„Dlaczego warto studiować Ochronę Danych Osobowych?” Wywiad z Pawłem Wańkiem – koordynatorem kierunku ODO

Rok 2018 przyniósł ważną zmianę w prawie – osławione RODO, czyli ogólne rozporządzenie o ochronie danych osobowych. O tym, jakie obowiązki ono nakłada oraz jakie szanse na rynku pracy stwarza, rozmawiam z Panem Pawłem Wańkiem – czynnym Inspektorem Ochrony Danych oraz opiekunem merytorycznym kierunku studiów podyplomowych „Ochrona Danych Osobowych i Bezpieczeństwo Informacji” na Wyższej Szkole Handlowej w Radomiu.

mgr Paweł Waniek

Kierownik Zespołu Organizacyjno-Administracyjnego  w Południowo-Mazowieckim Banku Spółdzielczym  w Jedlińsku.  Z ochroną danych osobowych związany  od 2013 roku. Czynny Inspektor Ochrony Danych, pełniący tę funkcję w kilku podmiotach z ramienia Polskiej Agencji Ochrony Danych. Współorganizator Ogólnopolskiej Konferencji pt. „Głos Administratorów Bezpieczeństwa Informacji”, która odbyła się w Radomiu w 2017 r. Absolwent studiów podyplomowych z ochrony danych osobowych i informacji niejawnych, realizowanych na UKSW w Warszawie, pod patronatem GIODO. Uczestnik wielu szkoleń i konferencji z przedmiotowego zakresu, także w roli prelegenta (m.in. konferencje: III i IV Głos IT organizowane przez firmę Kerberos oraz szkolenia realizowane we współpracy z WSH w Radomiu, PAOD czy Izbę Przemysłowo-Handlową Ziemi Radomskiej).Dzień dobry Panie Pawle.

– Dzień dobry, witam.

RODO obowiązuje już prawie rok. Jakby Pan podsumował ten okres? Jakie są efekty?

– Pierwszym słowem, które przychodzi mi do głowy jest panika. Nie zapominajmy, że RODO tak naprawdę obowiązuje od 2016 roku, natomiast od 25 maja tego roku jest egzekwowane. To różnica bo my już mieliśmy to tzw. vacatio legis – czyli czas na dostosowanie się do nowych przepisów. Naturalnie, co pewnie nikogo nie dziwi, większość czekała z tym na ostatnią chwilę. W efekcie jeszcze wiele podmiotów nie ma dostosowanych swojej kultury organizacyjnej czy swojego systemu bezpieczeństwa informacji do wymogów stawianych przez RODO. Wielu robiło czy wciąż robi to „na wariata” lub daje się nabrać na różnego rodzaju chwyty marketingowe typu „szafy zgodne z RODO”. Zauważyłem też, że wiele podmiotów wyszło z założenia, że lepiej zrobić coś nad wyraz niż zrobić za mało np. w kwestii spełnienia obowiązku informacyjnego. Ciekawych sytuacji czy wręcz absurdów nie brakuje.

Zatrzymajmy się na chwilę przy wymogach – jakie one są? Czego wymaga od nas rozporządzenie?

Wymaga stosownego zabezpieczenia przetwarzania i ochrony danych osobowych. RODO rządzi się kilkoma zasadami, które są w nim wymienione wprost. To np. zasada minimalizmu, ograniczonego celu przetwarzania, zgodności z prawem, rzetelności i przejrzystości, integralności i poufności, przy czym najważniejsza jest zasada rozliczalności – czyli umiejętność wykazania stosowania postanowień ujętych w rozporządzeniu.

Czy RODO precyzuje jak spełnić te wymogi?

– Nie i to jest główny zarzut w stosunku do RODO. Jak sama nazwa wskazuje jest to ogólne rozporządzenie, a więc wiele kwestii zostało w nim ujętych w sposób ogólnikowy. Ma to swoje złe i dobre strony. Wszyscy Ci którzy woleli by mieć wyłożoną kawę na ławę będą zawiedzeni, natomiast Ci którzy wolą mieć pozostawioną dowolność będą zadowoleni bo sami będą decydować jakie działania podjąć by spełnić wymogi stawiane przez RODO. Sęk oczywiście w tym, że w przypadku kontroli będą się musieli umieć wytłumaczyć, że zastosowane rozwiązania były adekwatne i należycie chronią przetwarzane dane osobowe.

Rozumiem, że to jest właśnie jedna z ról Inspektora Ochrony Danych, który ma pomagać we wdrażaniu takich rozwiązań i ogólnie mówiąc pilnować, aby ochrona danych była na odpowiednim poziomie?

– Dokładnie tak, Inspektor Ochrony Danych (IOD) to taki doradca i partner dla Zarządu. Pełni on rolę nadzorczą, czyli właśnie doradza, opiniuje, wydaje zalecenia odnośnie wszelkich kwestii związanych z przetwarzaniem danych, prowadzi szkolenia, współuczestniczy w analizie ryzyka, bo nie zapominajmy, że ochrona danych osobowych opiera się obecnie na ryzyku, a tego jak wiadomo nie można zlikwidować. Można je co najwyżej minimalizować. Zatem ważne jest aby prawidłowo ocenić zagrożenia i prawdopodobieństwo ich wystąpienia, po to żeby móc dobrać właściwe środki ochrony. Ponadto IOD pełni również rolę punktu kontaktowego zarówno dla pracowników i klientów danego podmiotu, ale także dla Urzędu Ochrony Danych Osobowych czyli organu nadzorczego, którego jednym z zadań jest m.in. prowadzenie kontroli z przedmiotowego zakresu.

Kto może zostać Inspektorem Ochrony Danych?            

– Obecnie? Każdy kto ma zapał i ochotę. W rozporządzeniu możemy przeczytać, że IOD jest wyznaczany na podstawie posiadanych przez siebie kwalifikacji zawodowych m.in. znajomości przepisów z zakresu ochrony danych czyli tzw. wiedzy fachowej. Powinien on mieć predyspozycje do wypełniania zadań o których mowa w art. 39 RODO czyli to wszystko co powiedziałem wcześniej. Oczywiście wszelkiego rodzaju szkolenia, kursy, konferencje czy studia podyplomowe będą traktowane jako dodatkowe atrybuty i swego rodzaju potwierdzenie posiadanych kwalifikacji, przynajmniej do momentu aż oficjalnie nie zostanie wprowadzony egzamin państwowy.

A możemy się tego spodziewać? I jeśli tak to kiedy?

– Trudno mi powiedzieć odnośnie tego kiedy taka decyzja mogłaby zostać podjęta. Na Słowacji już teraz aby zostać IOD trzeba zdać egzamin państwowy. Kiedy rozmawiam z przedstawicielami środowiska akademickiego czy z innymi Inspektorami to większość zgodnie twierdzi, że i w Polsce to w zasadzie tylko kwestia czasu i sam też się z tym zgadzam. Wystarczy spojrzeć na uwarunkowania prawne – przedłożono nam RODO, a więc akt unijny który w dużym stopniu ujednolica kwestie ochrony danych osobowych w całej Unii. Do tego mamy lub będziemy mieć akty krajowe: ustawę, rozporządzenia do niej wydawane, opinie i wytyczne organu nadzorczego. Wprowadzono bardzo wysokie kary finansowe, pozostawiono także w ustawie zapisy mówiące o odpowiedzialności karnej, a więc w skrajnych przypadkach za nieprawidłowe przetwarzanie danych grozi także i więzienie. Pod kątem formalnym zrobiono zatem wszystko aby ochrona danych osobowych była dziedziną bardzo poważnie traktowaną. Najbliższe lata pokażą czy tak rzeczywiście będzie. Jeśli tak, to Inspektor Ochrony Danych bardzo szybko stanie się nowym kwalifikowanym i bardzo pożądanym zawodem. Pierwsze tego oznaki już można zaobserwować.

To znaczy?

– Coraz więcej osób bierze udział w szkoleniach czy rozpoczyna studia podyplomowe z tego zakresu mając nadzieję, że ziści się to co powiedziałem przed chwilą. Ale to jest także odpowiedź na sytuację, która kreuje się na rynku pracy. Dobrych Inspektorów potrzeba już teraz, a jest ich po prostu za mało. Gdyby ktoś wszedł na portal e-giodo, kiedy ten jeszcze działał, na którym widniały zarejestrowane zbiory danych oraz powołani Administratorzy Bezpieczeństwa Informacji (poprzednicy IOD) i zechciał sprawdzić sobie podmioty z samego tylko Radomia, które mają powołanych ABI, dostrzegłby, że niektóre nazwiska obsługiwały po kilkadziesiąt podmiotów. To jasno pokazuje, że na rynku wciąż jeszcze jest wiele miejsca do zagospodarowania. Warto również wspomnieć o obecnych ofertach pracy dla IOD, które można znaleźć w Internecie. Warunki płacowe już teraz potrafią być bardzo atrakcyjne a to przecież dopiero początek.

Obecnie też można być Inspektorem w więcej niż jednej firmie?

– Tak, przepisy to dopuszczają. Sam jestem IOD w więcej niż jednym podmiocie.

A czy jest możliwa rzetelna obsługa kilkudziesięciu podmiotów, tak jak to Pan wspomniał wcześniej, przez jedną osobę?

– Moim zdaniem nie, choć to głównie zależy od mocy przerobowej danej osoby i tego jak się Inspektor umówi z Pracodawcą. W dużej mierze bowiem tę pracę można wykonywać zdalnie bez fizycznej obecności w miejscu przetwarzania. Oczywiście nie mówimy tu np. o spotkaniach z Zarządem, przeprowadzaniu szkoleń i kontroli wewnętrznych, nadzorowaniu analizy ryzyka czy udziału w postępowaniu wyjaśniającym w przypadku gdyby doszło do incydentu bezpieczeństwa. Aczkolwiek taka codzienna praca polegająca na doradzaniu, opiniowaniu, odpowiadaniu na zapytania pracowników czy klientów/kontrahentów może jak najbardziej odbywać się drogą elektroniczną. No i pamiętajmy także, że zawsze możemy przecież założyć firmę składającą się z kilku czy kilkunastu osób, w tym Inspektorów, co sprawia, że obsługa większej ilości podmiotów staje się łatwiejsza. Ja osobiście dysponuję takim zespołem, działamy w ramach Polskiej Agencji Ochrony Danych.

A czy posiadanie IOD jest konieczne? Czy zależy to od Pracodawcy? Czy może to być pracownik mający już jakieś inne stanowisko czy trzeba tworzyć nowy etat? Jak to wygląda?

– Etatu nie trzeba tworzyć wcale bo można się zdecydować na outsourcing, który jest po prostu tańszy niż pracownik na etacie. Zwłaszcza, że wybierając etat Administrator – czyli Pracodawca ma pewne obowiązki wobec IOD odnośnie tego co musi mu zapewnić. I nie mam tu na myśli tylko terminowej wypłaty wynagrodzenia ale również i inne warunki np. sprzętowe jak laptop czy służbowy telefon, możliwość wyjazdów na szkolenia i konferencje czy ewentualne powołanie Zespołu IOD u Pracodawcy. W przypadku outsourcingu już np. kwestia podnoszenia swoich kwalifikacji leży tylko i wyłącznie po stronie IOD. Administratorowi ubywa więc pewien koszt. Co do tego natomiast czy funkcję IOD można łączyć z innymi stanowiskami – zasadniczo nie. Mówią o tym wytyczne Gr. Roboczej Art. 29. Niektóre stanowiska zostały tam wprost wymienione jako te, powodujące konflikt interesów. To np. Główny księgowy, Zarząd, Kierownik HR, Informatyk, Marketingowiec, Dyrektor Finansowy, Operacyjny itd. Generalnie każde stanowisko, które zakłada pracę z danymi osobowymi jest wykluczone. Jeśli natomiast chodzi o konieczność powołania IOD to zależy od sytuacji. Na pewno każdy podmiot publiczny musi go powołać. W pozostałych przypadkach zależy to od skali, charakteru prowadzonej działalności, rodzaju i ilości przetwarzanych danych osobowych i paru innych czynników wymienionych w rozporządzeniu.

Wspomniał Pan wcześniej o karach finansowych, przed którymi Inspektor ma pomóc Pracodawcy się ustrzec. O jakich kwotach mówimy? Kto poniesie odpowiedzialność, jeśli kontrola przeprowadzona przez Urząd wypadnie negatywnie?

– Na gruncie RODO odpowiedzialność ponosi Administrator oraz w określonych sytuacjach podmiot przetwarzający. I to on albo oni będą zobligowani to zapłaty ewentualnej kary finansowej. Dlatego to Pracodawcy powinno zależeć żeby IOD był właściwą osobą na właściwym miejscu, jeśli ten rzeczywiście ma mu pomóc uchronić się przed tym czarnym scenariuszem. Jeżeli chodzi o kwoty to oczywiście straszy się 10 czy 20 mln euro albo 2% i 4% światowego obrotu za rok poprzedni. Prawda jest jednak taka, że kara ma być stosowna i adekwatna do przewinienia. Co nie znaczy, że operujemy małymi kwotami. W Polsce jeszcze kary na gruncie RODO nie było, ale już np. w Austrii, Wielkiej Brytanii czy Francji tak. A kwoty wahały się od 5 tys. euro do 500 tys. funtów. Jak widać to wciąż bardzo znaczące środki. W Polsce wprowadzono ograniczenie, gdzie podmioty publiczne mogą być ukarane do kwoty 100 tys. zł. W przypadku pozostałych może to być już znacznie wyższa suma. Przy czym pamiętajmy, że kary finansowe to ostateczność i naruszenie musi być bardzo poważne. Urząd ma szereg innych środków naprawczych do dyspozycji. Może np. po prostu wydać decyzję obligującą jakiś podmiot do wdrożenia stosownych zabezpieczeń w określonym terminie.

Czyli Inspektor lub pracownik przez którego doszło do incydentu mogą się czuć bezkarni?

– Nie, oczywiście, że nie. W przepisach jest powiedziane, że Inspektor ma zagwarantowaną niezależność, czyli nie można mu wydać polecenia służbowego oraz, że nie można go karać za wykonywanie swoich obowiązków np. kiedy wyda opinię, która się Pracodawcy nie spodoba. Przy czym ja zawsze dopowiadam, że nie można go karać za PRAWIDŁOWE wykonywanie swoich obowiązków. Jeśli bowiem IOD wykonuje swoją pracę niedbale, oszukał nas jeśli chodzi o swoje kwalifikacje, nie poświęca wystarczająco dużo czasu na realizację zadań lub celowo działał na szkodę firmy, to jak najbardziej poniesie z tego tytułu konsekwencje, ze zwolnieniem czy skierowaniem sprawy do sądu na czele. To samo dotyczy pracownika, wobec którego Pracodawca może zastosować działania dyscyplinarne przewidziane w powszechnie obowiązujących przepisach.

Czy o tym wszystkim co powiedzieliśmy do tej pory dowiadują się słuchacze studiów podyplomowych na kierunku „Ochrona Danych Osobowych i Bezpieczeństwo Informacji”, których jest Pan opiekunem? Dlaczego warto zapisać się na te studia?

– Odpowiadając na pierwszą część tego pytania: tak. Prowadząc zajęcia staramy się, bo oprócz bycia opiekunem sam również mam przyjemność prowadzić zajęcia na tym kierunku,  znaleźć ten punkt styczności pomiędzy teorią a praktyką. Na pewno pomaga tutaj fakt, że mamy do dyspozycji praktyków, którzy mogą, posługując się własnym doświadczeniem, skonfrontować to co zostało zapisane w przepisach, z tym z czym się spotykają na co dzień. Jest to zatem połączenie wiedzy teoretycznej z praktycznymi, z życia wziętymi przykładami. Natomiast dlaczego warto? Ochrona danych to dynamicznie rozwijająca się branża. Pamiętajmy, że rozwój nowych technologii to także rozwój nowych zagrożeń, z którymi trzeba się zmierzyć. Część z nich dotyczy także danych osobowych. Jest to również coś od czego nie uciekniemy bo dotyczy nas wszystkich. Niezależnie, że się tak wyrażę, po której stronie barykady będziemy. Bo możemy wyjść z założenia, że ta wiedza przyda nam się przede wszystkim do pełnienia kiedyś w przyszłości funkcji IOD i to jest jak najbardziej zrozumiałe. Jeśli to się jednak nie zdarzy to nie znaczy, że nasz wysiłek pójdzie na marne. Jako obywatele mamy przecież też swoje prawa w zakresie ochrony i przetwarzania danych, które jak najbardziej warto znać np. prawo do bycia zapomnianym, prawo do przenoszenia danych czy ograniczenia ich przetwarzania. O tym wszystkim też studenci się dowiadują. Najważniejszym słowem jeśli chodzi o przetwarzanie i ochronę danych osobowych jest ŚWIADOMOŚĆ. Od tego się zaczyna. Od świadomości przepisów, praw które na ich kanwie nam przysługują, konsekwencji, które nam grożą, możliwości, które się kreują. Naszą misją jest podnoszenie tej świadomości, dlatego myślę, że każdy niezależnie od wieku czy obecnie wykonywanej przez siebie profesji, znajdzie na tych studiach coś atrakcyjnego, a przede wszystkim pożytecznego dla siebie.

Czyli rozumiem, że jeśli ktoś faktycznie założy sobie, że chce zostać IOD, to będąc absolwentem tych studiów będzie do tej roli dobrze przygotowany tak?

– Na pewno takiej osobie te studia tylko i wyłącznie pomogą, a nie zaszkodzą bo będzie ona dysponowała pewnym studium przypadków, które zostaną omówione podczas zajęć. Co więcej taki absolwent zapozna się i przeanalizuje obowiązujące przepisy. Dowie się o możliwych do zastosowania zabezpieczeniach zarówno fizycznych, informatycznych jak i osobowych. Odbędzie ćwiczenia praktyczne polegające np. na zaopiniowaniu wniosku o udostępnienie danych i podjęcie decyzji w tym zakresie. Pozna ogólną charakterystykę pracy IOD i będzie przygotowany do stawienia czoła wyzwaniom, które w tej pracy się pojawiają. Przy czym należy pamiętać, że ta branża wymaga ciągłego doszkalania się. Zatem szkolenia i różnego rodzaju konferencje na dalszym etapie kariery i tak będą nieodzowne. Warto jednak najpierw mieć solidną podstawę w postaci wykształcenia. Tym bardziej będzie to przydatne jeśli kiedyś rzeczywiście zapadnie decyzja o egzaminie państwowym. No i nie zapominajmy, że na chwilę obecną takie studia są w zasadzie najlepszym potwierdzeniem posiadanych przez siebie kwalifikacji zawodowych. Oprócz certyfikatów czy zaświadczeń z już odbytych szkoleń.

A nie boi się Pan, że de facto kształci swoją, być może, przyszłą konkurencję?

– Absolutnie, wręcz odwrotnie, będę bardzo dumny, jeśli chociaż część moich studentów stanie się w przyszłości wziętymi Inspektorami Ochrony Danych, odnoszącymi sukcesy w tym polu. Kto wie, może niektórzy także poprowadzą zajęcia z tej dziedziny na innych uczelniach? A może razem ze mną tutaj na WSH? Czas pokaże. A konkurencja jest dobra pod warunkiem, że jest zdrowa. Tego też staram się nauczyć bo ważne jest aby wymieniać się doświadczeniami. Dzięki takiemu podejściu wszyscy będziemy lepszymi Inspektorami. Ja kończyłem studia w Warszawie i część osób z mojego roku organizuje właśnie takie spotkania, na których oprócz tradycyjnych rozmów co u kogo słychać, omawiane są też przypadki związane z ochroną danych. Niektórzy absolwenci znaleźli nawet pracę w Urzędzie Ochrony Danych Osobowych. Wszyscy moglibyśmy zachować zdobytą przez nas wiedzę i doświadczenia dla siebie, a wolimy się nimi dzielić. Jedyne nad czym mogę ubolewać, to to, że niestety nie uczestniczę w tych spotkaniach tak często jakbym chciał. Ale na pewno do takiej właśnie postawy wszystkich namawiam.

Serdecznie dziękuję za rozmowę i życzę sukcesów zarówno w pracy jako IOD i jako Wykładowca.

– Dziękuję bardzo, Ja również życzę wszystkiego dobrego.Wszystkich zainteresowanych podjęciem studiów na kierunku „Ochrona Danych Osobowych i Bezpieczeństwo Informacji” informujemy, że obecnie trwa nabór na semestr letni (marzec – czerwiec), a już od czerwca rozpocznie się nabór na semestr zimowy (październik – luty). Koszt czesnego wynosi 1800 zł za semestr.Program studiów jest dostępny pod adresem https://podyplomowe.wsh.pl/ochrona-danych-osobowych-i-bezpieczenstwo-informacji/

Aby wziąć udział w rekrutacji wystarczy wypełnić kwestionariusz osobowym dostępny na naszej stronie internetowej w zakładce rekrutacja on-line.

 

Po więcej informacji zapraszamy:

  • tel. 48 362 13 32
  • podyplomowe@wsh.pl
  • Biuro Studiów Podyplomowych, ul. Traugutta 61A, Radom