Wyznaczenie inspektora ochrony danych – dla jednych podmiotów to obowiązek, dla innych – rozwiązanie opcjonalne. Pojawia się pytanie – czy musi to być kosztowny obowiązek. Warto przekonać się, jak kształtują się wynagrodzenia inspektorów i jaki jest przy tym nakład jego pracy oraz jakie powinien spełniać wymagania.
Kto musi wyznaczyć IOD?
Zgodnie z rozporządzeniem obowiązkiem wielu administratorów i podmiotów przetwarzających jest powołanie IOD. Taki obowiązek występuje w przypadku wszystkich organów i podmiotów publicznych, niezależnie od zakresu przetwarzanych danych. Co rozumieć przez podmioty publiczne, wyjaśnia nowa ustawa o ochronie danych osobowych (z 10 maja 2018 r.), wskazując między innymi jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 3, 5, 6 i 14 ustawy z 27 sierpnia 2009 r. o finansach publicznych. Do wyznaczenia inspektora są zobowiązane również podmioty, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby, czyli także profilują, zwłaszcza przy działalności marketingowej, sprzedażowej. Nie jest dokładnie określone i zdefiniowane pojęcie dużej skali, ale większość firm marketingu bezpośredniego, banki, firmy ubezpieczeniowe, dostawcy usług telefonicznych lub internetowych, przetwarzanie związane z geolokalizacją, spersonalizowaną reklamą, będzie zobowiązana wyznaczyć IOD. W podmiotach, których działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, czyli na przykład i między innymi dotyczących stanu zdrowia, trzeba będzie obowiązkowo wyznaczyć IOD.
Dlaczego warto powołać IOD?
Nawet jeżeli RODO bezpośrednio nie nakłada obowiązku powołania IOD, niejednokrotnie korzystne dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Firm i instytucji, które muszą lub chcą powołać Inspektora, w rozumieniu art. 37 RODO, są dziesiątki, a raczej i setki tysięcy. Inspektor ochrony danych to więc bardzo pożądany i coraz bardziej intratny zawód. Jest on też już wpisany do rejestrów i baz Ministerstwa Rodziny, Pracy i Polityki Społecznej, w klasyfikacji zawodów i specjalności pod numerem 242111. Tam też opisane są, nieco bardziej szczegółowo niż w RODO, jego główne zadania i odpowiedzialność. Podkreśla się przede wszystkim:
- wdrożenie polityki bezpieczeństwa danych osobowych,
- nadzór nad procesem przestrzegania przez pracowników obowiązujących procedur w tym zakresie,
- odpowiedzialność (w sensie organizacyjnym) za zarządzanie procesem przetwarzania chronionych danych w organizacji.
Było to też głównym zadaniem administratora bezpieczeństwa informacji. Obecni IOD jak najbardziej powinni czerpać z doświadczeń i dobrych praktyk wypracowanych przez ABI. Często przecież są to te same osoby, które w wielu organizacjach kontynuują już wcześniej prowadzony nadzór. Jedną z ważniejszych też kompetencji i kwalifikacji, jakie powinien brać pod uwagę administrator chcący zatrudnić zewnętrznego Inspektora, mogłyby i powinny być wcześniejsze doświadczenia takiej osoby jako ABI. RODO dość ogólnie odnosi się do poziomu wiedzy fachowej i kwalifikacji zawodowych IOD. To zadaniem administratora (ADO) jest zweryfikowanie, czy kandydat godnie i rzetelnie będzie w imieniu organizacji sprawować nadzór nad ochroną danych, reprezentować ją przed organem nadzorczym, a często też przed osobami, których dane dotyczą, zwłaszcza mającymi różnego rodzaju pretensje czy pytania w związku z przetwarzaniem ich danych osobowych.
Jakie kompetencje powinien mieć IOD
Przetwarzanie danych zgodne z rozporządzeniem jest obowiązkiem administratora lub podmiotu przetwarzającego. Jeżeli w tym celu ADO chce lub musi wyznaczyć Inspektora, aby dyrektor, prezes (zarząd), właściciel (osoby reprezentujące administratora) nie musiał się martwić wdrożeniem i osobistym nadzorem stosowania przepisów ochrony danych osobowych, zwłaszcza RODO, to powinna być to osoba o wystarczającym, a właściwie dużym doświadczeniu w praktycznym stosowaniu prawa ochrony danych. Należałoby oczekiwać i spodziewać się po takiej osobie adekwatnej wiedzy prawniczej, zwłaszcza dotyczącej sektora, w którym działa administrator. Wiedza i umiejętności informatyczne także są nieodzowne. Dobrymi kandydatami mogą być specjaliści ds. zarządzania systemami bezpieczeństwa informacji, szacowania ryzyka, zwłaszcza audytorzy normy ISO/IEC 27001. Kandydat na to stanowisko nie może być osobą przypadkową, „wziętą z ulicy” czy w trybie bardzo przyspieszonym przekwalifikowaną z innej funkcji.
Inspektor musi spełniać określone wymagania i posiadać pewien zestaw kompetencji twardych i miękkich. Powinno być wymagane doświadczenie w zarządzaniu i ochronie danych osobowych, minimum dwu, trzyletnie, co pozwoli na praktyczne, rozsądne, ze zrozumieniem interpretowanie RODO i wdrażanie przepisów ochrony danych, bez potęgowania absurdów i niedorzeczności tak często ostatnio mających miejsce. Mogą więc nie dziwić tytuły wielu gazet, publikacji, artykułów typu: „Zarabiają 17 tys. złotych miesięcznie, a chętnych do pracy brak. Nowy, bardzo potrzebny zawód – IOD”, czy „Specjalista od RODO poszukiwany od zaraz. W tym zawodzie możesz dostać nawet 38 tys. zł pensji”. Szczerze mówiąc, osobiście, od bardzo wielu już lat pracując w tej dziedzinie, nie spotkałem się z propozycjami tego typu wynagrodzenia oferowanego przez jedną, indywidualną firmę. Owszem, wysokiej klasy specjalista informatyk, znający się również na przepisach prawa z szerokiego dość zakresu czy radca prawny znający się jednocześnie na bezpieczeństwie informatycznym może i byłby w stanie negocjować takie stawki, zwłaszcza w dużych, skomplikowanych organizacyjnie firmach, korporacjach.
Grupa podmiotów, kilka organizacji może wyznaczyć jednego, wspólnego inspektora ochrony danych. Może dlatego słyszymy o takich kwotach wynagrodzenia, ponieważ jeżeli kilku czy kilkunastu administratorów opłaca jedną osobę, to wynagrodzenie jest zwielokrotnione i często wysokie. Trzeba jednak pamiętać i uważać, aby każda jednostka miała łatwy kontakt ze swoim inspektorem i aby ten rzetelnie wykonywał swoje niełatwe zadania w każdej jednostce. Uwaga więc na swego rodzaju hurtowników, zarówno w postaci osób, jak i firm, z których są delegowane osoby, którzy są wyznaczonymi Inspektorami w dziesiątkach, a zdarzało się, że i w setkach różnych instytucji, rozsianych często po całym kraju. To skutkuje iluzorycznym, teoretycznym, fikcyjnym wręcz nadzorem. Wielu administratorów takich Inspektorów nie widzi w jednostce całymi miesiącami, a wręcz w ogóle.
Od czego zależy wynagrodzenie IOD?
Jeżeli więc płacić, to za praktyczne, rozsądne usługi dotyczące dostosowania firmy do RODO i nadzoru w tym zakresie. Stawki są bardzo różne. Wahają się od kilkuset złotych do kilku, a jak słyszę nawet do kilkunastu tysięcy złotych miesięcznie. Myślę, że skrajności w każdą stronę nie powinny być brane pod uwagę. Stawka zależy od:
- poziomu skomplikowania organizacji,
- kategorii przetwarzanych danych,
- zagrożeń i ryzyk związanych z przetwarzaniem.
Oczywiście zależy to również od możliwości finansowych administratora. W niekomfortowej sytuacji są więc instytucje publiczne, które muszą wyznaczyć IOD, które często przetwarzają dane szczególnie chronione, tzw. wrażliwe, lecz nie mają zbyt wysokich możliwości finansowych, sugerują się najniższą ceną, przez co może tracić jakość świadczonych im usług, również przez inspektorów. Warto wtedy rozważyć zatrudnienie jednego, wspólnego specjalisty, dzięki czemu suma płatności będących do poniesienia dla jednostki publicznej zapewni godziwe wynagrodzenie dla inspektora, który chętnie i rzetelnie zajmie się wtedy wszystkimi organizacjami, w których pełni funkcję. Może być to jednak trudne, kiedy ––– przypuśćmy – inspektor jest z Przemyśla, a jednostki z Koszalina. Jednak przy obecnej technice może i takie scenariusze mają prawo skutecznie funkcjonować.
Jednakże art. 38 RODO stanowi, że administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Niezwykle istotne jest, by IOD, a jeśli jest powołany – również jego zespół, był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z ochroną danych. Przy ocenie skutków dla ochrony danych RODO wprost wskazuje na zaangażowanie IOD i stanowi, że administrator powinien konsultować się z inspektorem przy dokonywaniu takiej oceny. W wytycznych Grupy Roboczej Art. 29 dotyczących wyznaczania DPO/IOD wprost czytamy, że w związku z tym organizacja powinna zapewnić między innymi udział IOD w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji, uczestnictwo IOD przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych. Niezbędne informacje powinny zostać udostępnione IOD odpowiednio wcześniej, umożliwiając Inspektorowi zajęcie stanowiska. Oprócz kontaktów zdalnych nieodzowne więc będą osobiste wizyty inspektora u administratora. Ponadto dane kontaktowe inspektora, a zgodnie z polską, nową ustawą o ochronie danych osobowych, dane dotyczące jego imienia, nazwiska oraz służbowe dane kontaktowe w postaci adresu e-mail lub numeru telefonu, muszą być dostępne dla wszystkich osób, których dane są przetwarzane u administratora. Takie osoby, na przykład klienci, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO. Zdarzają się naprawdę bardzo różne pretensje. Nie dziwmy się więc stosunkowo wysokim stawkom dla IOD. Nie jest to łatwa praca. Ci Inspektorzy, którzy rzetelnie ją wykonują uczciwie i z mozołem zarabiają na swoje wynagrodzenie.