Inspektor Ochrony Danych, czyli następca ABI, to jeden z bardziej interesujących tematów, jeśli chodzi o wdrożenia RODO. O tym, kiedy go należy powołać już pisałem tutaj. Teraz czas na informację, jak właściwie takiego inspektora wybrać i umiejscowić w organizacji tak, aby mógł wykonywać swoje zadania bez przeszkód.
RODO wskazuje bowiem bardzo konkretnie, że Inspektor Ochrony Danych:
Musi mieć wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych – nie musi być ona potwierdzona jakimś konkretnym certyfikatem, nie ma wymogu robienia szkoleń albo kursów (przynajmniej w Polsce, na dzień dzisiejszy). Ocena, czy ktoś spełnia te wymogi albo nie, należy do administratora danych. Trzeba też zapewnić IODowi możliwość aktualizacji swojej wiedzy i poszerzania horyzontów, jako że kwestie bezpieczeństwa danych ewoluują właściwie z dnia na dzień.
Może być zatrudniony na umowę o pracę, albo działać w oparciu o umowę cywilnoprawną – zawsze jednak Inspektorem musi być osoba fizyczna. Inspektorem nie może być Spółka!
Musi być włączony we wszystkie kwestie związane z ochroną danych osobowych w organizacji – chodzi o to, aby Inspektor Ochrony Danych wiedział, jakie dane są przetwarzane, przez kogo, znał poziom zabezpieczeń oraz miał wiedzę o ewentualnych problemach związanych z przetwarzaniem danych w organizacji. Obowiązek wprowadzenia IODa w te kwestie obciąża administratora danych – to on musi umożliwić Inspektorowi dowiedzenie się wszystkiego, co dotyczy danych osobowych w organizacji.
Jest niezależny – administrator danych nie może wydawać mu poleceń co do decyzji i ocen dotyczących ochrony danych. Jeżeli IOD mówi, że coś jest niezgodne z RODO, to administrator danych nie może mu np. po prostu kazać tego zignorować. Dodatkowo, IOD podlega bezpośrednio najwyższemu kierownictwu administratora danych, np. zarządowi spółki.
Dysponuje odpowiednimi środkami i czasem do wykonywania swoich zadań – co dotyczy m.in. budżetu, możliwością doszkalania się albo możliwością kontaktu z pracownikami, którzy przetwarzają dane osobowe.
Jak widać, umiejscowienie Inspektora w przedsiębiorstwie to nie jest taka prosta sprawa. Musi to być bowiem osoba kompetentna, niezależna, mająca wpływ na to co się dzieje w organizacji w zakresie, w jakim przetwarzane są dane osobowe, a dodatkowo mieć czas i pieniądze na wykonywanie swoich zadań.
I obowiązek, aby Inspektorowi te wszystkie rzeczy zapewnić, spoczywa na administratorze danych osobowych – ostatecznie bowiem to on odpowiada za zgodność przetwarzania danych osobowych z prawem.