DOL.413.6.2024 - Wystąpienie w sprawie dodania stanowiska IOD do wykazu stanowisk urzędniczych w służbie cywilnej

Działając na podstawie art. 52 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781; dalej: ustawa o ochronie danych osobowych), zgodnie z którym Prezes Urzędu Ochrony Danych Osobowych może występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych, zwracam się do Pani Minister z uprzejmą prośbą o podjęcie odpowiednich działań w celu zainicjowania prac legislacyjnych, mających na celu zmianę rozporządzenia Prezesa Rady Ministrów z dnia 29 stycznia 2016 r. w sprawie określenia stanowisk urzędniczych, wymaganych kwalifikacji zawodowych, stopni służbowych urzędników służby cywilnej, mnożników do ustalania wynagrodzenia oraz szczegółowych zasad ustalania i wypłacania innych świadczeń przysługujących członkom korpusu służby cywilnej (Dz. U. z 2022 r. poz. 2024 z późn. zm.), poprzez uzupełnienie wykazu stanowisk urzędniczych o stanowisko inspektora ochrony danych (dalej również jako: "IOD").

W chwili obecnej w tabeli grup stanowisk urzędniczych, wymienionych w załączniku nr 1 do ww. rozporządzenia Prezesa Rady Ministrów w sprawie określenia stanowisk urzędniczych, wymaganych kwalifikacji zawodowych, stopni służbowych urzędników służby cywilnej, mnożników do ustalania wynagrodzenia oraz szczegółowych zasad ustalania i wypłacania innych świadczeń przysługujących członkom korpusu służby cywilnej brak jest stanowiska inspektora ochrony danych.

Istniejąca w architekturze stanowisk urzędniczych luka utrudnia właściwe wywiązywanie się z obowiązku określonego art. 37 ust. 1 lit. a rozporządzenia 2016/679 1 . Przepis ten obliguje organy i podmioty publiczne do powołania inspektora ochrony danych. Użyte w rozporządzeniu 2016/679 pojęcie organów i podmiotów publicznych doprecyzowane zostało w art. 9 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się: jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski. Obowiązek wyznaczenia inspektora ochrony danych posiadają zatem m.in. organy władzy publicznej, w tym organy administracji rządowej oraz urzędy (jednostki budżetowe) zatrudniające pracowników należących do korpusu służby cywilnej.

Wprowadzenie przez rozporządzenie 2016/679 obowiązku wyznaczenia w podmiotach publicznych osoby pełniącej funkcję inspektora ochrony danych miało zapewnić tym podmiotom profesjonalne wsparcie w zakresie właściwego stosowania nowych przepisów o ochronie danych osobowych. Rozporządzenie 2016/679 w sposób jednolity we wszystkich państwach członkowskich Unii Europejskiej określiło warunki powołania inspektora ochrony danych, jego status i zadania.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 rozporządzeniu 2016/679. Inspektor - bez względu na to, czy jest pracownikiem administratora czy nie - powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia IOD. Zgodnie z art. 38 ust. 2 rozporządzenia 2016/679 administrator wspiera inspektora w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto do obowiązków administratorów należy zapewnienie, aby inspektor ochrony danych:

* podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego (art. 38 ust. 3 rozporządzenia 2016/679),

* miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych (art. 38 ust. 1 rozporządzenia 2016/679),

* nie otrzymywał instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 rozporządzenia 2016/679),

* nie został odwołany lub ukarany za wypełnianie przez niego jego zadań (art. 38 ust. 3 rozporządzenia 2016/679), * nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 rozporządzenia 2016/679).

W sprawie nieuwzględnienia stanowiska inspektora ochrony danych w tabeli grup stanowisk urzędniczych odnoszącej się do korpusu Służby Cywilnej już w pierwszym okresie stosowania przepisów rozporządzenia 2016/679 do Urzędu Ochrony Danych Osobowych wpływało dużo sygnałów wskazujących, jakie trudności i negatywne skutki luka ta wywołuje. Podzielając opinię o potrzebie pilnej interwencji w sprawie tego problemu w dniu 15 kwietnia 2019 r. Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) skierował w powyższej sprawie, wystąpienie do Szefa Służby Cywilnej, sygn. ZWAD.070.1.2019 (kopię tego wystąpienia przesyłam uprzejmie jako załącznik nr 1). Wskazał w nim, że istniejąca w architekturze stanowisk urzędniczych luka utrudnia właściwe wywiązywanie się z obowiązku określonego art. 37 ust. 1 lit. a rozporządzenia 2016/679, który obliguje organy i podmioty publiczne (w tym organy administracji rządowej oraz urzędy zatrudniające pracowników należących do korpusu służby cywilnej) do wyznaczenia inspektora ochrony danych. W szczególności utrudnia zatrudnienie na odrębnym stanowisku inspektora ochrony danych, a także powoduje przypisywanie obowiązków IOD w formie dodatkowych zadań już zatrudnionym pracownikom, nawet w sytuacjach, gdy może to powodować konflikt interesów (art. 38 ust. 6 rozporządzenia 2016/679). W takiej sytuacji trudno jest pracodawcy zapewnić, aby IOD podlegał najwyższemu kierownictwu (art. 38 ust. 3 rozporządzenia 2016/679). Dlatego brak stanowiska inspektora ochrony danych w wykazie stanowisk wyklucza lub utrudnia przyjmowanie rozwiązań gwarantujących IOD niezależne i skuteczne wykonywanie tej funkcji. Sytuacja taka może niekorzystnie wpływać na poziom ochrony danych osobowych w wymienionych podmiotach.

Szef Służby Cywilnej w piśmie z dnia 6 czerwca 2019 r., sygn. SC.WSWB.120.6.2019.IKR nie podzielił stanowiska organu nadzorczego ds. ochrony danych osobowych i wskazał, że wprowadzenie przez rozporządzenie 2016/679 obowiązku wyznaczenia w podmiotach publicznych osoby pełniącej funkcję inspektora ochrony danych, nie oznacza konieczności tworzenia nowych stanowisk. Art. 38 ust. 6 rozporządzenia 2016/679 stanowi bowiem, że inspektor ochrony danych może wykonywać inne zadania i obowiązki. W opinii Szefa Służby Cywilnej uzupełnienie listy stanowisk urzędniczych oznaczałoby "obowiązek tworzenia nowych stanowisk" w każdym nawet niewielkim urzędzie, w którym zatrudnienie nie przekracza 10 osób (kopię tej odpowiedzi przesyłam jako załącznik nr 2).

Taka odpowiedź Szefa Służby Cywilnej była trudna do zaakceptowania i nie sposób było podzielić wskazanych w niej argumentów. Z tego względu organ nadzorczy w piśmie z dnia 13 sierpnia 2019 r., sygn. ZWAD.070.1.2019.BM, wskazał, że zamieszczenie określonego stanowiska w wykazie nie oznacza obowiązku jego tworzenia. Natomiast jego brak w wykazie utrudnia zatrudnienie na stanowisku inspektora ochrony danych w większych instytucjach, np. w ministerstwach, urzędach centralnych, czy urzędach wojewódzkich. Uzasadniając swoje stanowisko Prezes UODO wskazywał na gwarancje niezależnego i prawidłowego wykonywania tej funkcji, m.in. na obowiązek zapewnienia przez administratora bezpośredniej podległości inspektora ochrony danych osobowych najwyższemu kierownictwu (art. 38 ust. 3 rozporządzenia 2016/679) oraz zakaz nakładania na inspektora ochrony danych innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 rozporządzenia 2016/679). Podkreślił, że przepis ten zobowiązuje kierownictwo podmiotu publicznego w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania, funkcje, jakimi administrator zamierzałby obarczyć inspektora, nie utrudniłyby mu właściwego wykonywania obowiązków, określonych w art. 39 rozporządzenia 2016/679. Z konfliktem interesów mamy do czynienia w sytuacji, gdy nie sposób pogodzić prawidłowej realizacji zadań inspektora ochrony danych z wykonywaniem innych zadań, między którymi istnieje (bądź może istnieć) niezgodność (sprzeczność), uniemożliwiająca należyte ich wykonywanie. Konflikt interesów może być także wynikiem nadmiaru obowiązków powierzonych do realizacji inspektorowi ochrony danych w sytuacji, gdy inspektor będzie musiał wybierać, które z obowiązków będzie wykonywał, a którego wykonać nie zdoła ze względu na brak czasu potrzebnego na jego realizację 2 . W tym zakresie brane muszą być pod uwagę rozmaite i liczne czynniki, np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania. Problem ten staje się szczególnie istotny w kontekście nowych obowiązków ustawowych nakładanych na podmioty publiczne, z których przynajmniej część może dodatkowo obciążyć IOD.

Natomiast jak wskazywały liczne sygnały kierowane do Prezesa UODO wobec nieuwzględnienia stanowiska "inspektora ochrony danych" w tabeli grup stanowisk urzędniczych, wykonywanie zadań IOD przekazuje się często dotychczas zatrudnionym pracownikom wykonującym także inne zadania, niepodlegającym bezpośrednio najwyższemu kierownictwu (tylko np. naczelnikowi wydziału). Przyjęcie takiego rozwiązania uniemożliwia tym osobom prawidłowe, zgodne z prawem wykonywanie zadań i narusza przepisy RODO. Kopie powyższego pisma (załącznik nr 3) oraz dalszej korespondencji w tej sprawie, tj. pisma Szefa Służby Cywilnej z dnia 21 listopada 2019 r. (załącznik nr 4) oraz pisma Prezesa UODO z dnia 20 grudnia 2019 r. (załącznik nr 5), przesyłam uprzejmie w załączeniu. W ww. pismach Prezes UODO wskazał wszystkie aspekty problemu oraz argumentację, a także zwracał uwagę na zagrożenia, jakie niesie niewprowadzenie stanowiska inspektora ochrony danych do wykazu stanowisk dla należytego i prawidłowego wykonywania funkcji inspektora ochrony danych.

Dodatkowo należy wskazać na przykłady dostosowania przepisów innych aktów normatywnych do regulacji w zakresie ochrony danych osobowych, w zakresie wyodrębnienia stanowiska inspektora ochrony danych:

Również obecnie do Urzędu Ochrony Danych Osobowych wpływa wiele sygnałów i zapytań związanych z powyższym problemem. Jak wynika z tej korespondencji brak stanowiska inspektora ochrony danych w wykazie stanowisk w bardzo istotny sposób utrudnia instytucjom zatrudniającym pracowników z korpusu służby cywilnej realizację zadań przewidzianych w RODO. W piśmie z 28 marca br. Dyrektor Generalna w Ministerstwie Zdrowia wprost wyraża nadzieję na ponowne podjęcie przez Prezesa UODO działań legislacyjnych zmierzających do wyodrębnienia stanowiska IOD.

Pragnę również zaznaczyć, że problem wyodrębnienia stanowiska IOD podnoszony był również w trakcie spotkań Prezesa UODO odbytych ze stowarzyszeniami inspektorów ochrony danych w ciągu ostatniego kwartału, także podczas spotkania z inspektorami ochrony danych urzędów wojewódzkich.

Wyrażam głęboką nadzieję na zrozumienie potrzeby wprowadzenia opisanych powyżej zmian w wykazie stanowisk urzędniczych zawartym w ww. rozporządzeniu w sprawie określenia stanowisk urzędniczych, zwłaszcza, że z dostępnych mi informacji wynika, że obecnie procedowane są zmiany w tym rozporządzeniu 3 .

Jednocześnie, zgodnie z dyspozycją art. 52 ust. 3 4 ustawy o ochronie danych osobowych, będę wdzięczny Pani Minister za ustosunkowanie się do tego wniosku na piśmie, w terminie 30 dni od daty jego otrzymania.

Załączniki:

- Załącznik nr 1 - pismo Prezesa UODO z 15 kwietnia 2019 r. do Szefa SC (ZWAD.070.1.2019)

- Załącznik nr 2 - pismo Szefa SC z 6 czerwca 2019 r. (DSC.WSWB.120.6.2019.IKR) - Załącznik nr 3 - pismo Prezesa UODO z 13 sierpnia 2019 r. (ZWAD.070.1.2019.BM) - Załącznik nr 4 - pismo Szefa SC z 21 listopada 2019 r.

- Załącznik nr 5 - pismo Prezesa UODO z 20 grudnia 2019 r.