Łatwo znaleźć informacje, jakie uprawnienia powinna mieć osoba pełniąca funkcję inspektora ochrony danych, rzadziej jednak można przeczytać - kto nie powinien być na tym stanowisku. Po przeanalizowaniu przepisów dokonaliśmy zestawienia, dzięki czemu administratorzy będą mieli pewność słuszności swoich wyborów.
Kto nie powinien pełnić funkcji IOD i dlaczego?
Brak kompetencji lub nienależyte wykonywanie swoich obowiązków przez IOD
osoba nieposiadająca odpowiednich kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych;
podmiot bez niezbędnych zasobów do realizacji zadań przewidzianych w przepisach;
osoba, która wykonuje swoje obowiązki niewłaściwie, tj. nie informuje administratora danych o obowiązkach wynikających z RODO oraz nie monitoruje przestrzegania przepisów z zakresu ochrony danych osobowych, nie ma czasu, jest z nią utrudniony kontakt lub jego brak;
osoba, która nie posiada zastępcy lub procedury na wypadek swojej nieobecności. Ustawa co prawda nie narzuca obowiązku wyznaczenia zastępcy IOD lub wsparcia ale administrator, odpowiedzialny za właściwy proces przetwarzania danych, powinien móc liczyć na ciągły proces wsparcia i monitorowania w tym zakresie.
Niezależność IOD
podmiot, który nie może wykonywać swoich obowiązków i zadań w sposób niezależny. Niezależne wykonywanie funkcji IOD jest jedną z najważniejszych cech inspektora jako osoby stojącej na straży przestrzegania prawa, w tym prawa podstawowego jednostki, jakim jest prawo do ochrony danych osobowych. Oznacza to, że nie może to być osoba, która podlega bezpośrednio najwyższemu szczeblowi kierowniczemu administratora danych.
Konflikt interesów
osoba, która pełni inne obowiązki mogące naruszyć prawidłowe wykonywanie zadań inspektora ochrony danych i które powodowałyby konflikt interesów. IOD nie może mieć jednocześnie stanowiska, na którym może decydować o celach i sposobach przetwarzania danych, np. stanowiska kierownicze typu dyrektor generalny, kierownik działu kadr czy główny informatyk;
osoba na którą nałożono inne zadania, które mogą być następnie przedmiotem dokonywania przez niego czynności monitorowania lub nadzoru, a także związane z podejmowaniem decyzji w zakresie celów i środków dot. przetwarzania i zabezpieczania danych;
szeregowy pracownik, który pomimo swoich stałych obowiązków dodatkowo został (często bez przeszkolenia) wyznaczony na IOD, który nie jest w stanie wykonywać w tym samym czasie czynności wynikających z dwóch pełnionych funkcji.
Wyznaczenie IOD z naruszeniem przepisów RODO
osoba niewybrana przez administratora (np. dyrektora placówki, jako jej przedstawiciela) narzucona przez organ nadrzędny bez jego akceptacji. Jest to częsta praktyka stosowana przez urzędy miast i gmin, a także centra usług wspólnych, mająca na celu ujednolicenie standardów oraz oszczędności. Polega na zatrudnieniu albo wybraniu w drodze przetargu lub zapytania ofertowego osoby oraz oddelegowaniu jej do pełnienia funkcji IOD w podległej jednostce. Powyższa procedura, jeżeli wyłoni kompetentnego podwykonawcę, który jednocześnie zostanie zaakceptowany przez administratora, jest jak najbardziej wskazana, gorzej gdy administrator jest zmuszony do współpracy z IOD, mając wątpliwości co do jego kompetencji lub sposobu wykonywania jego obowiązków. Narzucenie osoby inspektora jest ingerencją w obowiązki administratora, który samodzielnie decyduje o zastosowanych środkach technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa przetwarzanym danym osobowym w jego jednostce, a powołanie IOD jest jednym ze środków organizacyjnych.
Chcesz otrzymać ofertę na pełnienie funkcji IOD przez zespół naszych specjalistów? Skontaktuj się z nami!
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: