Chcesz zostać Inspektorem Ochrony Danych lub planujesz powołanie takiej funkcji w Twojej firmie lub instytucji? W tym wpisie dowiesz się, kto może zostać Inspektorem Ochrony Danych i kiedy może wystąpić konflikt interesów.

Wymagania związane z pełnieniem funkcji Inspektora Ochrony Danych (IDO) zostały ogólnie określone w RODO. Kto zatem może pełnić tę funkcję?

Wymogi formalne.

Zacznę od wymogów formalno-prawnych, ponieważ te nie ulegają wątpliwości. Inspektorem Ochrony Danych może zostać osoba fizyczna, mająca pełną zdolność do czynności prawnych oraz posiadająca odpowiednią wiedzę. Co to jednak oznacza w praktyce? O jakie kompetencje warto zadbać, aby zostać IOD? Na co zwrócić uwagę powołując IOD, aby jego obecność w organizacji rzeczywiście poprawiła skuteczność systemu ochrony danych w Twojej organizacji.

Inspektor Ochrony Danych musi być osobą fizyczną. Wydaje się to oczywiste, kiedy zatrudniamy pracownika na etat. Jednak, jeśli decydujemy się na umowę o świadczenie usług z firmą świadczącą takie usługi to trzeba zwrócić na to uwagę przy zawieraniu takiej współpracy. Nawet jeśli umowa jest zawierana w imieniu spółki z ograniczoną odpowiedzialnością to w umowie należy wskazać z imienia i nazwiska konkretną osobę, która będzie w organizacji pełniła funkcję Inspektora Ochrony Danych. Podobnie, podczas zgłoszenia IOD do Urzędu Ochrony Danych Osobowych, należy podać imię i nazwisko Inspektora oraz jego dane kontaktowe.

Odpowiednia wiedza IOD, czyli jaka?

IOD powinien mieć wiedzę i na tym koniec.

Co to oznacza, że Inspektor Ochrony Danych ma posiadać odpowiednią wiedzę? Czy musi ukończyć jakiś kurs albo zdobyć konkretny certyfikat? Otóż, nie. IOD powinien mieć wiedzę i na tym koniec. Przepisy tu niczego nie narzucają. Zgodnie z art. 37 ust. 5 RODO każdy administrator danych powinien samodzielnie ocenić, czy osoba na tym stanowisku posiada wiedzę odpowiednią do skali organizacji, celu przetwarzania i rodzaju danych.

W praktyce więc, właściciel, kierownik jednostki organizacyjnej lub organ reprezentujący Spółkę (np. zarząd) sam musi podjąć decyzję co do tego, czy kwalifikacje danej osoby są wystarczające do pełnienia funkcji Inspektora Ochrony Danych. Działając we własnym interesie administrator danych powinien co do zasady wyznaczać osobę, która rzeczywiście ma taką wiedzę – nie tylko prawną – ale i praktyczną. Ponadto, wiedza biznesowa i rozumienie działania kluczowych procesów zachodzących w organizacji także pomoże w pełnieniu tej funkcji. Zdecydowanie większe kompetencje i doświadczenie powinien posiadać Inspektor Ochrony Danych działający w branży medycznej na dużą skalę, niż IOD wyznaczony w lokalnej firmie nie przetwarzającej danych wrażliwych.

Często powtarzam uczestnikom moich szkoleń dla Inspektora Ochrony Danych, że pełniąc funkcję, którą sobie wybrali trzeba być osobą wszechstronną. Moim zdaniem dobry IOD to osoba, która łączy wiedzę i cechy z następujących obszarów:

  • prawo, np. RODO, ustawy sektorowe, etc.
  • szkolenia, np. umiejetność prowadzenia szkoleń, łatwość objaśniania rzeczy trudnych, otwarta komunikacja, etc.
  • wiedza IT, np. o aktualnie możliwych zabezpieczeniach do zastosowania, wiedza na temat funkcjonowania podstawowych systemów, etc.
  • audyt, np. umiejętność planowania i prowadzenia audytu, łatwość i trafność w formułowaniu wniosków, etc.
  • psychologia, np. niepoddawanie się naciskom, nieocenianie osób tylko faktów, etc.
  • dobra organizacja, np. staranności i sumienność w wykonywaniu zadań, rzetelność w zbieraniu dowodów audytowych, etc.

Inspektor Ochrony Danych ma być niezależnym doradcą administratora danych, dlatego warto wybrać osobę, która będzie posiadała jak najwięcej umiejętności, wiedzy i doświadczenia, niezbędnego do pełnienia tej funkcji. Nawet jeśli IOD obecnie nie posiada wszystkich kompetencji to warto wybrać taką osobę, która będzie chciała podnosić swoją wiedzę i kształcić się w tym kierunku. Nie można bowiem zapomnieć o tym, że Inspektor Ochrony Danych musi być na bieżąco ze wszystkimi zmianami prawa i nowinkami technicznymi. Więcej o tej stronie pracy na stanowisku IOD pisałam w artykule, pt. “Jak Inspektor Ochrony Danych może podnieść swoje kompetencje?”.

Inspektor Ochrony Danych ma być niezależnym doradcą administratora danych.

Kto nie może zostać IOD?

Inspektor Ochrony Danych powinien być osobą niezależną. W związku z tym niektóre już istniejące  w organizacji role i zadania nie mogą się pokrywać z tą funkcją.

Dlaczego to takie ważne? Z zadań Inspektora Ochrony Danych opisanych w RODO wynika rola nadzorcza, nawet nad samym administratorem danych. Dlatego IOD powinien mieć zapewnione odpowiednie środki i organizacyjną odrębność, niezbędne do niezależnego wykonywania przez niego tych zadań. Inspektor Ochrony Danych musi mieć realną możliwość sprawowania swojej funkcji, raportowania o stwierdzonych nieprawidłowościach i naruszeniach bezpośrednio do administratora danych. Nie może otrzymywać poleceń od administratora danych, ani jego pracowników.

Warto mieć na uwadze, że wymóg niezależności i organizacyjnej odrębności uniemożliwia pełnienie funkcji Inspektora ochrony Danych przez osoby kierujące podmiotem lub będącym administratorem danych. W praktyce niedozwolone jest więc powołanie na stanowisko IOD takich osób, jak np. kierownik jednostki organizacyjnej, dyrektor szkoły, wójt, prezes lub członek zarządu spółki. Przyjęcie odmiennego stanowiska prowadziłoby do sytuacji, w których Inspektor Ochrony danych nadzoruje i kontroluje samego siebie. Administrator danych może jednak powołać w tej roli prokurenta. Warunkiem jednak jest zapewnienie mu organizacyjnej odrębności, a powierzenie zadań IOD nie może wpływać negatywnie na prawidłowe wykonywanie jego dotychczasowej roli.

Inspektorem Ochrony Danych nie może zostać Administrator Systemu Informatycznego (ASI)!

Inspektorem Ochrony Danych nie może zostać także Administrator Systemu Informatycznego (ASI), ponieważ tutaj również nastąpi konflikt interesów. Inspektor powinien kontrolować, np. wykonywanie kopii zapasowych, nadawanie i odbieranie uprawnień w systemie informatycznym. Jeśli funkcję IOD przejmie ASI nie można zapewnić jego niezależności i bezstronności, ponieważ to ASI odpowiada za wykonywanie i nadzorowanie tych zadań związanych z przetwarzaniem danych w systemach. Często niestety nadal spotykam się z takim połączeniem, szczególnie w jednostkach publicznych i małych firmach.

Jeśli organizacja decyduje się na powołanie IOD spośród swojego personelu trzeba zwrócić także uwagę na inne stanowiska w organizacji z którymi może wystąpić podobny konflikt interesów, jak np. dyrektor finansowy, kierownik kadr, główna księgowa, etc. Oprócz funkcji kierowniczych podobny konflikt może nastąpić przy stanowiskach tzw. niższego szczebla, jeśli osoba ta ma wpływ na zakres danych i cele przetwarzania lub jest jedyną osobą, która odpowiada za dany obszar. Takim przykładowym stanowiskiem może być, np. specjalista ds. księgowości, specjalista ds. kadr.

Jeśli masz wątpliwości, czy powołanie Inspektora Ochrony Danych w Twojej organizacji sprawdź czy i w jakim stopniu zadania na jej obecnym stanowisku pokrywają się z tymi, które powinna wykonywać pełniąc funkcję IOD. Niestety nie ma zamkniętego katalogu ról i stanowisk, które mogą przyczynić się do wystąpienia konfliktu interesów.

error: Nie kopiujemy!