W poniedziałek prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę za naruszenie RODO – Virgin Mobile Polska ma zapłacić 1,9 mln zł. To spora kwota, która pokazuje, jak ważna jest rola inspektorów ochrony danych osobowych (IOD). Tymczasem nie wiemy nawet, ilu ich powołano w Polsce. Choć przepisy nakładają obowiązek ich zgłaszania do UODO, to ten nie prowadzi statystyki tych zawiadomień. Nie udało nam się dowiedzieć nawet w przybliżeniu, ile IOD działa w naszym kraju.
Wiadomo natomiast, jak sytuacja wygląda w większości państw EOG. Portal GDPR.pl zebrał dane z organów ochrony danych większości tych państw. Pokazują one olbrzymie dysproporcje między poszczególnymi państwami. W niektórych krajach związkowych Niemiec, w Słowacji i Estonii na jednego IOD przypada od 350 do 378 osób. W Finlandii czy Norwegii już ok. 3 tys. mieszkańców. Najwięcej inspektorów pracuje w Wielkiej Brytanii (ok. 73 tys.), Hiszpanii (ok. 50 tys.). Nieco mylące mogą być dane z Niemiec (patrz: infografika), bo organ federalny odpowiada tylko za pewne obszary, a za większość już organy poszczególnych krajów związkowych. W samym kraju Saary, który ma około miliona mieszkańców, powołano ponad 2,7 tys. IOD. Na drugim końcu jest Norwegia czy Finlandia, w których na cały kraj przypada 1,8 tys. IOD, czy Łotwa, gdzie jest ich 780.
‒ Widać bardzo różne podejście do pełnienia funkcji IOD. Mamy dużą ich „wydajność” w krajach skandynawskich i dziesięciokrotnie mniejszą w Estonii czy Słowacji. Dane te uświadamiają jednak przede wszystkim, o jak dużej grupie zawodowej mówimy – zwraca uwagę radca prawny Tomasz Osiej, prezes firmy doradczej Omni Modo.
‒ Nie jest natomiast zaskoczeniem, że większość IDO pracuje dla biznesu – dodaje.
Z zebranych danym wynika bowiem, że w większości państw przewagę stanowią inspektorzy zatrudnieni w prywatnych firmach. W Hiszpanii tylko 12 proc. pracuje dla administracji publicznej (w Wielkiej Brytanii jest to 16 proc., w Estonii 21 proc.). W dwóch państwach IOD są powoływani głównie przez administrację – w Islandii (63 proc.) i Słowenii (56 proc.).

Potrzebny rejestr?

Ilu inspektorów może pracować w Polsce? Portal GDPR.pl, uśredniając dane zebrane w innych krajach, oszacował ich liczbę na ok. 45 tys. Ostatnie oficjalne dane można podać z końca 2017 r. ‒ z prowadzonego wówczas rejestru wynikało, że ok. 22 tys. podmiotów powołało ówczesnych administratorów bezpieczeństwa informacji (ABI; zostali zastąpieni przez IOD). Jednocześnie szacowano wówczas, że RODO wymusi powołanie IOD przez ok. 77 tys. instytucji publicznych (począwszy od administracji centralnej, a na szkołach, przedszkolach czy bibliotekach skończywszy).
Obecne przepisy, ani unijne, ani krajowe nie przewidują prowadzenia rejestru, jaki istniał, zanim zaczęło obowiązywać RODO. Tymczasem zapytani przez nas eksperci jednogłośnie stwierdzają, że byłby on przydatny, nie tylko po to, by oszacować wielkość rynku.
‒ Taki jawny rejestr byłby pożyteczny z co najmniej kilku względów. Po pierwsze pozwoliłby na szybką weryfikację, czy dany podmiot wyznaczył IOD i poznanie jego danych. Choć z założenia są one jawne, to porozrzucane na wielu różnych stronach internetowych i czasem niepełne – zauważa dr hab. Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.
‒ Administratorzy mogliby dzięki niemu sprawdzać, czy podobne do nich podmioty powołały IOD, co może być wartościową wskazówką dla rynku. Umożliwiałby też swego rodzaju sprawdzenie samych IOD, np. pod kątem tego, ile podmiotów już obsługują – dodaje dr hab. Grzegorz Sibiga.
Teoretycznie każdy administrator po powołaniu IOD powinien opublikować na swej stronie internetowej jego dane kontaktowe. Tyle że nie wszyscy to robią, część poprzestaje na podaniu samego adresu e-mail (bez imienia i nazwiska inspektora). A nawet gdy pełne informacje są podawane, to w takich miejscach, że trudno je odnaleźć.
‒ Funkcjonujący wcześniej rejestr pozwalał łatwo sprawdzić, czy dany podmiot wyznaczył ABI. Dziś ma to tym większe znaczenie, że prawo przewiduje obligatoryjność wyznaczenia IOD w niektórych sytuacjach. Wydawałoby się, że administratorzy (szczególnie administracja) wywiązują się z tego obowiązku, ale pewności nie mamy, bo polski organ nie jest w stanie tego zweryfikować – zwraca uwagę Tomasz Osiej.
‒ Bezpiecznikiem miał być przepis nakazujący informowanie o IOD na stronie internetowej, ale jak pokazała praktyka, jest on nagminnie łamany, tym bardziej że nie wyposażono go w żadne sankcje. Ponadto wielu administratorów nie ma świadomości, że powinni wyznaczyć IOD. Dzięki rejestrowi bardzo szybko byśmy wiedzieli, kto takiego obowiązku nie wypełnia – dodaje.

Zróżnicowane środowisko

Brak rejestru utrudnia także weryfikację tego, dla jak wielu administratorów pracuje dany IOD. To zaś jest jedną z polskich bolączek, zwłaszcza w obsłudze administracji publicznej. RODO zobowiązuje do wyznaczenia IOD, więc formalnie każda jednostka musi jakoś spełnić ten obowiązek. Jednocześnie jednak brakuje na to pieniędzy. Przetargi wygrywają więc inspektorzy, którzy godzą się na stawki rzędu 150 zł miesięcznie. Tylko zawierając po kilkadziesiąt takich umów, są w stanie wyjść na swoje. To jednak oznacza, że ich praca jest pozorna i kończy się na przygotowaniu ogólnej polityki ochrony danych, nierzadko na bazie ściągniętego z internetu wzorcowego dokumentu. W efekcie obowiązek wyznaczenia IOD jest spełniony, ale ochrona danych w urzędzie czy gminnej placówce nie poprawia się nawet o jotę.
‒ Środowisko IOD jest mocno zróżnicowane. Jest spora grupa inspektorów, którzy profesjonalnie podchodzą do swych obowiązków, mają nie tylko wiedzę, lecz także doświadczenie, które systematycznie zwiększają, są też specjaliści, skupieni na konkretnych branżach. Niestety na drugim biegunie jest też spora grupa takich IOD, którzy nie dają gwarancji rzetelnego wykonywania swych obowiązków. RODO mocno zwiększyło zapotrzebowanie na IOD, a wiadomo, że gdy jest popyt, to pojawia się też podaż – ocenia dr hab. Grzegorz Sibiga. ©℗
Gdzie powołano najwięcej inspektorów