Kto nie może być IODem?

RODO poświęca Inspektorowi Ochrony Danych szczególną uwagę – określa jego predyspozycję, status i obowiązki. Przepisy RODO wyraźnie wskazują, kto może, a kto nie może być IODem. Oczywiście te regulacje – tak jak większość regulacji RODO – mają charakter ogólny, co zmusza nas do podejmowania każdorazowych analiz i interpretacji.

Kto zatem nie może być IODem?

1.IODem nie może być osoba, która nie ma pojęcia o ochronie danych albo jej wiedza z tego zakresu jest nikła. Przepis art. 37 ust. 5 RODO wyraźnie wskazuje, że IODem musi być osoba posiadająca kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Oczywiście IOD to nie człowiek od wszystkiego, ale RODO stawia mu dosyć wysokie wymagania. Nie można zatem wyznaczyć na Inspektora pierwszego lepszego pracownika czy też informatyka, który wprawdzie wie, jak zabezpieczyć dane w zakresie IT, ale nie ma pojęcia o przepisach RODO i przepisach ustawy o ochronie danych osobowych. RODO nie wymaga żadnych studiów czy kursów, ale na pewno posiadanie przez Inspektora wykształcenia prawniczego czy informatycznego albo dyplomu ukończenia studiów podyplomowych z zakresu ochrony danych będą znacznie przemawiały za tym, że kwalifikacje kandydata na IODa odpowiadają RODO.

2.IOD musi mieć zapewnioną niezależność i podlega najwyższemu kierownictwu administratora lub procesora (art. 38 ust. 3 RODO). Niezależność Inspektora jest jednym z najważniejszych przejawów jego statusu. Inspektor nie jest związany instrukcjami administratora lub procesora dotyczących wykonywania swoich zadań. IOD nie może być podległy kierownictwu średniego szczebla, ale odpowiada bezpośrednio przed samym administratorem lub procesorem np. w spółkach kapitałowych – przed zarządem. Niezależność przejawia się także w tym, że IODem nie może być osoba, która bierze u administratora udział w ustalaniu celów i sposobów przetwarzania danych. Z pewnością zatem Inspektorem nie będzie mógł być członek zarządu lub prokurent. Ponadto Grupa Robocza art. 29 wyraźnie wskazuje, że do stanowisk powodujących konflikt interesów przy powoływaniu IODa, należą: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Ponadto Inspektorem nie powinna być osoba, która wdrażała RODO u administratora lub procesora – wtedy taka osoba de facto kontrolowałaby „sama siebie”.

3.IOD to nie  „kwiatek do kożucha”, a zatem jeśli Inspektorem jest pracownik administratora lub procesora, może on wykonywać inne zadania, ale nie mogą one utrudniać lub uniemożliwiać mu pełnienia jego funkcji (np. z uwagi na czasowy zakres obowiązków), a także nie mogą powodować konfliktu interesów).

4.Inspektor musi być osobą zaufaną. Jest on odpowiedzialny do zachowania tajemnicy (z wyjątkiem relacji do organu nadzorczego). Dlatego przy wyborze Inspektora musimy kierować się również jego kwalifikacjami etycznymi oraz możliwością obdarzenia kandydata na IODa zaufaniem.

5.Inspektorem nie może być również osoba, która będzie nim tylko „na papierze”. Na przykład, funkcji Inspektora tak naprawdę nie jest w stanie spełniać „zewnętrzny IOD”, który ma zawartych kilkadziesiąt umów o obsługę z różnymi podmiotami. Taka sytuacja – niestety nierzadka w praktyce – stanowi wypaczenie funkcji IODa. Osoba, która zawarła taką ilość umów o obsługę w charakterze Inspektora nie jest w stanie fizyczne podołać takiemu obowiązkowi. W takich sytuacjach zwykle pozostaje Inspektorem jedynie „na papierze”, co w przypadku kontroli na pewno nie umknie uwadze Urzędu.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s