Jakie kwalifikacje musi posiadać posiadać Inspektor Ochrony Danych Osobowych (DPO)?

Rafał Andrzejewski | 28.02.2018

Zgod­nie z art. 37 ust. 5 RODO In­spek­tor Och­ro­ny Da­nych ( DPO) jest wy­zna­cza­ny na pod­sta­wie kwa­li­fi­ka­cji za­wo­do­wych, a w szcze­gól­no­ści wie­dzy fa­cho­wej na te­mat pra­wa i prak­tyk w dzie­dzi­nie ochro­ny da­nych oraz umie­jęt­no­ści wy­peł­nie­nia za­dań, o któ­rych mo­wa w art. 39 RODO. Po­ziom wie­dzy in­spek­to­ra po­wi­nien być usta­la­ny w kon­tek­ście kon­kret­nych po­trzeb ad­mi­ni­stra­to­ra da­nych i pro­ce­so­ra (mo­tyw 97 RODO).

Po­wyż­sze wska­zu­je, że aby móc w spo­sób na­le­ży­ty wy­ko­ny­wać swo­je obo­wiąz­ki in­spek­tor ochro­ny da­nych po­wi­nien wy­ka­zy­wać się wie­dzą za­rów­no teo­re­tycz­ną, jak i prak­tycz­ną do­ty­czą­cą ogól­ne­go roz­po­rzą­dze­nia o ochro­nie da­nych oraz prze­pi­sów kra­jo­wych re­gu­lu­ją­cych prze­twa­rza­nie da­nych. Zgod­nie z Wy­tycz­ny­mi do­ty­czą­cych in­spek­to­rów da­nych oso­bo­wych Gru­py Ro­bo­czej art. 29 in­spek­tor ochro­ny da­nych po­wi­nien po­sia­dać od­po­wied­nią wie­dzę z za­kre­su kra­jo­wych i eu­ro­pej­skich prze­pi­sów o ochro­nie da­nych oso­bo­wych i prak­tyk, jak rów­nież do­głęb­ną zna­jo­mość prze­pi­sów RODO. Za­le­ca­na jest rów­nież wie­dza bi­zne­so­wa i sek­to­ro­wa do­ty­czą­ca dzia­łal­no­ści ad­mi­ni­stra­to­ra. DPO po­wi­nien rów­nież po­sia­dać od­po­wied­nią wie­dzę na te­mat pro­ce­sów prze­twa­rza­nia da­nych, sys­te­mów in­for­ma­tycz­nych oraz za­bez­pie­czeń sto­so­wa­nych u ad­mi­ni­stra­to­ra i je­go po­trzeb w za­kre­sie ochro­ny da­nych.  W przy­pad­ku or­ga­nów i podmio­tów pu­blicz­nych DPO po­wi­nien rów­nież wy­ka­zy­wać się zna­jo­mo­ścią pro­ce­dur ad­mi­ni­stra­cyj­nych i funk­cjo­no­wa­nia jed­nost­ki.

Jak wska­zu­je Gru­pa Ro­bo­cza art. 29 wy­ma­ga­ny po­ziom wie­dzy fa­cho­wej nie jest ni­gdzie jed­no­znacz­nie okre­ślo­ny, ale mu­si być współ­mier­ny do cha­rak­te­ru, skom­pli­ko­wa­nia i ilo­ści da­nych prze­twa­rza­nych w ra­mach jed­nost­ki. Ty­tu­łem przy­kła­du – w przy­pad­ku wy­jąt­ko­wo zło­żo­nych pro­ce­sów prze­twa­rza­nia da­nych oso­bo­wych lub w przy­pad­ku prze­twa­rza­nia du­żej ilo­ści da­nych szcze­gól­nej ka­te­go­rii, moż­na wy­ma­gać wyż­sze­go po­zio­mu wie­dzy. Po­dob­nie bę­dzie w przy­pad­ku ob­słu­gi przez DPO podmio­tów re­gu­lar­nie prze­ka­zu­ją­cych da­ne do państw trze­cich. W związ­ku z tym wy­bór in­spek­to­ra ochro­ny da­nych po­wi­nien być do­ko­na­ny z za­cho­wa­niem na­le­ży­tej sta­ran­no­ści i z uwzględ­nie­niem cha­rak­te­ru prze­twa­rza­nia da­nych oso­bo­wych w ra­mach jed­nost­ki.

Zna­cze­nie fa­cho­wej, a za­tem sta­le uak­tu­al­nia­nej wie­dzy DPO zo­sta­ło pod­kre­ślo­ne przez zo­bo­wią­za­nie ad­mi­ni­stra­to­rów da­nych i pro­ce­so­rów do za­pew­nie­nia in­spek­to­ro­wi za­so­bów nie­zbęd­nych do utrzy­ma­nia je­go wie­dzy fa­cho­wej, a za­tem sys­te­ma­tycz­ne­go podno­sze­nia po­zio­mu je­go wie­dzy. Wy­móg uak­tu­al­nia­nia wie­dzy i za­pew­nie­nia na to środ­ków fi­nan­so­wych jest uza­sad­nio­ny wo­bec zmie­nia­ją­ce­go się sta­le sta­nu wie­dzy tech­nicz­nej, roz­wo­ju tech­no­lo­gicz­ne­go i po­stę­pu wiel­ko­ska­lo­wych me­tod prze­twa­rza­nia da­nych. Z pew­no­ścią moż­na twier­dzić, że w funk­cję in­spek­to­ra ochro­ny da­nych wpi­sa­ne jest cią­głe kształ­ce­nie się, uwzględ­nia­nie zmian w pra­wie oraz zmian w me­todach prze­twa­rza­nia da­nych.

Ad­mi­ni­stra­tor oraz podmiot prze­twa­rza­ją­cy ma obo­wią­zek wła­ści­we­go i bez­zwłocz­ne­go włą­cza­nia DPO we wszyst­kie spra­wy do­ty­czą­ce ochro­ny da­nych oso­bo­wych (art. 38 ust. 1 RODO). Ad­mi­ni­stra­tor da­nych lub podmiot prze­twa­rza­ją­cy po­wi­nien umoż­li­wić in­spek­to­ro­wi ochro­ny da­nych czyn­ny udział we wszyst­kich spra­wach do­ty­czą­cych pro­ce­sów prze­twa­rza­nia da­nych oso­bo­wych oraz na bie­żą­co prze­ka­zy­wać mu wszyst­kie in­for­ma­cje zwią­za­ne z wy­ko­ny­wa­niem je­go za­dań. Tym sa­mym wie­dza in­spek­to­ra ma obej­mo­wać in­for­ma­cje o każ­dej spra­wie do­ty­czą­cej prze­twa­rza­nia i ochro­ny da­nych oso­bo­wych, w da­nej jed­no­st­ce or­ga­ni­za­cyj­nej.

W od­nie­sie­niu do umie­jęt­no­ści (moż­li­wo­ści) wy­ko­ny­wa­nia za­dań cią­żą­cych na DPO Gru­pa Ro­bo­cza art. 29 w Wy­tycz­nych do­ty­czą­cych in­spek­to­rów da­nych oso­bo­wych wska­zu­je, że moż­li­wość ta po­win­na być in­ter­pre­to­wa­na za­rów­no przez pry­zmat cech i kwa­li­fi­ka­cji DPO, jak rów­nież je­go po­zy­cji w struk­tu­rach podmio­tu. Do cech in­spek­to­ra ochro­ny da­nych, pożąda­nych w związ­ku z peł­nie­niem tej funk­cji,  za­li­czyć moż­na rze­tel­ne po­dej­ście i wy­so­ki po­ziom ety­ki za­wo­do­wej oraz prio­ry­te­to­we trak­to­wa­nie swo­ich obo­wiąz­ków. Jest to szcze­gól­nie istot­ne w za­kre­sie za­pew­nie­nia prze­strze­ga­nia RODO, po­nie­waż wy­two­rze­nie efek­tyw­nej po­li­ty­ki ochro­ny da­nych oso­bo­wych w or­ga­ni­za­cji za­le­ży w du­żej mie­rze od dzia­łal­no­ści DPO.

Prze­pi­sy na­kła­da­ją na ad­mi­ni­stra­to­rów da­nych obo­wią­zek za­pew­nie­nia środ­ków i or­ga­ni­za­cyj­nej odręb­ność In­spek­to­ra Da­nych Oso­bo­wych ( DPO)  nie­zbęd­nych do nie­za­leż­ne­go wy­ko­ny­wa­nia przez nie­go za­dań. Mo­że wią­zać się to z du­ży­mi na­kła­da­mi fi­nan­so­wy­mi. War­to za­tem roz­wa­żyć, czy nie zle­cić peł­nie­nia funk­cji DPO.  wy­spe­cja­li­zo­wa­nej fir­mie ze­wnętrz­nej. Mo­wa tu o tzw. out­so­ur­cin­gu funk­cji DPO. Ro­zwią­za­nie ta­kie jest praw­nie do­pusz­czal­ne. Na­le­ży jed­nak pa­mię­tać, by w umo­wie z fir­mą ze­wnętrz­na by­ły wska­za­ne da­ne kon­kret­nej oso­by fi­zycz­nej, któ­ra bę­dzie peł­ni­ła obo­wiąz­ki DPO. Out­so­ur­cing funk­cji DPO mo­że zy­ski­wać na po­pu­lar­no­ści ze wzglę­du na to, że w wie­lu przy­pad­kach oka­że się roz­wią­za­niem tań­szym niż two­rze­nie no­we­go sta­no­wi­ska pra­cy.

Źró­dło:

– gio­do.gov.pl