Wyznaczenie inspektora ochrony danych (IOD) jest – co do zasady – uprawnieniem administratora, czy z niego skorzysta czy nie, zależy od niego samego. Przepisy RODO zobowiązują do powołania IOD jedynie w ściśle określonych przypadkach, m.in. gdy dane osobowe są przetwarzane przez podmiot publiczny, ale nie tylko, jednak katalog tych sytuacji nie jest zbyt obszerny. W pozostałym zakresie, administrator nie ma takiego obowiązku i to od niego zależy czy zdecyduje się na powołanie IOD w swojej organizacji, czy też nie. Jednak podjęcie decyzji na tak, niesie ze sobą określone konsekwencje, o których wielokrotnie pisaliśmy już na portalu.
Ta okoliczność (fakultatywność powołania IOD) skłoniła nas do zastanowienia, jak w praktyce kształtują się statystyki dotyczące tej kwestii. Jako portal GDPR.pl postanowiliśmy pójść o krok dalej i skierowaliśmy do poszczególnych organów nadzorczych ds. ochrony danych osobowych w Unii Europejskiej kilka pytań dotyczących zagadnienia powoływania IOD w poszczególnych państwach członkowskich. Stanowisko w tej sprawie przesłał nam również Prezes Urzędu Ochrony Danych Osobowych (UODO).
Zastrzegamy, że opracowany przez nas materiał opiera się jedynie na odpowiedziach otrzymanych od poszczególnych regulatorów. Nie stanowi on tym samym próby kompleksowej oceny funkcjonowania zagadnienia IOD w Polsce i innych krajach UE.
Liczba zgłoszonych IOD
Analiza otrzymanych odpowiedzi wskazuje na ogromną dysproporcję w liczbie zgłoszonych IOD do organów nadzorczych w poszczególnych państwach członkowskich UE. Liderami zestawienia bez wątpienia są Wielka Brytania i Hiszpania, ze zgłoszonymi – odpowiednio – ponad 70 i niemal 60 tysiącami inspektorów. Następny w zestawieniu jest regulator ze Słowacji (sic!), który otrzymał prawie 15 tysięcy zgłoszeń, dystansując tym samym kolejne kraje w zestawieniu.
A są nimi (ze względu na liczbę zgłoszeń IOD): Niemcy – 12 tysięcy zgłoszeń, Holandia – 10,5 tysiąca zgłoszeń, Szwecja – blisko 8,5 tysiąca zgłoszeń oraz Chorwacja i Belgia – około 5,5 tysiąca zgłoszeń.
Co ciekawe, odpowiedzi na nasze pytaniu udzieliły nam także organy nadzorcze dwóch krajów związkowych Niemiec, tj. Szlezwik-Holsztyn oraz Kraj Saary. Organy te odnotowały stosunkowo wysokie wyniki pod kątem otrzymanych zgłoszeń IOD – odpowiednio – około 6,5 tysiąca oraz niecałe 4 tysiące. Takie duże liczby mogą dziwić, biorąc pod uwagę, że w Estonii i Słowenii zgłoszono po około 2,5 tysiąca IOD, zaś w Norwegii, Finlandii i Irlandii jedynie po około 1,8 tysiąca IOD.
Zestawienie zamykają regulatorzy z Łotwy i Islandii – odpowiednio 780 i 377 zgłoszeń. Pozycja tych państw na naszej liście szczególnie nie dziwi, uwzględniając ich wielkość pod względem geograficznym, a co za tym idzie z pewnością mniejszą ilość podmiotów przetwarzających dane osobowe. Nie znamy niestety danych z naszego krajowego podwórka, ponieważ UODO nie jest w stanie zweryfikować liczby zgłoszeń, a szkoda bo to bardzo interesująca materia. Szczególnie gdy weźmie się pod uwagę, że administratorów bezpieczeństwa informacji (ABI), poprzedników IOD było ponad 20 tysięcy, a zapotrzebowanie na IOD twórcy nowej ustawy o ochronie danych osobowych szacowali na ponad 60 tysięcy. Zatem jaka jest i powinna być realna liczba IOD w Polsce? Spróbujemy na to pytanie odpowiedzieć później.
Poniżej przedstawiamy graficzne podsumowanie tej kwestii:
Kto wchłania IOD? Biznes czy administracja?
Kolejną kwestią, o którą zapytaliśmy wybrane organy nadzorcze jest proporcja pomiędzy zgłoszeniami IOD w administracji publicznej oraz w sferze prywatnej (biznes). I w tym zestawieniu największym zaskoczeniem były Wielka Brytania i Hiszpania. W tych krajach można zaobserwować znaczną dysproporcję we wskazanym zakresie. W Wielkiej Brytanii stosunek pomiędzy zgłoszonymi IOD w administracji publicznej oraz w biznesie wynosi jedynie 16%, zaś w Hiszpanii 12%. Taka sytuacja wskazuje na wysoką świadomość administratorów z sektora prywatnego w tych krajach. Warto również zauważyć, że brytyjski organ nadzorczy (The Information Commissioner’s Office – ICO) wykazuje się bardzo dużą aktywnością na arenie europejskiej.
W kolejnych krajach – Irlandii i Estonii – także dominują IOD z sektora prywatnego, niemniej dysproporcje są mniejsze (odpowiednio 24% i 21 %). Przewaga IOD powołanych w administracji publicznej występuje jedynie na Islandii (63%), a równowagę pomiędzy IOD w administracją publicznej a biznesem zaobserwować można jedynie w Słowenii (56%). Islandia w zestawieniu jest w ogóle ciekawym krajem, dla nas nieco dalekim i „egzotycznym”, ale jak widać dynamicznym i bardzo odpowiedzialnym w kontekście IOD.
Pytanie skąd wynikają te dysproporcje? Mogą one mieć swoje źródło w odmiennym definiowaniu pojęcia „organów i podmiotów publicznych” w poszczególnych państwach członkowskich. Na problem ten zwróciła uwagę również Grupa Robocza Art. 29 w wytycznych dotyczących inspektorów ochrony danych, wskazując, że pojęcia te powinny zostać zdefiniowane w ustawodawstwie krajowym w związku z brakiem uregulowania tej kwestii w przepisach RODO.
Poniżej przedstawiamy graficzne podsumowanie tej kwestii:
Liczba IOD a liczba mieszkańców danego państwa
Opracowując przesłane odpowiedzi postanowiliśmy spojrzeć na nie z innego jeszcze punktu widzenia. Dokonaliśmy wyliczenia ilu (podmiotów danych) mieszkańców ma „w swojej opiece” statystyczny IOD. Taka informacja może (nie musi) sugerować na ile skutecznie realizowane są prawa jednostek wynikające z przepisów RODO.
Z naszych wyliczeń wynika, że średnio na jednego IOD przypada około 1 693 osób. Zdecydowanie w najlepszej sytuacji są mieszkańcy wybranych krajów związkowych Niemiec (Kraj Saary i Szlezwik-Holsztyn) oraz Słowacji i Estonii. Tam na jednego IOD przypada od 350 do 378 osób i jest to bardzo dobry wynik. Na drugim końcu są takie kraje jak Niemcy (organ federalny, o czym pisaliśmy w poprzednim artykule odpowiada tylko za wybrane obszary) oraz Finlandia i Norwegia, gdzie na 1-go IOD przypada około 3 000 mieszkańców.
Poniżej przedstawiamy graficzne podsumowanie tej kwestii:
A jak jest w Polsce?
Z takimi samymi pytaniami zwróciliśmy się również do Prezesa UODO. Z otrzymanej odpowiedzi wynika, że polski organ nadzorczy nie prowadzi wewnętrznych statystyk w zakresie rejestrowania inspektorów. Warto zauważyć, że zarówno przepisy RODO, jak i ustawy o ochronie danych osobowych nie nakładają obowiązku prowadzenia rejestru IOD oraz publikowania treści zgłoszeń (taki obowiązek istniał pod rządami uchylonej ustawy o ochronie danych osobowych z 1997 r. w odniesieniu do administratorów bezpieczeństwa informacji). Z drugiej strony zgłoszenia są elektroniczne a system powinien pozwolić na dokonanie podliczenia. Ale pokuśmy się o statystyczne wyliczenie.
Jeśli w Polsce mamy około 38,4 mln mieszkańców (oficjalne dane GUS na koniec 2019 r. podają że liczba ludności w Polsce wynosi 38 mln 383 tysiące) i weźmiemy pod uwagę średnią europejską (z naszych wyliczeń wynika, że jest to 117 zgłoszonych IOD na 100.000 mieszkańców) to aby osiągnąć średnią europejską powinniśmy mieć około 45 tysięcy inspektorów.
Wnioski o uprzednie konsultacje oczami organów nadzoru. Praktyka i statystyka.
Czy jest to dużo czy mało, trudno powiedzieć, bo nie znamy rzeczywistej liczby, ale biorąc pod uwagę, że plasowałoby to nas nieco poniżej Hiszpanii (59 673) a powyżej Słowacji (14 423), wydaje się to realną liczbą. Z drugiej strony świadczy to o tym, że mielibyśmy do czynienia z faktycznym wzrostem liczby IOD w stosunku do ABI o 100%. Czy taka jest skala nowych wyzwań RODO? Być może.
Podsumowanie
Polski organ nadzorczy pozytywnie ocenia działalność IOD. W jego ocenie, aktywnie i licznie korzystają oni ze szkoleń organizowanych przez UODO, dbając tym samym o podnoszenie swoich kwalifikacji zawodowych. Inspektorzy – zdaniem regulatora – chętnie konsultują z nim problemy, jakie napotykają w praktyce stosowania przepisów o ochronie danych osobowych. Ponadto, zazwyczaj rzetelnie współpracują oni z Prezesem UODO w sprawach związanych ze zgłoszonymi naruszeniami ochrony danych. „Urząd dostrzega potrzebę wzrostu świadomości w kontekście roli inspektora ochrony danych. Wielu administratorów, zarówno w sektorze publicznym, jak i prywatnym, nie uświadamia sobie, że rola inspektora ochrony danych koncentruje się na monitorowaniu przestrzegania przepisów o ochronie danych osobowych i wewnętrznych polityk oraz prawidłowego wykonywania wynikających z nich obowiązków. Rola IOD to także doradzanie i podnoszenie świadomości w zakresie tych obowiązków, nie zaś realizowanie obowiązków administratora”.