Jakie kryteria powinien spełniać IOD określono w rozporządzeniu w art. 37.
Inspektora ochrony danych wyznacza się na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.
Art. 37 ust.5 RODO
Motyw 97 przewiduje, że niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają przetwarzane przez administratora lub podmiot przetwarzający dane osobowe.
Grupa Robocza Art. 29 w Wytycznych dotyczących inspektora ochrony danych (ang. DPO) komentuje poszczególne kryteria wyboru IOD.
Pierwsze kryterium IOD – Poziom wiedzy fachowej
Trudno o jasne i precyzyjne określenie poziomu czy zakresu wiedzy fachowej, ale jak słusznie stwierdzają Wytyczne musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Przy wyborze DPO należy zatem kierować się specyfiką kategorii czy sposobu przetwarzanych przez administratora czy podmiot przetwarzający danych. Niemałe znaczenie ma tu kontekst biznesowy. Inne będą kryteria IOD w zakresie wiedzy fachowej gdy administrator przetwarza dane szczególnej kategorii w dużym szpitalu, a jeszcze inne gdy przetwarza dane klientów w dużym serwisie internetowym.
Kwalifikacje zawodowe
Podobnie jak wcześniej art. 37 nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając DPO. Oczywistym jest, na co wskazuje Grupa, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk. Powinien wykazywać się także dogłębną znajomością RODO. Podobnie jak pisaliśmy wcześniej przydatna jest również wiedza na temat danego sektora i podmiotu administratora. Z naszego doświadczenia wynika, że jakkolwiek biegłość w zagadnieniach RODO to warunek sine qua non, to bez wiedzy branżowej wielokrotnie ani rusz…
Bardzo ważnym atutem kandydata będzie z pewnością wiedza na temat procesów biznesowych i procedur, operacji przetwarzania danych czy też systemów informatycznych. Staje się to wręcz niezbędne, ponieważ w dzisiejszych czasach większość danych osobowych przetwarza się właśnie z wykorzystaniem technologii IT. Ważna jest także wiedza na temat sposobów zabezpieczenia danych w kontekście działalności administratora.
Możliwość wykonania zadań
Przez możliwość należy rozumieć uwarunkowania zewnętrzne, jak i wewnętrzne. Zewnętrzne to pozycja DPO w organizacji. Nasze doświadczenia pokazują, że rekomendacje IOD dotyczące przetwarzania danych stoją niejednokrotnie w sprzeczności z celami poszczególnych komórek w organizacji. W takich przypadkach osoby odpowiedzialne nie chcą wziąć odpowiedzialności za odstępstwo od rekomendacji IOD. Zamiast tego próbują wymusić zmianę tejże rekomendacji przez IOD. Mamy tu do czynienia z konfliktem celów.
Uwarunkowania wewnętrzne to oczywiście same kwalifikacje, doświadczenie oraz cechy „miękkie”, takie jak umiejętność znajdowania kompromisu, ale i asertywność. Nie do pominięcia jest etyka zawodowa.
Wytyczne podkreślają, że priorytetem DPO powinno być zapewnienie przestrzegania rozporządzenia. Grupa podkreśla, że DPO odgrywa kluczową rolę w zakresie kreowania i wspierania „kultury ochrony danych” w ramach podmiotu. Pomaga w każdej z faz związanych z RODO w podmiocie – identyfikowaniu, ocenianiu oraz zarządzaniu.
IOD uczestniczy w:
- implementacji niezbędnych elementów RODO takich jak np. polityki czy zasady przetwarzania danych osobowych np. polityka retencyjna,
- planowaniu procesów operacyjnych zarządzania RODO np. zarządzanie upoważnieniami,
- realizacji praw osób, których dane dotyczą,
- ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by by design and default),
- tworzenia rejestru czynności przetwarzania,
- wymogów bezpieczeństwa przetwarzania,
- zgłoszenia naruszeń.
Podsumowując, wsród kryteriów przy wyborze IOD niezbędne są wiedza i doświadczenie w obszarze samego rozporządzenia. Nie należy jednak zapomnieć o tym, by taka osoba posiadała jak najszerszą wiedzę o kontekście działalności administratora. Dodatkowo także o procesach biznesowych, procedurach, możliwych środkach technicznych, w tym w szczególności systemach IT.
Warto pamiętać jakie zadania ma IOD i kiedy należy powołać IOD.
