Inspektor ochrony danych osobowych zgodnie z przepisami RODO powołany musi zostać w każdej instytucji lub firmie, która na dużą skalę przetwarza dane wrażliwe, lub bierze udział w monitorowaniu osób w szerokim zakresie. Może być on wybrany spośród pracowników tej organizacji, ale wiele podmiotów decyduje się na powierzenie tej funkcji osobie z zewnątrz, na podstawie umowy cywilnoprawnej. Zatrudniając zewnętrznego inspektora danych osobowych (IOD) warto zapoznać się dokładnie z jego zakresem odpowiedzialności i znać kryteria, które pozwolą na dokonanie właściwego wyboru.

Jakie są obowiązki inspektora ochrony danych osobowych?

Stosowne przepisy określają, że podstawowym obowiązkiem IOD jest zapewnienie przestrzegania rozporządzenia RODO. W szczególności jest on zobowiązany do współpracy z odpowiednimi służbami wewnątrz jednostki w zakresie:

•        tworzenia i wdrażania wymaganych dokumentów: polityk, procedur i instrukcji,
•        projektowania i opisywania procesów operacyjnych gwarantujących przestrzeganie RODO,
•        zapewnienia osobom, których dane są w jakikolwiek sposób przetwarzane wszelkich przysługujących im praw,
•        chronienia danych w czasie procesu przygotowawczego do wdrożenia RODO,
•        budowania rejestru przetwarzania i ustanowienia wymogów jego bezpieczeństwa,
•        przyjmowaniu zgłoszeń dotyczących naruszeń i prawidłowego postępowania w przypadku ich stwierdzenia.

Jest to szereg odpowiedzialnych i niełatwych zadań, których niewłaściwa realizacja może przynieść jednostce zbierającej, administrującej i przetwarzającej dane poważne konsekwencje prawne i finansowe. Dlatego wybór inspektora ochrony danych osobowych powinien być starannie przemyślane, a cena tej usługi w żadnym wypadku nie powinna stać się kryterium decydującym o tym, komu powierzyć te zadania.

Jakie są kryteria wyboru inspektora danych osobowych?

W publikacjach dotyczących RODO i IOD brak wskazówek, które mogłyby jednoznacznie pomóc w wyborze osoby pełniącej rolę inspektora. Są jednak trzy żelazne warunki, bez spełnienia których trudno sobie wyobrazić prawidłowe wypełnianie obowiązków na tym stanowisku.

Wiedza fachowa

Musi być ona dostosowana do ilości, złożoności i charakteru danych przetwarzanych przez jednostkę. Inspektor musi posiadać więcej niż podstawową wiedzę na temat branży w której działa obsługiwany przez niego podmiot. W innych bowiem zagadnieniach musi się on orientować, jeśli działa na rzecz np. kancelarii adwokackiej, a inne, jeśli pracuje dla placówki ochrony zdrowia.

Kwalifikacje zawodowe

Inspektor danych osobowych musi orientować się bardzo dobrze w zakresie krajowych i europejskich przepisów z zakresu ochrony danych osobowych oraz dogłębnie znać rozporządzenie RODO. Musi znać praktyczne sposoby zabezpieczania danych i na bieżąco umieć obserwować najlepsze praktyki w tym zakresie. W tym celu będą mu niezbędne umiejętności z obszaru technologii IT. Trudno bowiem mówić o bezpieczeństwie danych, bez orientowania się w służących do tego systemach informatycznych. IOD musi też posiadać podstawowe kompetencje związane z branżą podmiotu na rzecz którego działa.

Swoboda działania i umiejętności miękkie

To kryterium najbardziej przemawia za zatrudnieniem zewnętrznego inspektora danych osobowych - jest niezależny od struktury w której działa, nie podlega kierownikowi żadnej z komórek organizacji, nie musi się więc nikomu podporządkowywać i nikt nie ma możliwości wpływania na jego rekomendacje. W przypadku, gdy rolę tę pełni pracownik jednostki, mamy tu do czynienia z typowym konfliktem celów.

Inspektor powinien także charakteryzować się wysokim poziomem asertywności, umiejętnością wypracowania kompromisów i silną etyką zawodową. Bez tych bardzo trudnych do oceny cech nie sposób mówić o właściwym wypełnianiu obowiązków na tym stanowisku. Warto więc uważnie przeanalizować kandydaturę, aby mieć pewność, że np. za niezwykle korzystną ceną nie stoi brak w/w opisanych umiejętności lub predyspozycji.

Monika Zygmunt-Jakuć (Inspektor ochrony danych)