Kwalifikacje osoby wyznaczonej na Inspektora Ochrony Danych

29 czerwca 2018

Opublikowano przez: Natalia Stojanowska

KATEGORIA: RODO informator

Określając zakres kompetencji, jakie powinna posiadać osoba wyznaczona na stanowisko Inspektora Ochrony Danych (dalej jako „IOD” lub „Inspektor”), unijny prawodawca nie zdecydował się na wskazanie zamkniętego katalogu wymogów formalnych, a jedynie posłużył się pojęciem nieostrym, wskazując, że IOD powinien być wyznaczany na podstawie kwalifikacji zawodowych.

Przez pojęcie kwalifikacji zawodowych rozumie się zestaw wiedzy i umiejętności wymaganych do realizacji zadań zawodowych w określonej specjalności. Pojęcie kwalifikacji zawodowych zwykle utożsamia się z wykształceniem oraz zawodowym stażem pracy[1].

Unijny ustawodawca doprecyzował jedynie, że przez kwalifikacje zawodowe należy rozumieć w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia swoich zadań, określonych w art. 39 ust. 1 RODO[2].

Fachowa wiedza na temat prawa i praktyk w dziedzinie ochrony danych

Niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający[3]. Musi być jednak współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach organizacji. Jego ocena powinna być dokonana z zachowaniem należytej staranności i należy brać pod uwagę charakter przetwarzania danych w ramach jednostki[4].

Pomimo że wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, Grupa Robocza Art. 29 określiła wytyczne w zakresie wymaganych kwalifikacji, doprecyzowując, że kandydat na IOD powinien posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO, wiedzę na temat danego sektora i podmiotu administratora, odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych.

Relatywnie często konieczne będzie także zmodyfikowanie wymogów postawionych kandydatom na Inspektora, w zależności od tego, czy administratorem danych osobowych będzie organ czy podmiot publiczny, czy też nie[5].

Oprócz wymogów określonych przez Grupę Roboczą Art. 29, w literaturze przedmiotu podkreśla się, że IOD powinien posiadać wiedzę z pogranicza przepisów prawa i obszarów IT, w tym znajomości funkcjonowania systemów teleinformatycznych. Prawidłowa realizacja zadań na IOD w praktyce będzie wymagała posiadania przez niego wiedzy z różnych dziedzin, nie tylko wyżej wymienionych, ale również wiedzy z zakresu przeprowadzania szkoleń, metodologii prowadzenia kontroli i opracowywania specjalistycznej dokumentacji, czy umiejętności w zakresie relacji interpersonalnych[6].

Znaczenie fachowej wiedzy dla prawidłowego wykonywania funkcji IOD zostało dodatkowo zaakcentowane w przepisie art. 38 ust. 2 in fine RODO poprzez nałożenie na administratorów i podmioty przetwarzające obowiązku zapewnienia Inspektorowi zasobów niezbędnych do utrzymania jego wiedzy fachowej[7].

Umiejętność realizacji zadań określonych w art. 39 RODO

Zadania Inspektora zostały określone w art. 39 RODO i polegają na:

– informowaniu administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,

– monitorowaniu przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

– udzielaniu na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,

– współpracy z organem nadzorczym,

– pełnieniu funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzeniu konsultacji we wszelkich innych sprawach.

Inspektor powinien wypełnić swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania (art. 39 ust. 2 RODO).

Jak zauważa Grupa Robocza Art. 29, możliwość wykonywania zadań ciążących na Inspektorze powinna być interpretowana nie tylko przez kwalifikacje IOD, lecz również przez pryzmat cech osobowościowych, tj. rzetelne podejście do wykonywania swoich obowiązków i wysoki poziom etyki zawodowej[8].

Mimo że przepisy RODO nie regulują zasad czy trybu weryfikacji posiadania przez kandydata na stanowisko Inspektora kwalifikacji zawodowych, to jednak certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie Inspektora w większości będzie istotnym kryterium kwalifikacyjnym, przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji[9], albowiem są potwierdzeniem kwalifikacji zawodowych i stwarzają domniemanie, że legitymująca się nimi osoba ma odpowiednie kompetencje[10].

 

[1] M. Gawroński, M. Kibil, Inspektor ochrony danych osobowych – wyznaczenie i status, Lex/el.2018 i cyt. tam literatura.

[2] Art. 37 ust. 5 RODO.

[3] Motyw nr 97 RODO.

[4] Wytyczne dotyczące inspektorów ochrony danych („DPO”), Grupa Robocza Art. 29, s. 12, https://giodo.gov.pl/pl/1520285/9740; E. Bielak-Jomaa [w:] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Lex.

[5] J. Łuczak, Inspektor ochrony danych a Administrator bezpieczeństwa informacji, Lex/el.2018; IOD wyznaczony w organie albo podmiocie publicznym powinien posiadać wiedzę fachową w zakresie przepisów prawa dotyczących przetwarzania danych w ramach wykonywanych przez ten podmiot zadań publicznych, procedur administracyjnych i zagadnień ustrojowych (tak: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwińskiego, Lex).

[6] Tak: E. Bielak-Jomaa [w:] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Lex; podobnie: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwińskiego, Lex.

[7] Podobnie: E. Bielak-Jomaa [w:] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Lex.

[8] Wyznaczenie Inspektora Ochrony Danych (IOD), https://uodo.gov.pl/pl/121/192.

[9] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwińskiego, Lex.

[10] Zob. J. Unolt, Ekonomiczne problemy rynku pracy, Katowice 1999, s. 13.

Zobacz pełny artykuł