Inspektor nie powinien ponosić żadnych negatywnych konsekwencji z tytułu wykonywanych przez niego zadań, takich jak rozwiązanie stosunku pracy (umowy cywilnoprawnej) czy kar w postaci pozbawiania możliwości awansu lub braku premiowania
25 maja 2018 r. zaczną obowiązywać przepisy o ochronie danych, które w miejsce obecnego administratora bezpieczeństwa informacji (ABI) wprowadzają inspektora ochrony danych. W związku z pojawiającymi się pytaniami co do jego statusu, pozycji w organizacji i obowiązków Grupa Robocza Art. 29 przyjęła 13 grudnia 2016 r. wytyczne. Mają one pomóc organizacjom w stworzeniu odpowiednich warunków dla efektywnego wykonywania zadań przez inspektora.
Łatwiejszy kontakt
Pierwszym z nowych rozwiązań, jakie wprowadza rozporządzenie, jest możliwość wyznaczenia jednego inspektora dla kilku organizacji. To zmiana korzystna dla przedsiębiorstw powiązanych ze sobą kapitałowo lub organizacyjnie, zwłaszcza o podobnym profilu działalności. Przy wyborze tego typu rozwiązania należy pamiętać o obowiązku zapewnienia łatwego nawiązania kontaktu z inspektorem przez podmiot danych, organ nadzoru czy przez osoby wewnątrz organizacji. Dostępność inspektora nie musi się łączyć z koniecznością jego fizycznego przebywania w określonym miejscu, lecz może zostać zapewniona poprzez środki komunikacji elektronicznej (e-mail, telefon). Warto jednak w tym miejscu zasygnalizować, że w przypadku organizacji o zasięgu międzynarodowym, zwłaszcza w kontakcie z podmiotami danych oraz organami nadzoru, barierą może okazać się język.
Wsparcie organizacji
Obowiązkiem każdej organizacji powołującej inspektora ochrony danych jest stworzenie mu odpowiednich warunków dla efektywnego wykonywania jego zadań. Przede wszystkim powinien on mieć zapewniony dostęp do wszelkich zasobów, danych i informacji o procesach przetwarzania oraz narzędzi niezbędnych dla utrzymania oraz pogłębiania jego fachowej wiedzy (szkolenia, systemy informacji prawnej). Inspektor powinien być wspierany przez kierownictwo i odpowiednio angażowany przez organizację w jej działalność, m.in. poprzez możliwość uczestnictwa w spotkaniach wyższego i średniego szczebla. Organizacja ma również przekazywać inspektorowi wsparcie finansowe, infrastrukturalne (lokale, urządzenia, sprzęt, zasoby ludzkie), które mogą być mu pomocne, a często wręcz niezbędne do realizacji jego obowiązków. Kluczowym jest także zapewnienie inspektorowi odpowiedniej ilości czasu na wykonywanie jego zadań. Dotyczy to zwłaszcza sytuacji, w których zostaje on zatrudniony w niepełnym wymiarze pracy lub sprawuje w organizacji jeszcze inną funkcję.
Przepisy rozporządzenia nie określają, jaki poziom wiedzy powinien posiadać inspektor. Podkreśla się jednak, że musi to być osoba znająca przepisy oraz posiadająca doświadczenie w ich stosowaniu, zarówno na poziomie krajowym, jak i międzynarodowym. GR 29 wskazuje, że inspektor powinien być rzetelny, posiadać najwyższe standardy etyczne. Co więcej, osoba wyznaczona do sprawowania tej funkcji powinna posiadać także wiedzę techniczną, która umożliwi jej wydawanie odpowiednich rekomendacji np. co do stosowania środków zabezpieczających. Starannie wybrany inspektor to taki, który zna sektor działalności przedsiębiorcy (a więc tym samym przepisy branżowe regulujące jego działalność) i jest zdolny do promowania ochrony danych osobowych wewnątrz organizacji.
Dla kogo ta funkcja
W świetle powyższego zasadne jest stwierdzenie, iż dużym atutem inspektora będzie posiadanie wykształcenia prawniczego, co umożliwi mu płynne poruszanie się w obszarze prawnym oraz zapewni prawidłową reprezentację organizacji przed organem nadzoru. Nie jest to jednak warunek konieczny.
Funkcję inspektora może sprawować nie tylko osoba wyznaczona spośród personelu organizacji, lecz możliwe jest korzystanie w tym zakresie z usług zewnętrznych podmiotów. Konieczne jest wtedy precyzyjne wskazanie w umowie o świadczenie usług podziału zadań, jak również wyznaczenie osoby odpowiedzialnej po stronie dostawcy usługi za wykonywanie obowiązków inspektora. Skorzystanie z usług podmiotów zewnętrznych ma zarówno wady, jak i zalety.
Brak konfliktu interesów
Z jednej strony podmioty te posiadają zespoły, które wspólnie, zarówno w sferze prawnej, jak i technicznej wspierają organizację, z drugiej zaś potrzeby organizacji (jej struktura, ilość procesów, rodzaj i skala przetwarzanych danych) mogą znacznie wykraczać poza standardową dyspozycyjność takiego usługodawcy. Decydując się na wybór zewnętrznego dostawcy, dobrze jest więc uprzednio dokonać weryfikacji kompetencji oraz dostępności jego personelu.
Niewątpliwie istotny jest również aspekt braku konfliktu interesów, który w każdej organizacji powinien być oceniany w sposób indywidualny. Uwzględnić tutaj należy pozycję inspektora (wewnętrzny lub zewnętrzny), specyfikę struktury organizacji czy rodzaj przetwarzanych przez nią danych. Z pewnością jednak inspektor nie może jednocześnie sprawować funkcji wiążącej się z decydowaniem o celach i sposobach przetwarzania danych. Z tego względu inspektor nie powinien jednocześnie obejmować stanowisk kierowniczych w organizacji takich jak dyrektor finansowy, operacyjny, medyczny, marketingu, kadr czy IT ani stanowisk niższego szczebla, jeśli łączyłyby się w jakimkolwiek stopniu z decyzyjnością w tym obszarze.
Bez konsekwencji
Rozporządzenie zapewnia inspektorowi pełną niezależność przy sprawowaniu jego funkcji. Gwarancją jego autonomii będzie przede wszystkim brak instrukcji organizacji co do wykonywanych przez niego zadań. Organizacja nie jest uprawniona do wydawania inspektorowi wytycznych co do wyniku przeprowadzanych przez niego audytów czy sposobu rozpatrywania skarg. Inspektor nie powinien też ponosić żadnych negatywnych konsekwencji z tytułu wykonywanych przez niego zadań, takich jak rozwiązanie stosunku pracy (umowy cywilnoprawnej) czy kar w postaci pozbawiania możliwości awansu lub braku premiowania.
Podmiot odpowiedzialny
Na zakończenie warto przypomnieć, że pomimo jego niezwykle istotnej funkcji w organizacji brak jest osobistej odpowiedzialności inspektora za niezgodność działalności organizacji z przepisami rozporządzenia. Podmiotem odpowiedzialnym za przestrzeganie przepisów ochrony danych jest odpowiednio administrator lub podmiot przetwarzający, na którym ciąży również obowiązek wykazania, że przetwarza dane zgodnie z rozporządzeniem.