Słabe przygotowanie merytoryczne osób będących inspektorami ochrony danych osobowych
W polskich realiach inspektorem ochrony danych osobowych może praktycznie zostać każdy, nie mając tak naprawdę kompetencji w tym względzie. Częstokroć też o wyborze decyduje najniższa cena.
Jak obecnie wygląda sytuacja z ustanawianiem inspektora ochrony danych osobowych (IODO) w przedsiębiorstwach?
Niestety w rzeczywistości często jest tak, iż IODO zostają osoby, które wybierane są na podstawie ceny usługi i obsługując jednocześnie kilkuset administratorów, nie są w stanie zapewnić właściwego poziomu bezpieczeństwa. Skala tego zjawiska jest dość pokaźna.
Już w 2017 roku (czyli jeszcze przed uchwaleniem przepisów o RODO), zdaniem doktora Macieja Kaweckiego samych administratorów publicznych było około 68 tysięcy, a każdy z nich musi przecież ustanowić IODO. Tym samym osób rzeczywiście przygotowanych merytorycznie do pełnienia tej funkcji jest mało.
Wynika to choćby z tego, iż jak twierdzi Jarosław Feliński, prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych (SIODO), osoby kompetentne kierują się etyką i kulturą ochrony danych osobowych, która nie pozwala im na „łapanie” wszystkich zleceń. Mają bowiem pełną świadomość, iż nie byliby wówczas w stanie właściwie o tę ochronę zadbać. Stąd też dziś IODO zostają osoby o niekoniecznie wystarczających kwalifikacjach.
Czy zatem poziom kompetencji osób zostających IODO nie powinien podlegać weryfikacji?
Otóż zdaniem Jarosława Felińskiego tak właśnie powinno być. Niestety jednak polska ustawa o ochronie danych osobowych nie określa w żadnym wypadku kwalifikacji inspektora, pozostawiając tę kwestię w gestii administratora danych. A ten z kolei zazwyczaj nie wie jakimi kryteriami powinien kierować się przy dokonywaniu wyboru.
I wówczas częstokroć jedynym kryterium wyboru pozostaje cena, co przekłada się na to, iż IODO zostaje osoba nie posiadająca żadnego przygotowania. Samym systemem przygotowania i doskonalenia osób zostających IODO kieruje wolny rynek, co zasadniczo jest dobre, jednakże nikt nie kontroluje jakości tego kształcenia.
Ponadto, wyznaczony IODO jest zgłaszany prezesowi Urzędu Ochrony Danych Osobowych (UODO) i tam również nie ma żadnej weryfikacji. Jest to tylko wypełnienie statystycznego obowiązku. UODO nie weryfikuje tych zgłoszeń pod kątem realności wykonywania zadań ochrony danych, nawet w przypadku, gdy dany inspektor jest zgłaszany dla kilkuset przedsiębiorców.
Czy zatem właśnie UODO nie powinien weryfikować takiego stanu rzeczy?
Zdaniem Jarosława Felińskiego trudno jednoznacznie wyrokować czy akurat prezes UODO winien to czynić, tym niemniej wydaje się, iż ktoś powinien. Możliwości jest wiele i warto w tym miejscu zobaczyć, jak inne kraje poradziły sobie z tym dylematem.
Przykładowo we Francji, by zostać IODO należy przejść 35-godzinne szkolenie zakończone egzaminem, które uprawnia do tego, by zostać IODO podstawowego szczebla na okres 3 lat. Gdyby z kolei chcieć zostać inspektorem o szczebel wyżej, wymagane jest przejście kursu państwowego, trwającego 90 godzin. I we Francji, podobnie jak w Polsce, inspektorem może zostać osoba „z ulicy”. Tyle tylko, iż administrator ma wiedzę i pewność, iż ktoś, kto przeszedł odpowiednie szkolenie i zdał egzamin, ma odpowiednie przygotowanie do pełnienia tej funkcji.
Tymczasem w Polsce niestety, taki administrator musi bazować na intuicji i własnym przekonaniu. Nawet jeśli bowiem dany kandydat na IODO przedstawi mu zaświadczenia o ukończeniu kursów, to do końca nie wiadomo co to były za kursy i czy rzeczywiście cokolwiek dały. Zdaniem Jarosława Felińskiego nie można w ten sposób podchodzić do studiów podyplomowych, które rzeczywiście przygotowują do pełnienia funkcji IODO. Jednakże osób, które je ukończyły, jest relatywnie mało.
A czy są jeszcze przykłady innych państw, gdzie sprawdza się przygotowanie kandydatów do pełnienia funkcji IODO?
Jak najbardziej tak, choćby na Słowacji. By zostać inspektorem w tym kraju trzeba zdać egzamin państwowy. Sam zakres wymaganej wiedzy jest oczywiście jasno określony i do egzaminu przystąpić może każdy.
Zatem jak widać problem ten został już w Europie dostrzeżony i warto by było, gdyby i Polska się mu przyjrzała. Zdaniem Jarosława Felińskiego należałoby rozpocząć dyskusję na ten temat, by wypracować jakieś minimalne kryteria weryfikacyjne osób, które zajmują się ochroną danych osobowych. Jest to konieczne, gdyż dziś każdy może takim inspektorem zostać, choć nie każdy powinien.
Czy zatem powinno się dążyć do stworzenia zamkniętej grupy zawodowej?
Zdaniem Jarosława Felińskiego to najlepszy pomysł. Powinna powstać Izba IODO, na wzór Izby Lekarskiej czy Izby Radców Prawnych. Jej rolą byłoby choćby ustalenie pewnych minimalnych standardów wykonywania zawodu inspektora. Ponadto mogłaby ona zainaugurować dyskusję o kulturze ochrony danych osobowych, jak i pilnować przestrzegania pewnych ustalonych zasad etycznych.
Tego typu działania miałyby na celu podniesienie rangi IODO w oczach administratorów i wyraźne wzmocnienie statusu inspektorów.
Z uwagi na to, iż to przyszłość, to czym dziś powinni kierować się administratorzy danych, dokonując wyboru IODO?
Zapewne pierwszym zagadnieniem winno być ustalenie dla ilu i jakich podmiotów dany inspektor już pracuje. Jeżeli bowiem są to zróżnicowane organizacje i jest ich bardzo dużo, to może powodować, iż nie sprosta on potrzebie właściwej ochrony danych. Miesiąc ma bowiem określoną liczbę dni pracy, a praca dla przykładowo kilkudziesięciu podmiotów na terenie kraju, bez bezpośredniego kontaktu z personelem trudno uznać za odpowiedzialne wykonywanie zadań.
Ponadto administrator powinien mieć też świadomość, iż IODO musi dawać gwarancję bezpieczeństwa opartego na wiedzy. Mieszczą się w tym kompetencje, doświadczenie, jak i też osobiste predyspozycje oraz odpowiedzialność za podejmowane działania.
Niestety nierzadkim przypadkiem jest dezercja IODO. W sytuacji, gdy pojawiają się pierwsze problemy i administratorowi należy zaoferować coś ponad standardowe dokumenty, inspektor potrafi bowiem rozwiązać umowę pod byle pretekstem.
Podsumowując, wydaje się, iż ochrona danych osobowych ma w polskich realiach pewną lukę, którą jest jakość osób będących IODO. Brak wymagań, brak weryfikacji i kryteriów oceny przyczynił się do tego, iż inspektorami są nader często osoby nie będące odpowiednio przygotowane do pełnienia takiej funkcji. Zatem jest to zapewne właściwy moment, by rozpocząć dyskusje na temat zmian w tym zakresie, by nie tylko podnieść rangę zawodu, ale nade wszystko zwiększyć bezpieczeństwo ochrony danych osobowych.
Ekspert Łukasz swoje wieloletnie doświadczenie na rynku pracy postanowił przekazać także na naszym blogu. Jego artykuły dotyczą aktualnych zmian gospodarczych a także tych na rynku pracy. Z chęcia udzieli porad pracodawcą, którzy prężnie rozwijają swoje firmy.