Czy inspektor ochrony danych powinien być wyznaczany na podstawie takich samych kwalifikacji jak było to w przypadku administratora bezpieczeństwa informacji?

Wymogi stawiane inspektorom ochrony danych przez przepisy RODO są podobne do tych stawianych wcześniej ABI, ale nie są identyczne. Zgodnie z art. 36a ust. 5 pkt 2 ustawy o ochronie danych osobowych, osoba powoływana na stanowisko ABI powinna była posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. RODO zaś w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych (WP 243) musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku wyjątkowo skomplikowanych procesów przetwarzania, przetwarzania dużej ilości danych szczególnych kategorii, podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat: procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora, sektora w którym działa administrator, procedur administracyjnych i funkcjonowania jednostki.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora, spośród których kilka stanowi nowość w stosunku do wymogów stawianych ABI. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymagać będzie udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Nowym, ważnym zadaniem będzie obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania rozporządzenia. DPO ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, w tym zwłaszcza nowych obowiązków tj., np. ochrony danych w fazie projektowania oraz domyślnej ochrony danych, rejestru czynności przetwarzania, zgłaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych i podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Mimo iż ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości DPO, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

2018-05-22 Metadane artykułu
Podmiot udostępniający: Departament Rejestracji ABI i Zbiorów Danych Osobowych
Wytworzył informację: Monika Młotkiewicz 2018-05-22
Wprowadził‚ informację: Grzegorz Cześnik 2018-05-22 11:05:44
Ostatnio modyfikował: Filip Szymański 2018-05-25 12:51:16