vulcan

Razem dla lepszej oświaty. Blog

Inspektor Ochrony Danych w szkole - więcej pytań czy odpowiedzi?

xRadosław Wiktorski, 2018-12-13

Minęło już ponad pół roku od momentu, kiedy RODO zaczęło być stosowane, i cztery miesiące od terminu, kiedy wszystkie jednostki publiczne wyznaczyły (a w każdym razie miały taki obowiązek) osobę, która pełni funkcję Inspektora Ochrony Danych. Czy w zakresie IOD w szkole wszystko jest już jasne? Dziś zapraszam Państwa na kilka refleksji na ten temat – z góry uprzedzając, że w tym artykule stawiam więcej pytań, niż udzielam odpowiedzi.

Zapewne uprawnionym stwierdzeniem jest, że każdy jakoś sobie poradził. Warto tylko mieć świadomość, że owo „jakoś” ma lub może mieć określone skutki. Spójrzmy najpierw, jakie sytuacje możemy spotkać w kraju. Pierwszym i podstawowym podziałem, z którym mamy do czynienia, jest kwestia decyzyjności: zagadnienie zapewnienia i wyboru Inspektora Ochrony Danych mogło zostać pozostawione wyłącznie w gestii dyrektora szkoły albo przejęte przez samorząd.

Model współpracy z IOD

W przypadku gdy IOD jest wybierany i wyznaczany indywidualnie przez dyrektora szkoły, wątpliwości powstaje mniej. Przepis art. 38 ust. 1 RODO jest realizowany wprost: Inspektora Ochrony Danych wyznacza administrator danych, który realizuje wszystkie pozostałe wymogi rozporządzenia, w tym szczególnie bierze stosowną odpowiedzialność. Nie oznacza to oczywiście, że ten model jest całkowicie klarowny i łatwy we wdrożeniu, jednak częściej będą to zagadnienia z kategorii trudności lub wyzwania organizacyjnego, a nieco rzadziej – wątpliwości formalnych.

Pierwszym pytaniem, na które każdy dyrektor musi odpowiedzieć, jest: kto będzie pełnił tę funkcję? Czy będzie to ktoś spośród aktualnego personelu placówki, czy z zewnątrz? Jeżeli osoba spośród aktualnych pracowników, to w jaki sposób formalnie uregulować te zadania? Jaką umowę zawrzeć? Pomijam już w tych rozważaniach kwestię budżetową – oczywiste jest, że aby móc komuś zapłacić za pracę, trzeba mieć zabezpieczone środki na ten cel. Wracając zaś do formalnego uregulowania współpracy: należy mieć w pamięci, że przepisy oświatowe istotnie ograniczają w tym przypadku swobodę dyrektora. O ile zawarcie dodatkowej umowy (np. zlecenia) bądź rozszerzenie etatu w przypadku pracownika administracyjnego szkoły nie stanowi – z formalnego punktu widzenia – kłopotu, o tyle powierzenie funkcji Inspektora Ochrony Danych nauczycielowi (i zapłacenie mu za tę pracę) to już pewne wyzwanie, choć nie jest niemożliwe.

Formalna strona zatrudnienia Inspektora Ochrony Danych w szkole w sytuacji korzystania z osoby z zewnątrz – w przeciwieństwie do opisanego wyżej przypadku własnego pracownika – nie stanowi problemu. W takich okolicznościach będzie to umowa cywilnoprawna, zapewne o charakterze zlecenia, zawarta adekwatnie do formy współpracy, w tym szczególnie charakteru i formy prawnej zleceniobiorcy (osoba fizyczna nieprowadząca działalności gospodarczej, osoba fizyczna prowadząca działalność gospodarczą, podmiot gospodarczy niebędący osobą fizyczną). Jednak w tym przypadku pojawią się inne kwestie istotne dla tego typu współpracy, a zdecydowanie mniej kluczowe w sytuacji realizacji funkcji IOD przez własnego pracownika. Przede wszystkim trzeba wskazać na zakres zadań. Jeżeli mamy do czynienia ze stosunkiem pracy, to standardem pozostaje możliwość wydawania poleceń i – oczywiście w pewnym zakresie – dynamiczne kształtowanie realizowanych przez pracownika zadań, jako że praca wykonywana jest pod kierownictwem. W przypadku umów cywilnoprawnych praca pod kierownictwem nie występuje, a zatem możliwości kształtowania zakresu zadań w trakcie trwania umowy (bez jej zmiany w formie aneksów) są mocno ograniczone. Z tego powodu niezmiernie ważne jest, by kiedy zawiera się umowę z zewnętrznym Inspektorem Ochrony Danych, szczególną uwagę zwrócić na precyzyjne opisanie zakresu zadań, w tym także gwarantowanych czasów reakcji oraz minimalnego wymiaru bezpośredniej obecności w szkole.

Model współpracy z IOD z perspektywy samorządu

Spójrzmy teraz na sytuację, kiedy to samorząd jako organ prowadzący organizuje realizację funkcji Inspektora Ochrony Danych w podległych sobie jednostkach. Także w tym przypadku możemy się spotkać z dwoma modelami: zatrudnienie IOD w strukturach samorządowych (bezpośrednio w urzędzie lub jednostce obsługi) bądź zakup usługi od zewnętrznego dostawcy. W pierwszej kolejności przyjrzyjmy się inspektorowi funkcjonującemu w strukturze samorządu. Jeżeli ów IOD zostaje zatrudniony w urzędzie i w ramach swojej pracy obsługuje podległe jednostki, powstają dwa kluczowe pytania. Pierwsze z nich dotyczy podstawy prawnej, na jakiej takie zadanie jest przez urząd realizowane. Wbrew pozorom pytanie nie jest banalne, niezmiennie obowiązuje bowiem zawarta w art. 7 konstytucji zasada praworządności, która – cytując postanowienie Sądu Najwyższego – „zawiera normę zakazującą domniemywania kompetencji takiego organu i tym samym nakazuje, by wszelkie działania organu władzy publicznej były oparte na wyraźnie określonej normie kompetencyjnej” (sygn. WK 22/04). Twierdzenie, że taką podstawę stanowi wyłącznie art. 37 ust. 3 RODO, wydaje się obarczone sporym ryzykiem.

Wybór IOD to dopiero pierwszy krok na drodze RODO

Drugie pytanie dotyczące tego modelu jest następujące: czy zostały określone – a jeśli tak, to w jaki sposób i w jakiej formie – zasady świadczenia przez pracownika urzędu usług związanych z funkcją Inspektora Ochrony Danych, w tym zasady jego odpowiedzialności wobec dyrektora szkoły z tego tytułu? Jeśli popatrzeć na istotę działalności IOD, sam fakt jego wyznaczenia (i zgłoszenia do Prezesa UODO) jest tylko pierwszym krokiem. Dalej funkcja ta powinna być na bieżąco realizowana, zgodnie z regulacjami RODO i wytycznymi organów unijnych (wcześniej Grupa Robocza art. 29, obecnie Europejska Rada Ochrony Danych) oraz krajowych (Prezes Urzędu Ochrony Danych Osobowych). Sytuacja, w której konkretny inspektor realnie pracuje na rzecz dyrektora szkoły, jednak formalnie jest pracownikiem urzędu i tylko w tej relacji jest rozliczany z podejmowanych działań oraz ponosi odpowiedzialność, może rodzić wiele trudności, zwłaszcza kiedy dojdzie do naruszenia lub pojawią się kwestie sporne.

IOD w CUW-ach

Świadczenie usługi Inspektora Ochrony Danych przez jednostkę obsługi (centrum usług wspólnych) to drugi, w praktyce chyba częściej spotykany, model realizacji tego zagadnienia. W tym przypadku pierwsze pytanie, które trzeba zadać, dotyczy podstawy świadczenia takiej usługi przez CUW. Jednostka obsługi – co wydaje się dość jednoznacznie potwierdzać linia orzecznicza sądów administracyjnych – może świadczyć w ramach swojej działalności tylko takie usługi, które zostały jej wprost powierzone w uchwale organu stanowiącego jednostki samorządu (np. rady gminy, rady miasta). W związku z tym w pierwszej kolejności należałoby się upewnić, czy świadczenie wspólnej realizacji funkcji IOD znajduje się wśród zadań CUW określonych w uchwale rady. W tym miejscu zasadne może być też przywołanie stawianego przez niektórych pytania o podstawę prawną, innymi słowy: czy samorząd ma prawo (i z czego to prawo wynika) takie zadanie nałożyć na jednostkę obsługi, ale tego wątku na gruncie niniejszego artykułu nie będę rozszerzał.

Jeśli patrzymy na wykonywanie funkcji Inspektora Ochrony Danych w modelu narzucanym przez samorząd (bez względu na to, czy w ramach struktury urzędu, jednostki obsługi, czy firmy zewnętrznej), podstawowym pytaniem, które należy zadać, jest: na ile dyrektorzy szkół – jako wykonujący obowiązki administratorów danych – mają lub mieli realny wpływ na wyznaczenie konkretnej osoby do pełnienia tej funkcji? Warto w tym miejscu zwrócić uwagę na dwie kwestie. Po pierwsze, RODO w art. 37 ust. 3 mówi, że można wyznaczyć jednego inspektora dla kilku podmiotów – jednego, ale nie wspólnego. Decyzja o wyznaczeniu IOD jest wyłączną i niezależną kompetencją każdego administratora danych, a co za tym idzie – w modelu swego rodzaju narzucenia osoby przez samorząd owo wyznaczenie może mieć charakter pozorny. Należy także mieć w pamięci stanowisko Urzędu Ochrony Danych Osobowych, który stwierdza m.in., że „nawet jeżeli CUW świadczy obsługiwanym podmiotom usługi związane z szeroko rozumianą ochroną danych osobowych, nie jest uprawniony do wyznaczania inspektora ochrony danych w tych podmiotach. Obowiązek wyznaczania inspektora ochrony danych nie może być przeniesiony, np. w drodze uchwały czy porozumienia, na inną jednostkę organizacyjną, np. na CUW” (https://uodo.gov.pl/pl/122/204 [dostęp: 3.12.2018]).

Rozliczalność usług IOD

Drugie ważne pytanie, które dotyczy wszystkich przypadków realizacji funkcji IOD dla placówek przez samorząd, obejmuje przepis art. 38 ust. 3 RODO. W jaki sposób, gdy usługa Inspektora Ochrony Danych dostarczana jest placówkom z zewnątrz, jest realizowany wymóg wspomnianego powyżej przepisu, czyli zapewnienia bezpośredniej podległości IOD dyrektorowi szkoły? W jaki sposób – zgodnie z zawartą w art. 5 ust. 2 RODO zasadą rozliczalności – może być to wykazane?

Wpływ dyrektora na zmianę IOD

Wreszcie ostatnią kwestią, na którą chciałbym zwrócić uwagę w tym artykule, jest zagadnienie zmiany Inspektora Ochrony Danych, kiedy dyrektor szkoły – jako administrator danych – nie jest zadowolony z jakości lub efektów jego pracy. W modelu funkcjonowania IOD, w którym dyrektor sam podejmuje decyzję o wyborze osoby oraz zawarciu z nią stosownej umowy, sytuacja wydaje się dość klarowna. Dużo trudniej jest w przypadku inspektora działającego z ramienia samorządu lub CUW. Co ma wówczas zrobić dyrektor pragnący zmienić swojego IOD? To pytanie w tym momencie pozostawiam wyłącznie do refleksji Czytelników, nie próbując udzielać na nie odpowiedzi.

Więcej pytań niż odpowiedzi

Przywołane powyżej kwestie to tylko wybrane zagadnienia związane z tematyką Inspektorów Ochrony Danych w szkołach. Jak widać – nawiązując do tytułu – w tej chwili jest chyba więcej pytań niż odpowiedzi. W ramach natłoku podejmowanych w ostatnim roku działań związanych ze zmianami wprowadzanymi przez RODO powszechnie wykonany został pierwszy krok – wyznaczono IOD. Wydaje się, że teraz przed nami czas na refleksję, czy zastosowany model jest legalny i efektywny. A to wszystko pokazuje, że jednego możemy być pewni: wbrew nadziejom niektórych RODO nie da nam o sobie zapomnieć.

xNapisz do autora Polub nas na Facebooku Obserwuj nas na Google+

Tagi

# ochrona danych osobowych, # prawo oświatowe

Komentarze

Dodaj komentarz:

Twój nick:  
Wyślij

Napisz do autora

×
Podaj temat wiadomości
Podaj prawidłowy adres email
Wpisz treść wiadomości
Dziękujemy. Twoja wiadomość została wysłana.
Anuluj × Wyślij
x x x