Wraz z RODO pojawił się nieco groźnie brzmiący Inspektor (znany także jako Data Protection Officer). Dzisiaj chciałbym opowiedzieć parę słów o jego roli w jednostce.
Zacznijmy od tego, że moje kompetencje to przede wszystkim szkoły, przedszkola i inne jednostki samorządu terytorialnego. Ale myślę, że pewne zawarte tu myśli można potraktować uniwersalnie.
Administrator (danych osobowych)
W starej ustawie (RODO – rewolucja czy ewolucja?) mowa była o Administratorze danych, a w treści dodawano do niego jeszcze osobowych. Stąd przez 20 lat, wypracowano w Polsce pojęcie ADO, czyli Administratora Danych Osobowych. Obecnie RODO wspomina już jedynie o administratorze, jednak zwyczajowo nadal go nazywamy ADO w mowie potocznej.
Administratorem w przypadku działalności osoby fizycznej, jest właśnie ta osoba fizyczna. Czyli ja, prowadząc przedsiębiorstwo Lobo Solitario Przemysław Adam Śmiejek, jestem ADO dla danych administrowanych w ramach działalności tego przedsiębiorstwa. Jako administrator mogę więc zachorować czy umrzeć, czyli mogę czasowo lub trwale być nieobecnym.
W przypadku szkoły czy przedszkola publicznego, wbrew obiegowej opinii, nie jest dyrektor, a sama szkoła czy przedszkole jako takie. Owszem, dyrektor otrzymuje pełnomocnictwo np. od Prezydenta Miasta i na jego podstawie wydaje decyzje w imieniu placówki i ją reprezentuje. Ale to nie dyrektor jest administratorem, a placówka. Pod nieobecność dyrektora, administrator dalej funkcjonuje, choć reprezentowany na przykład przez wicedyrektora. Dopiero likwidacja jednostki kończy działanie administratora.
Służebna rola administratora
W dyskusji o ochronie danych, należy pamiętać, że administrator ma służebną rolę wobec osób fizycznych, których dane osobowe przetwarza. I to nie te osoby fizyczne są dla administratora, ale administrator dla nich. Przetwarzanie danych w interesie administratora może się odbywać wyłącznie na określonych warunkach, a osoba fizyczna ma dużo praw z tego wynikających.
Równowaga ta jest nieco zaburzona w przypadku instytucji publicznych, które w zasadzie większość czynności przetwarzania wykonują na podstawie artykułu 6 pkt. 1 lit. c (wypełnianie obowiązku prawnego) lub artykułu 6 pkt. 1 lit. e (wykonanie zadania w interesie publicznym), więc występują dużo bardziej z pozycji siły, niż prywatne przedsiębiorstwa, ale jednak nadal ta służebna rola (choć wobec prawa i społeczeństwa) się tu rysuje.
Inspektor
Przed 25. maja 2018 r. inspektor nie występował, mieliśmy natomiast do czynienia z ABI, czyli Administratorem Bezpieczeństwa Informacji. Dobrze, że nazwa została zmieniona, bo raz, że rola Inspektora ochrony danych (IOD) podobna jest nieco do roli Inspektora BHP, a poza tym większość znanych mi ludzi myliła bardzo do siebie podobne pojęcia Administratora Danych Osobowych (ADO), Administratora Bezpieczeństwa Informacji (ABI) i Administratora Systemów Informatycznych (ASI).
Inspektor, w przeciwieństwie do dobrowolnego ABI, musi zostać wyznaczony w instytucjach publicznych oraz w części organizacji prywatnych. Stąd 25. maja 2018 r. nagle pojawiło się ogromne zapotrzebowanie na to stanowisko, bo nawet maleńkie przedszkole, z 4 nauczycielkami i dyrektorem, musi tegoż inspektora wyznaczyć.
Zadania inspektora
Informowanie, doradzanie i szkolenia
Pierwszą grupą zadań, jakie realizuje inspektor, jest informowanie, doradzanie i szkolenia. Powinien więc nie tylko dobrze orientować się w obecnym stanie prawnym, ale także mieć odpowiednią wiedzę techniczną (zwłaszcza w zakresie informatycznej ochrony danych), aby jego rady nie były oderwane od rzeczywistości. Skoro ma zajmować się szkoleniem i informowaniem, powinien także być osobą kontaktową i posługującą się językiem dostosowanym do rodzaju odbiorcy.
Powyższy akapit brzmi nieco jak kopiuj-wklej z ogłoszenia o pracę, ale taka jest rzeczywistość i nie mogę nie dodać jeszcze, że musi mieć chęć do uczenia się i bycia na bieżąco z różnymi, nierzadko zmieniającymi się, interpretacjami Urzędu Ochrony Danych, Ministerstwa Cyfryzacji, prawników i innych inspektorów.
Audytowanie i monitorowanie
Następnie inspektor wykonuje audytowanie i monitorowanie. I tu chciałbym Drogich Czytelników, aby nie traktowali tego jako kontroli, przed którą staramy się jak najlepiej wypaść i jak najwięcej niedociągnięć ukryć. Inspektor nie będzie Państwa karał (nie ma takiego prawa), karać nie powinien także administrator (o ile faktycznie nie trzymają Państwo trupa w szafie).
Celem audytu nie jest znalezienie uchybień i ukaranie winnych ich powstania, ale znalezienie uchybień i ich naprawienie. Ba! Poaudytowe zalecenia inspektora wcale nie muszą dotyczyć uchybień, a mogą wskazać po prostu potencjał do doskonalenia i miejsca, w których ochrona, choć dobrze działa, może działać lepiej.
Punkt kontaktowy
Inspektor stanowi punkt kontaktowy dla wszystkich osób, których dane są lub mogą być przetwarzane (art. 38 p.4 RODO). Tak więc należy do niego odsyłać wszystkie osoby, które mają wątpliwości lub pytania z zakresu ochrony danych w jednostce. To dlatego dane kontaktowe (e-mail lub telefon) oraz imię i nazwisko inspektora (o czym wiele firm i organizacji zapomina) mają figurować na stronie internetowej. To dlatego dane kontaktowe inspektora pojawiają się na tzw. klauzuli informacyjnej.
Nie jest łatwo kontaktować się z wszystkimi wokoło, dlatego inspektorzy często chowają się za adresem e-mail, który pozwala na spokojne przemyślenie tematu i nie szafują bezpośrednim telefonem do siebie (ale i nie jest to konieczne). Gorzej jeżeli (a tak mi się zdarzało), inspektor w ogóle nie reaguje na wysyłane do niego listy.
Do inspektora mogą także zgłaszać się pracownicy Urzędu Ochrony Danych, stąd po jego wyznaczeniu konieczne jest powiadomienie Urzędu poprzez odpowiedni formularz elektroniczny.
Cień w każdej sprawie
Inspektor ma być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 p.1 RODO). To obowiązek nie dla inspektora, ale dla wszystkich pracowników i współpracowników. Bez poprawnego włączania inspektora we wszelkie sprawy, jak można korzystać z jego dorady i wiedzy? Jak bez tego może on monitorować procesy przetwarzania zachodzące w organizacji? Jako człowiek wolałbym aby te sprawy mnie omijały i nie dokładały mi obowiązków, ale jako inspektor muszę Państwa namawiać do jak najaktywniejszego włączania inspektora we wszystko, bo to inspektorski obowiązek być przy każdej sprawie.
Cień inspektora, jak na obrazku obok, powinien pojawiać się zawsze, gdy mamy do czynienia z danymi osobowymi.
Podsumowanie
Zadania inspektora są głównie zadaniami doradczymi i edukacyjnymi. Nie podpisuje on żadnych upoważnień, nie przydziela uprawnień, nie podejmuje też decyzji w zakresie celów i środków przetwarzania. Oczywiście podejmuje decyzje co do sposobu swojego działania i w tym zakresie administrator nie tylko nie powinien, ale wręcz nie może w żaden sposób wywierać presji na inspektorze. Ale efektem działania inspektora są jedynie (a może aż) wiedza, wskazówki, porady i sugestie. Ostateczne zdanie ma zawsze administrator.
Z drugiej strony – lepiej, aby inspektor to był ktoś, kto ma ugruntowane poglądy i właściwie doradzi, nawet wbrew dobremu samopoczuciu administratora. Jarząbek Wacław, trener drugiej klasy nie jest właściwym kandydatem na inspektora.