jak będą działać podmioty działalności gospodarczej. To przed nimi stoi największe wyzwanie. A nie ma, co ukrywać, że przez wiele lat traktowały temat po macoszemu. Zachodzi ryzyko, że przez pewien czas występować będą braki (podobna sytuacja miała miejsce w latach 2004-2013 z inspektorami bezpieczeństwa i higieny pracy, którzy 10 lat skutecznie musieli zdobywać kwalifikacje, aż rynek się nasycił). To będzie pewien proces. Podejrzewam, że obecnie może być w Polsce około 2-3 tys. sprawnych inspektorów. Jeśli będzie planowana jakaś zmiana i wprowadzenie egzaminów, to powinni sobie z nimi poradzić.
Natomiast przedsiębiorcy i podmioty samorządowe będą głownie korzystać z outsorsingu, ale nie jednego inspektora, tylko całego zespołu osób, które łączą te różne sprawności. Od paru lat obserwuję, jak moi znajomi prowadzący działalności prawnicze czy informatyczne łączą siły i dzięki temu są w stanie zapewnić obsługę jednostkom organizacyjnym.
Czy pana zdaniem za mała liczba inspektorów w pierwszych latach wiązać się będzie ze stratami dla gospodarki?
Na rynku pracy powstają nowe zawody i nowe potrzeby. Przedsiębiorcy chcą uchronić się przed konsekwencjami przede wszystkim roszczeń osób prywatnych, muszą też pełne kryteria spełnić. Można założyć, że przez pewien czas będziemy się przyzwyczajać do tej nowej sytuacji prawnej, bo jak zawsze będzie ona wymuszała potrzebę wprowadzenia zmian, które ochronią jednostkę przed konsekwencjami przede wszystkim spraw karnych. Nie ma, co ukrywać, że każdy przedsiębiorca będzie chciał posiadać jakieś choćby minimalne zabezpieczenie, jakie stanowi inspektor. Tak jak zresztą dzisiejszy ABI, który sprawdza zgodność z przepisami postępowania z danymi w ramach wykonywanej działalności gospodarczej. Myślę więc, że gospodarka nie straci, a może zyskać, na jakości zarządzania. Dane osobowe stały się, bowiem produktem i wiemy, że znajdziemy na rynku wielu chętnych, którzy chcieliby je pozyskać i dysponować nimi w różnych kategoriach. Jest to raczej zmiana korzystna dla gospodarki.
Może rozwiązaniem byłoby powoływanie jednego inspektora dla kilku instytucji, co dopuszcza RODO. Pytanie tylko, czy byłby wstanie należycie wypełniać swoje obowiązki?
W tej kwestii stowarzyszenie przyjęło stanowisko, w którym wskazało koordynatorowi krajowemu konieczność powołania instytucji zastępców inspektora danych osobowych. Jednoosobowy inspektor może mieć problemy z wykonywaniem funkcji choćby w takiej strukturze jak Akademia Górniczo-Hutnicza, gdzie jest kilkanaście wydziałów, i wiele innych jednostek pomocniczych. Jako osoba fizyczna nie będzie w stanie sprawować skutecznego nadzoru. Przepisy mówią też o konieczności reagowania w przypadku naruszenia – w ciągu 72 godzin trzeba zawiadomić organ i osoby, których dane dotyczą. Tak, więc jeden inspektor musiałby pracować 24 godziny na dobę, bez prawa do urlopu, zwolnienia, czy podróży służbowej. Nikt inny nie mógłby go zastąpić, bo nie ma zbliżonego do inspektora przygotowania. Stąd też inicjatywa rozproszenia funkcjonalnego osób, które miałyby odpowiednie przygotowanie i mogły zapewnić bezkolizyjne funkcjonowanie jednostki.
Model „jeden dla wielu" w niektórych przypadkach spełni swoją rolę, ale muszą być to dość specyficzne jednostki, o niewielkiej skali skomplikowania przetwarzania danych – powinno się ono odbywać niemal automatycznie. Inna jest sytuacja, gdy inspektor obsługuje np. ośrodek opieki, publiczną przychodnię i kilka szkół, gdzie jest mnóstwo danych wrażliwych, a inna, gdy są to podmioty np. produkujące soki czy butelki – tu jeden inspektor może wystarczyć. Wszystko, to kwestia przeprowadzenia symulacji i odpowiedniej kalkulacji ryzyka. Znów powracamy, więc do brzmienia rozporządzenia. Jeśli będą to wielofunkcyjne zespoły audytorsko-informatyczno-prawnicze, to taka formuła ma sens i przekładałaby się na sprawność funkcjonowania.
Ale czy trzeba powoływać zastępcę inspektora, czyli kolejną oficjalną instytucję, skoro można zapewnić IODO wsparcie innych osób w ramach jego biura?
Jeśli byłyby to wydzielone struktury w jednostkach organizacyjnych, którym był prawnik, będący doradcą szefa jednostki, a dodatkowo szef działu personalnego, obsługi klienta, informatyk i konsultanci z innych komórek, zbierani, jako wewnętrzne ciało doradcze w sprawach ochrony danych osobowych (przetwarzania i zabezpieczania), to jednostka jest sobie w stanie z tym poradzić. Ważna jest tu przede wszystkim skuteczność. Rozporządzenie odchodzi od mało skutecznej formy, która wymienia niezbędne dokumenty, jak polityka bezpieczeństwa informacji, instrukcja zarządzania systemem, wykazy tabelki i inne drobiazgi. Ale po zatwierdzeniu przez szefa i wydrukowaniu tych dokumentów niewiele osób w firmach wiedziało, że one istnieją.
Natomiast RODO wykazuje, że najpierw trzeba określić specyfikacje istotnych warunków bezpieczeństwa informacji, czyli czym dysponujemy, z kim pracujemy, jakie są przesłanki – dotyczy to klasyfikacji przepisów prawa będących podstawą gromadzenia danych, podziału danych według kategorii i określenia operacji, jakie są dokonywane na danych. Czy będzie je udostępniali, przekazywali w ramach powierzenia innemu podmiotowi (który kaskadowo może je przekazać kolejnemu), czy będziemy transmitować te dane automatycznie? Rozporządzenie nie odmienia, więc filozofii ochrony danych, lecz daje więcej praw osobie, której dotyczą.
A co może zyskać instytucja, powołując inspektora ochrony danych?
Jedna, uniwersalna korzyść, to wizerunek. Tu nie ma wątpliwości, że każdy, kto przestrzega przepisów prawa, zyskuje. Publikacja informacji na temat inspektora to nie tylko spełnienie ustawowego warunku. Wiadomo, że jeśli pojawi się klient niezadowolony, potencjalnie poszkodowany, to rolą inspektora jest wytłumaczyć mu, w jakiej sytuacji się znalazł i jaką podstawę prawną zastosowano do przetwarzania jego danych. Inspektor pozwoli, więc uniknąć strat i szkód tej jednostce np. odszkodowań. Będzie też przydatny przy ocenie stopnia naruszenia bezpieczeństwa danych – czy kwalifikuje się ono już na przestępstwo, czy jednak jest mało groźne zdarzenie. Będzie to, więc swoisty rzecznik interesów administratora i klienta.
Którzy administratorzy będą musieli powołać inspektora?
W ustawie obecnej mamy wybór, czyli powołanie ABI albo pozostawienie tej odpowiedzialności na szefie danej jednostki. W nowym rozporządzeniu nie ma możliwości, aby szef przyjął na siebie obowiązki inspektora. Teraz wszystko będzie zależało od charakteru przetwarzania danych. Jeśli więc mamy dane o charakterze wrażliwym, np. dotyczące zdrowia, to musimy mieć świadomość, że taki inspektor będzie nam potrzebny. W projekcie polskiej ustawy nie ma jednoznacznego kryterium, czy np. od 10 osób trzeba powołać, IODO, czy musi to robić np. mikrofirma. Jeśli firma informatyczna, nawet jednoosobowa, oferuje usługi bazy danych, obejmujące kilka, kilkanaście tysięcy osób, to oczywiste jest, że trzeba takiego inspektora wyznaczyć.
Czy podmiotom nieobjętym obowiązkiem też opłaci się mieć inspektora?
Myślę, że tak, bo jeśli będą mieć kontakty z ogromną ilością klientów, jak np.: sklep internetowy, to chcąc nie chcąc, algorytmy systemu będą profilować ich potrzeby, a kolejna reklama czy oferta będzie już szyta na miarę. Te podmioty też powinny podejść rozsądnie do problemu, i nawet, jeśli nie muszą to i tak warto zainwestować w inspektora. A nie sądzę, żeby były to wysokie koszty – podobnie jak z klasycznym ubezpieczeniem wielu cennych rzeczy, które posiadamy.
—rozmawiał Szymon Cydzik
