W jaki sposób ocenić kwalifikacje osoby kandydującej do pełnienia funkcji IOD?

Przepisy RODO nadają Inspektorowi Ochrony Danych (dalej: IOD) wiele zadań i uprawnień, których realizacja wymaga dogłębnej znajomości nie tylko kwestii związanych z prawem ochrony danych osobowych, ale także z zakresu przepisów w sektorach odnoszących się do danej branży, niejednokrotnie konieczna jest znajomość zagadnień związanych z cyberbezpieczeństwem.

Znalezienie odpowiedniej osoby o tak interdyscyplinarnych kwalifikacjach jest zadaniem trudnym, a często pojawią się też u administratorów danych wątpliwości, w jaki sposób weryfikować i oceniać poziom wiedzy i doświadczenia prezentowany przez kandydatów na stanowisko IOD.

Wymagania w zakresie wiedzy fachowej kandydatów do pełnienia funkcji IOD

Przepisy RODO nie wskazują wprost, jakie kwalifikacje powinna mieć osoba pełniąca funkcje IOD. W motywie 97 Preambuły RODO wskazano, że „jeżeli przetwarzania dokonuje organ publiczny […] lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator […] to w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych […] Niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Tacy inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.

Z kolei z art. 37 ust. 5 RODO wynika, że IOD jest wyznaczany na podstawie kwalifikacji zawodowych, zwłaszcza wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Z powołanych zapisów wynika, że osoba pełniąca funkcję IOD musi posiadać „wiedzę fachową” i „kwalifikacje zawodowe”. W żadnym jednak z przepisów RODO nie zostało uszczegółowione, jakie konkretnie wymogi dotyczące chociażby wykształcenia i doświadczenia zawodowego powinna spełniać osoba, która chciałaby zostać IOD.

Jak rozumieć pojęcia „wiedza fachowa” i „kwalifikacje zawodowe”

Szczegółowe wytyczne w zakresie tego, jak może być rozumiane pojęcie „wiedzy fachowej” i „kwalifikacji zawodowych”, można znaleźć w „Wytycznych dotyczących inspektorów ochrony danych (»DPO«) – Grupy Roboczej Art. 29 ds. Ochrony Danych”[1]. W tym dokumencie wskazano, że: „wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Dla przykładu, w przypadku wyjątkowo skomplikowanych procesów przetwarzania danych osobowych lub w przypadku przetwarzania dużej ilości danych szczególnych kategorii, DPO może potrzebować wyższego poziomu wiedzy i wsparcia […]. W związku z tym wybór DPO powinien być dokonany z zachowaniem należytej staranności i brać pod uwagę charakter przetwarzania danych w ramach podmiotu”[2].

Dodatkowo w powołanych wytycznych Grupa Robocza Art. 29 ds. Ochrony Danych, odnosząc się do pojęcia „kwalifikacje zawodowe”, podkreślała, że: „choć artykuł 375 nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę, wyznaczając DPO, to jednak istotne jest, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO […]. Przydatna jest również wiedza na temat danego sektora i podmiotu administratora. DPO powinien również posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych DPO powinien również posiadać wiedzę w zakresie procedur administracyjnych i funkcjo­nowania jednostki”[3].

Ważne

Grupa Robocza Art. 29 ds. Ochrony Danych w swoich wytycznych zwraca uwagę, że w zakresie „wiedzy fachowej” i „kwalifikacji zawodowych” osoba, która chciałaby pełnić funkcje IOD, powinna nie tylko posiadać wiedzę z zakresu ochrony danych osobowych (na gruncie przepisów prawa oraz wiedzy z zakresu cyberbezpieczeństwa), ale także mieć doświadczenie zawodowe związane z działalnością administratora danych w konkretnym sektorze (np. administracja, prywatne przedsiębiorstwo), branży (np. medycznej, szkolnictwa).

Nie bez...

Dalsza część jest dostępna dla użytkowników z wykupionym planem