25 maja 2018 roku weszło w życie ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych (RODO). Od tej chwili fachowego wsparcia dla administratorów danych udzielać będą inspektorzy ochrony danych. Jakie warunki należy spełnić, by dołączyć do ich grona?
Czym będzie zajmował się Inspektor Ochrony Danych?
Inspektorzy Ochrony Danych (DPO) przejmą zakres obowiązków obecnych administratorów bezpieczeństwa informacji (ABI). Mają sprawować nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych w administracji publicznej oraz w sektorze prywatnym. Do ich zadań należeć będą m.in.: pouczanie administratora o spoczywających na nim obowiązkach wynikających z rozporządzenia, szkolenie personelu uczestniczącego w operacjach przetwarzania, przeprowadzanie systematycznych audytów w swoim miejscu pracy czy pomaganie w wdrażaniu efektywnych środków technicznych i organizacyjnych, mających zabezpieczyć dane osobowe.
Wraz ze zmianą przepisów znaczenie stanowiska inspektora ochrony danych znacznie wzrosło. W wielu sytuacjach wyznaczenie DPO stanie się obowiązkiem administratora.
Kto może zostać Inspektorem Ochrony Danych?
Na stanowisko inspektora ochrony danych mianowany może zostać pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników wspomnianych podmiotów. Możliwe będzie zlecanie wykonania zadań DPO zewnętrznym firmom specjalizującym się w danej branży. Nowa ustawa akcentuje jednak, że w przypadku outsourcingu należy zwrócić szczególną uwagę na: unikanie konfliktu interesów u osoby pełniącej funkcję inspektora, gwarancję jej niezależności, łatwości nawiązania z nią kontaktu, właściwego i terminowego włączania jej we wszystkie sprawy dotyczące ochrony danych osobowych.
Rozporządzenie nie określa jasno kryteriów zawodowych, które musi spełniać inspektor ochrony danych. To administrator danych powinien podjąć decyzję, jakiej wiedzy i doświadczenia oczekuje. Stopień wykształcenia i rodzaj kwalifikacji osoby na tym stanowisku powinien być uzależniony od ilości oraz rodzaju informacji przetwarzanych w danej jednostce organizacyjnej.