Jakie kwalifikacje musi posiadać IOD?

RODO w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych (WP 243) musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku wyjątkowo skomplikowanych procesów przetwarzania, przetwarzania dużej ilości danych szczególnych kategorii, podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat: procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora, sektora w którym działa administrator, procedur administracyjnych i funkcjonowania jednostki.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Drugim najważniejszym obszarem zaangażowania inspektora ochrony danych jest monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, z uwzględnieniem przyjętego w organizacji podziału obowiązków, działań zwiększających świadomość oraz szkoleń personelu uczestniczącego w operacjach przetwarzania. Inspektor w ramach prowadzonych przez siebie audytów kontroluje przestrzeganie powyższych przepisów i regulacji przez kierownictwo i inny personel danej organizacji, a także poziom świadomości personelu co do istniejących wymogów i potrzeby w zakresie jego podnoszenia. Ważnym zadaniem inspektora jest też obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Inspektor zatem ma odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO poprzez monitorowanie przestrzegania przepisów o ochronie danych osobowych i wewnętrznych polityk oraz prawidłowego wykonywania wynikających z nich obowiązków, a także doradzanie i podnoszenie świadomości w zakresie tych obowiązków. Dlatego też jego kwalifikacje w zakresie wiedzy i umiejętności powinny być oceniane w kontekście przydzielonych mu w przepisach zadań.

Znaczenie fachowej wiedzy inspektora ochrony danych w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych i podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Mimo iż RODO bardzo mocno akcentuje wymóg wiedzy i fachowości inspektora, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Jeśli chodzi o osobiste cechy inspektora kwalifikujące go do wykonywania funkcji, to są to: rzetelne podejście do wykonywania swoich obowiązków i wysoki poziom etyki zawodowej. Jak wskazał Prezes UODO (https://uodo.gov.pl/pl/138/3118) od specjalistów w dziedzinie ochrony danych osobowych, jakimi są inspektorzy ochrony danych, powinno się oczekiwać odpowiedzialnej postawy, stania na straży przestrzegania przepisów prawa oraz zwiększonej rzetelności w zakresie funkcji doradczej i monitorowania przestrzegania prawa. Zawodowy charakter tej funkcji powinien za sobą pociągać zwiększony zakres wymagań co do umiejętności, wiedzy i zapobiegliwości w dziedzinie ochrony danych osobowych.