W jaki sposób należy oceniać kwalifikacje osoby kandydującej do pełnienia funkcji IOD?

IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.

Wymagany od inspektora poziom wiedzy fachowej nie jest jednoznacznie określony, ale zgodnie z Wytycznymi dotyczącymi IOD musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku:

  • wyjątkowo skomplikowanych procesów przetwarzania,
  • przetwarzania dużej ilości danych szczególnych kategorii,
  • podmiotów regularnie przekazujących dane do państw trzecich.

IOD powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat:

  • procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora,
  • sektora, w którym działa administrator,
  • procedur administracyjnych i funkcjonowania jednostki.

Jeśli chodzi o osobiste cechy IOD kwalifikujące go do wykonywania funkcji, to są to: rzetelne podejście i wysoki poziom etyki zawodowej.

Ocena kompetencji osoby do wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymaga udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (DPO) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Ważnym zadaniem IOD jest obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych (DPO)w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania RODO. IOD ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, tj.:

Znaczenie fachowej wiedzy w zakresie prawa i praktyki zostało dodatkowo podkreślone przez zobowiązanie administratorów i podmiotów przetwarzających do zapewnienia IOD zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Wymóg uaktualniania wiedzy i zapewnienia na to środków finansowych jest uzasadniony wobec zmieniającego się stale stanu wiedzy technicznej, rozwoju technologicznego i postępu wielkoskalowych metod przetwarzania danych.

IOD powinien kształcić się, rozwijać swoje doświadczenia i umiejętności w różnych formach edukacyjnych, a możliwość powołania się na wskazany art. 38 ust. 2 RODO może być mu bardzo pomocny w uzyskaniu niezbędnych na to środków finansowych.

Mimo, iż RODO bardzo mocno akcentuje wymóg wiedzy i fachowości IOD, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację:
user Monika Młotkiewicz
date 2019-01-07
Wprowadził informację:
user Edyta Madziar
date 2022-03-23 13:03:26
Ostatnio modyfikował:
user Łukasz Kuligowski
date 2022-12-08 14:43:01