Kto nie może być powołany na inspektora ochrony danych osobowych?

Inspektor ochrony danych osobowych to osoba powoływana do pomocy przy przestrzeganiu w firmie lub organizacji przepisów o ochronie danych osobowych. Pełni ona rolę pośrednika pomiędzy Urzędem Ochrony Danych Osobowych, podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane. W jakich jednostkach organizacyjnych konieczne jest powołanie inspektora danych osobowych? Jakie kwalifikacje musi posiadać wybierana na to stanowisko osoba? 

W jakich jednostkach organizacyjnych trzeba powoływać inspektora ochrony danych osobowych? 

Inspektor danych osobowych musi zostać powołany przez:

• podmioty publiczne, 
• podmioty przetwarzające dane wrażliwe na dużą skalę, 
• podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. 

Inspektora danych mogą wyznaczyć także inne jednostki organizacyjne, nie są jednak do tego zobligowane na mocy obowiązujących przepisów prawnych. 

Jakie kwalifikacje musi posiadać osoba pełniąca funkcję inspektora ochrony danych osobowych? 

Artykuł 37 Rozporządzenia o Ochronie Danych Osobowych (RODO) wymaga od osoby pełniącej funkcję inspektora danych osobowych odpowiednich kwalifikacji zawodowych. Z uwagi na charakterystykę wykonywanej pracy, kandydat na to stanowisko musi wykazywać się interdyscyplinarną wiedzą. Powinien on posiadać: 

• szeroką wiedzę informatyczną, 
• doskonałą orientację w najnowszych technologiach wykorzystywanych w zakresie przetwarzania danych osobowych, 
• umiejętności dotyczące poprawnej komunikacji, 
• zdolność skutecznego przekazywania wiedzy, 
• umiejętność negocjacji i mediacji, 
• wiedzę niezbędną do efektywnego zarządzania projektami. 

Osoba pełniąca funkcję inspektora ochrony danych osobowych musi także wykazywać się zrozumieniem i umiejętnością prawidłowej interpretacji przepisów z zakresu ochrony danych osobowych. Potrafi ponadto:

• przekazywać przetwarzającym dane osobowe jednostkom niezbędne informacje o obowiązkach spoczywających na nich na mocy rozporządzeń i przepisów o ochronie danych, a także doradzać im w tej sprawie,
• monitorować przestrzeganie rozporządzenia o ochronie danych osobowych, innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, 
• podejmować niezbędne działania zwiększające świadomość w zakresie ochrony danych – szkolić personel uczestniczący w operacjach przetwarzania oraz przeprowadzać stosowne audyty, 
• udzielać zaleceń co do oceny skutków dla ochrony danych i monitorować ich wykonanie,
• prowadzić efektywną współpracę z organem nadzorczym. 

Osoba pełniąca funkcję inspektora ochrony danych musi być ponadto świadoma ryzyka związanego z operacjami przetwarzania. Kwalifikacje niezbędne do objęcia tego stanowiska w jednostce organizacyjnej można zdobyć, uczestnicząc w specjalistycznych szkoleniach. Kurs inspektora ochrony danych osobowych oferuje renomowana placówka szkoleniowa Bureau Veritas. 

Kto nie może być powołany na inspektora ochrony danych osobowych? 

Zgodnie z artykułem 38 Rozporządzenia o Ochronie Danych Osobowych (RODO) inspektor ochrony danych osobowych może wykonywać inne zadania i obowiązki, lecz tylko wtedy, gdy nie powodują one konfliktu interesów. Na stanowisko to nie może więc zostać powołana osoba zajmująca w organizacji stanowisko związane z określaniem sposobów i celów przetwarzania danych. Funkcji inspektora ochrony danych osobowych nie mogą pełnić: 

• dyrektor generalny, 
• dyrektor ds. operacyjnych, 
• dyrektor finansowy, 
• dyrektor ds. medycznych, 
• kierownik działu marketingu, 
• kierownik działu HR, 
• kierownik działu IT, 

a także pracownicy na niższych stanowiskach, jeżeli biorą udział w określaniu celów i sposobów przetwarzania danych. 

Proces powoływania na stanowisko inspektora ochrony danych osobowych

Inspektor ochrony danych może być zatrudniony na podstawie umowy o świadczenie usług bądź być członkiem personelu administratora lub podmiotu przetwarzającego. Osoba wyznaczana jest na to stanowisko na podstawie posiadanych kwalifikacji zawodowych, szczególnie fachowej wiedzy z zakresu prawa i praktyk w dziedzinie ochrony danych, a także umiejętności wykonywania zadań leżących w zakresie kompetencji związanych z pełnioną funkcją. 

Po powołaniu inspektora danych osobowych, administrator lub podmiot przetwarzający publikuje jego dane na stronie internetowej jednostki organizacyjnej lub w miejscu prowadzenia działalności, w sposób ogólnie dostępny. Organy te w terminie 14 dni od dnia wyznaczenia inspektora mają również obowiązek zawiadomienia Prezesa Urzędu i przekazania mu imienia, nazwiska oraz adresu e-mail lub numeru telefonu kontaktowego osoby wybranej do pełnienia tej funkcji.