25 maja 2018 roku ma wejść w życie ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych (RODO). Od tej chwili fachowego wsparcia dla administratorów danych udzielać będą inspektorzy ochrony danych. Jakie warunki należy spełnić, by dołączyć do ich grona?

Czym będzie zajmował się Inspektor Ochrony Danych?

Inspektorzy Ochrony Danych (DPO) przejmą zakres obowiązków obecnych administratorów bezpieczeństwa informacji (ABI). Mają sprawować nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych w administracji publicznej oraz w sektorze prywatnym. Do ich zadań należeć będą m.in.: pouczanie administratora o spoczywających na nim obowiązkach wynikających z rozporządzenia, szkolenie personelu uczestniczącego w operacjach przetwarzania, przeprowadzanie systematycznych audytów w swoim miejscu pracy czy pomaganie w wdrażaniu efektywnych środków technicznych i organizacyjnych, mających zabezpieczyć dane osobowe.

Wraz ze zmianą przepisów znaczenie stanowiska inspektora ochrony danych znacznie wzrośnie. W wielu sytuacjach wyznaczenie DPO stanie się obowiązkiem administratora. Obecnie jest on uprawniony, by powołać ABI, jednak prawo nie narzuca na niego żadnego obowiązku.

Kto może zostać Inspektorem Ochrony Danych?

Na stanowisko inspektora ochrony danych mianowany może zostać pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników wspomnianych podmiotów. Możliwe będzie zlecanie wykonania zadań DPO zewnętrznym firmom specjalizującym się w danej branży. Nowa ustawa akcentuje jednak, że w przypadku outsourcingu należy zwrócić szczególną uwagę na: unikanie konfliktu interesów u osoby pełniącej funkcję inspektora, gwarancję jej niezależności, łatwości nawiązania z nią kontaktu, właściwego i terminowego włączania jej we wszystkie sprawy dotyczące ochrony danych osobowych.

Jakie kwalifikacje musi posiadać Inspektor Ochrony Danych?

  • Szczególnie istotna jest posiadanie wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia obowiązków, o których traktuje art. 39 RODO.
  • Osoba mianowana na to stanowisko musi wykazywać się dogłębną znajomością rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych.
  • Ma być też w stanie realizować postanowienia rozporządzenia w praktyce. Niezbędna do tego celu jest wiedza dotycząca procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora.
  • Dodatkowy atut stanowi wiedza biznesowa i sektorowa dotycząca działalności administratora. Inspektorzy zatrudniani w sektorze publicznym muszą też znać procedury administracyjne oraz zasady funkcjonowania danej jednostki.

Rozporządzenie nie określa jasno kryteriów zawodowych, które musi spełniać inspektor ochrony danych. To administrator danych powinien podjąć decyzję, jakiej wiedzy i doświadczenia oczekuje. Stopień wykształcenia i rodzaj kwalifikacji osoby na tym stanowisku powinien być uzależniony od ilości oraz rodzaju informacji przetwarzanych w danej jednostce organizacyjnej.