W zasadzie nie ma szkolenia, na którym nie pojawia się problem dokładania inspektorowi nowych obowiązków lub traktowania go jako 10w1, czyli człowieka od wszystkiego. Zresztą znam to z własnego podwórka, bo kiedyś mi też tak dokładano obowiązków. Powiem coś, czego wiele osób nie chce usłyszeć, ale prawda jest taka, że niestety w pewnym stopniu jest to wina naszego środowiska, naszych charakterów lub niewiedzy.
Inspiracją do tego wpisu była dyskusja z jednego z forum internetowego, dotycząca rażąco niskich stawek, jakie IOD proponują podmiotom publicznym za swoje usługi. Komentujący wskazywali, że w wielu jednostkach, gdzie kryterium wyboru jest tylko i wyłącznie cena, jest zewnętrzny inspektor, który realizuje swoje zadania za jedyne…. 150 zł miesięcznie. Zadzwoniłam do znajomej, która współpracuje z urzędami i szkołami i potwierdziła, że w wielu gminach są takie stawki za obsługę urzędów, szkół, bibliotek, ośrodków pomocy społecznej. Ile godzin pracy może IOD poświęcić administratorowi za 150 zł miesięcznie? I w drugą stronę: administrator płacąc IOD takie stawki dochodzi do wniosku, że to jest „żadna robota”, że „IOD po prostu jest, a pieniądze dostaje za zgłoszenie go do UODO”. Szczerze mówiąc ja też tak bym pomyślała. Tym bardziej, że w praktyce często faktycznie za niskimi stawkami kryje się to, że taki IOD jest tylko na „życzenie”, a za każde jego działanie trzeba dodatkowo płacić, więc nic nie jest z nim konsultowane, nie jest włączany w tematy ochrony danych osobowych i nie monitoruje zgodności przetwarzania z RODO. Po jakimś czasie administrator dochodzi do wniosku, że nawet ta niewielka kwota to za dużo „za nic”, rezygnuje z usług IOD i dokłada obowiązki inspektora jednemu z pracowników. Najczęściej jest to osoba, która na początku nie ma pojęcia o ochronie danych osobowych, a po kilku szkoleniach, zaczyna się stresować, że nie da sobie z tym rady. Kiedy sygnalizuje administratorowi, że to nie jest takie proste, że obowiązków jest dużo, a w zasadzie to jej wyznaczenie powoduje konflikt interesów, ten nic nie rozumie, przecież poprzedni IOD brał 150 zł i nic nie robił. W czym problem?
Ok, ja też tak miałam. Nagle zostałam ABI (obecny IOD), gdzie miałam masę innych obowiązków, a to miało być przy okazji. Nim więcej uczyłam się o ochronie danych osobowych, tym bardziej przerażała mnie liczba obowiązków. I tym bardziej okazywało się to nie do pogdzenia z moimi etatowymi zadaniami. Ówczesne przepisy o ochronie danych osobowych nie dawały ABI w zasadzie żadnych argumentów, do zapewnienia mu odpowiednich narzędzi i czasu pracy, więc było to bardzo, bardzo frustrujące.
Wracając do głównego wątku: ile obowiązków można dołożyć IOD? Szczerze mówiąc niewiele albo wcale. Przepisy są tak skonstruowane, że bardzo ciężko jest łączyć funkcję IOD z innymi zadaniami. Poza tym wbrew pozorom obowiązków jest naprawdę dużo. Jeśli jakiś inspektor mówi mi, że nie ma co robić „bo organizacja dobrze funkcjonuje”, przecieram ze zdumieniem oczy. Ok, najwięcej pracy jest na początku, gdy trzeba posprzątać stajnię Augiasza. Jednak, gdy uda nam się dojść do względnego porządku i stosowania przyjętych procedur (daję na to klientom zazwyczaj około 2 lat), wchodzimy w tryb ciągłe szkolenia, ciągłe migawki, ciągłe audyty. U klientów, gdzie mam wrażenie, że udało się „ogarąć temat RODO” i ograniczyć liczbę naruszeń, mamy największe zespoły zajmujące się ochroną danych osobowych. Pozornie, nie ma tam nic do roboty, ale w praktyce, aby utrzymać ten stan, robimy ciągle szkolenia. Ponieważ czasu jest więcej, robimy dużo szkoleń dla poszczególnych działów. Ponieważ czasu jest więcej przygotowujemy regularne komunikacje do pracowników, przypominające o zasadach ochrony danych lub przestrzegające przed aktuanymi atakami. A w międzyczasie realizujemy audyty, sprawdzamy realizowanie planów ciągłości działania, weryfikujemy umowy powierzenia, rejestry. Jest naprawdę bardzo dużo pracy, której nie widać, a zajmuje czas. W związku z tym regularnie odbywam rozmowy z moimi klientami, którym wydaje się, że „nic się nie dzieje” i pora obniżyć wynagrodzenie lub zmniejszyć zakres współpracy lub dołożyć osobom od RODO dodatkowych obowiązków. Serio, powtarza się to kilka razy w roku. I za każdym razem muszę tłumaczyć, jak dużo pracy wykonujemy i ile czasu nam to zajmuje. Zresztą często takie rozmowy kończą się nie obniżeniem, a podwyższeniem wynagrodzenia, więc nie ma tego złego, co na dobre nie wyjdzie. 🙂
Po co o tym wszystkim piszę? Sądzę, że u Ciebie może być tak samo. Nie widać pracy, którą wykonujesz lub gorzej, nie masz czasu na wykonywanie obowiązków inspektora. Musisz o tym rozmawiać ze swoim kierownictwem. I pamiętaj – jeżeli Ty sygnalizujesz administratorowi, że nie masz czasu, wiedzy, zasobów na realizowanie obowiązków IOD, dochodzi do konfliktu interesów, o którym mowa w art. 38 RODO, zatem Twój administrator narusza przepisy RODO. To może mieć ogromne znaczenie, jeżeli dojdzie do naruszenia u administratora – UODO może uznać, że nie dopełnił swoich obowiązków związanych z wyznaczeniem IOD oraz zapewnieniem mu wsparcia.
W organizacjach, które przetwarzają dużo danych, inspektor nie powinien w ogóle wykonywać innych obowiązków, niż te związane z ochroną danych. Patrząc na przesłanki wyznaczenia IOD wynikające z art. 37 RODO, wydaje się to oczywiste: inspektora wyznacza podmiot publiczny (w zasadzie nie zajmuje się niczym innym, niż przetwarzanie) lub taki, który przetwarza dane na dużą skalę. Czyli ochrona danych jest w takiej organizacji istotnym zagadnieniem. Jeśli inspektor zajmuje się jeszcze BHP, administracją, kadrami, księgowością, sekretariatem, itd., oznacza to, że administrator w ogóle nie dba o ochronę danych osobowych. Dokładnie dodatkowych obowiązków IOD, stanowi po prostu naruszenie przepisów art. 38 RODO. I jest to ważny argument do rozmowy z administratorem. Bardzo pomocne może być także dokonanie formalnej analizy możliwości realizowania dodatkowych obowiązków przez IOD, w oparciu o wytyczne Prezesa UODO (https://uodo.gov.pl/pl/223/713):
a) bezpośrednia podległość IOD najwyższemu kierownictwu – nawet w zakresie dodatkowych obowiązków nie może być innego przełożonego;
b) wspieranie IOD w wypełnianiu jego zadań– zapewnienie czasu na wykonywanie zadań, zasobów technicznych i ludzkich, traktowanie IOD jak konsultanta i liczenie się z jego zdaniem;
c) zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych – na etapie planowania tych działań, z możliwością wyrażenia opinii i wydania zaleceń;
d) zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań – w szczególności liczenie się z niewygodną prawdą, jaką IOD przekazuje;
e) unikanie konfliktu interesów IOD – inspektor nie może być jednocześnie na kierowniczym stanowisku, ani wykonywać zadań silnie związanych z przetwarzaniem danych, gdzie będzie brał istotny udział w procesach przetwarzania, zapewnianie mu czasu i zasobów do realizowania zadań;
f) zakaz odwoływania i karania IOD, – szczególnie, gdy administrator nie zgadza się ze zdaniem IOD. W przypadku realizowania dodatkowych obowiązków, mogą one być pretekstem dla administratora, do wywoływania nacisku na IOD, którego będzie się karało za tamte zadania, aby wywołać nacisk na sposób wykonywania zadań IOD;
g) obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD – dotyczy spraw związanych z przetwarzaniem danych u administratora, ale nie może być rozciągany na ustawowe obowiązki inspektora, szczególnie gdy chodzi o kontakt z organem nadzorczym, sądem lub organami ścigania.
Uważam, że przekazanie administratorowi oficjalnej notatki z analizą niezależności inspektora oraz elementami, które w ocenie IOD prowadzą do konfliktu interesów jest bardzo dobrą praktyką. Inspektor nie może bać sie swojego administratora oraz rozmów o zakresie wykonywach przez siebie zadań. Musi niestety też mieć odwagę, aby walczyć o swoje. Jak napisałam wcześniej, wiem co to znaczy, bo ja sama regularnie odbywam rozmowy z moimi klientami o tym, że ten „IOD nic nie robi”, po których kompletnie zmieniają zdanie. Życzę Tobie, abyś także znalazł w sobie odwagę i argumenty, aby walczyć o swoją pozycję.
