Ochrona danych osobowych w firmie i szkolenia ABI
Zadania GIODO i praktyczne możliwości ich realizacji

Zadania GIODO i praktyczne możliwości ich realizacji

privacy_giodoLogo

Jak wynika z Ustawy o ochronie danych osobowych najważniejszym organem w polskim systemie ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. W niniejszym wpisie postaram się przeanalizować problemy dotyczące wykonania zadań GIODO oraz pracy Biura GIODO w aspekcie praktycznych możliwości ich realizacji.

Stanowisko GIODO jest ważne nie tylko ze względu na swoją nazwę, ale również ze względu na zakres kompetencji i wpływu na poziom ochrony prywatności Polaków. Należy pamiętać, że GIODO ma nie tylko wpływ na przestrzegania wprost przepisów ustawy o ochronie danych osobowych przez podmioty decydujące o celach i środkach przetwarzania danych osobowych, ale również „miękki” – doradczy, konsultacyjny wpływ na proces legislacyjny prawa ingerującego w sferę prywatności oraz proces wykorzystywania danych osób fizycznych. Szerokie określenie kompetencji GIODO (zawarte w art. 12 Ustawy o ochronie danych osobowych) w momencie tworzenia i wejścia w życie pierwotnego teksu Ustawy było wystarczające, a ich realizacja osiągalna. Jednak czy obecnie pełna realizacja zadań  GIODO jest możliwa?

Rejestracja zbiorów danych osobowych i zgłoszenia ABI

Pytanie to nasuwa się w momencie kontaktu z Biurem GIODO w przedmiocie czasu rejestracji zbioru danych osobowych. Odpowiedź może szokować. Obecnie czas oczekiwania na rejestrację zgłoszonego zbioru danych osobowych może trwać ponad rok. Nieco lepiej jest w przypadku rejestracji zgłoszeń Administratorów Bezpieczeństwa Informacji, tutaj proces trwa około 2 miesiące. A jest to jedynie część pracy GIODO („prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji”).

GIODO zobowiązane jest również do m.in. badania kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych, opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych oraz uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

ABI w GIODO

Zadania wskazane powyżej są realizowane w zakresie posiadanych przez GIODO środków. W mojej ocenie są one nieadekwatne do skali zjawiska wykorzystywania danych osobowych, a ich realizacja skupia się w znacznej mierze na pracy kancelaryjnej. Problemem nie są tu kwestie personalne dotyczące GIODO (chociaż mając na uwadze proces powołania pani dr Edyty Bielak–Jomaa można odnieść takie wrażenie), a niedofinansowanie urzędu.

Budżet GIODO na rok 2015 wynosi 16,7 mln zł. Ktoś może powiedzieć dużo, ale prawie 2 mln zł to koszty wynajmu pomieszczeń biurowych, ponad 1,5 mln zł składki na ubezpieczenie społeczne oraz fundusz pracy. Ponad 10 mln zł to wynagrodzenia pracowników. A pracę w Biurze GIODO ma ok. 140 osób z czego ponad 120 to stanowiska merytoryczne. Jak możemy zobaczyć po uwzględnieniu wskazanych kwot (a należy dodać do nich również koszty utrzymania biura, obsługi kancelaryjnej, remonty, wyjazdy służbowe etc.) bardzo niewiele pozostaje na szkolenia lub rozbudowę posiadanych przez GIODO systemów informatycznych. Można powiedzieć, że środki GIODO pozwalają na podtrzymywanie istniejącego status quo i nie umożliwiają rozwoju urzędu oraz dotrzymywania kroku ewolucji procesu przetwarzania danych osobowych w obecnych realiach świata interaktywnego.

Należy wskazać że w 2014 roku do GIODO skierowano 4 575 pytań z prośba o interpretację, 2 472 skarg oraz 548 aktów prawnych do analizy. Ponadto GIODO przeprowadziło 175 kontroli, wydało 1217 decyzji, przyjęto 43 300 zgłoszeń zbiorów do rejestracji, a w rejestrze zbiorów zarejestrowano 16 870 zgłoszonych zbiorów danych osobowych.

W mojej ocenie bardzo wątpliwe jest wypełnianie w odpowiednim zakresie zadań GIODO, w tym inicjowania i podejmowania przedsięwzięć dotyczących doskonalenia ochrony danych osobowych, które to nie powinny dotyczyć jedynie osób zajmujących się zawodowo ochroną danych osobowych lub urzędników administracji publicznej, a w większym stopniu zwykłych ludzi. Powiedzmy sobie szczerze bez odpowiednich środków nie da się tego zrobić. A szkolenia oraz konferencje dla znawców tematyki nic tu nie zmienią, co nie wyklucza potrzeby ich przeprowadzania. Przykładem przeprowadzania szerokich kampanii informacyjnych może być dla GIODO  np. kampania na rzecz ochrony praw konsumentów przed wejściem w życie 25 grudnia 2014 r. Ustawy o prawach konsumenta. Z własnego doświadczenia wiem, że świadomość w zakresie ochrony danych osobowych w Polsce wśród zwykłych ludzi jest bardzo mała i aktywuje się jedynie w przypadku rażących naruszeń o których informują media (ostatnio sprawa Benefit lub Plus Banku). Sytuacja ta może być wielkim polem do nadużyć dla podmiotów gromadzących dane.

Temat funkcjonowania GIODO jest na pewno kluczowy w aspekcie właściwego nadzoru nad przestrzeganiem zasad ochrony danych osobowych w Polsce. Rozwiązaniem może być reorganizacja urzędu i zmiana np. na wzór Urzędu Ochrony Konkurencji i Konsumentów, ale to już problem ustawodawcy.

 

Marcin Kaleta

Prezes Zarządu