Jeżeli po lekturze artykułu o IOD zdecydowałeś się powołać go u siebie, lecz nie jesteś przekonany do outsourcingu masz możliwość wyznaczenia i zgłoszenia inspektora na własną rękę. O różnicach w powołaniu zewnętrznego i wewnętrznego IOD przeczytasz w tym wpisie. Zapewne zadajesz sobie pytanie kto może zostać Inspektorem Ochrony Danych? Już śpieszymy Ci z odpowiedzią. IOD-a możesz rekrutować spośród własnych pracowników lub zatrudnić na tym etacie specjalistę. Procedura wyznaczenia, powołania i zgłoszenia IOD tylko pozornie wydaje się nieskomplikowana, dlatego też z pomocą przychodzi mój nowy cykl. Ma on za zadanie wprowadzić Cię w to zagadnienie, pomóc podjąć najlepsze decyzje oraz rozwiać ewentualne wątpliwości. Serię rozpoczyna artykuł na temat wyboru odpowiedniego kandydata na Inspektora Ochrony Danych.

Kto może zostać Inspektorem Ochrony Danych czyli wybór IOD

Jeżeli chcemy powołać IOD lub musimy to zrobić, a nie jesteśmy zdecydowani na outsourcing, musimy znaleźć odpowiedniego kandydata na to stanowisko. Teoretycznie jest to najprostsza część tworzenia tego stanowiska. Jednakże tylko teoretycznie, zgodnie bowiem z art. 37 ust. 5 RODO, inspektorem może zostać osoba fizyczna (nie prawna), która posiada odpowiednie kwalifikacje zawodowe a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności niezbędne do wypełnienia powierzonych mu zadań.

IOD powinien posiadać odpowiednie kwalifikacje i fachową wiedzę

Jak wspomniano wyżej, art. 37 ust. 5 RODO zakłada, że IOD może zostać osoba fizyczna, która posiada odpowiednie kwalifikacje i fachową wiedzę. Jest to kryterium dosyć ogólne i zarazem trudne do spełnienia. Ochrona danych osobowych to bardzo szeroka dyscyplina, dlatego też kandydat na IOD powinien posiadać szeroką oraz interdyscyplinarną wiedzę. Szybki postęp techniczny wymaga bowiem ciągłego doskonalenia swoich kwalifikacji. Obecnie IOD nie tylko musi znać przepisy i praktykę ich stosowania, ale też świetnie orientować się w nowościach technicznych związanych z przetwarzaniem danych osobowych.

IOD powinien ponadto posiadać odpowiednie przygotowanie z innych, ważnych dla wykonywania swojej funkcji dziedzin. Przykładowo można tu wskazać umiejętności z zakresu skutecznego dzielenia się wiedzą, komunikacji, zarządzania projektami, negocjacji czy mediacji.

Idealny IOD to prawnik czy informatyk?

Trudno zatem jednoznacznie stwierdzić jakie wykształcenie powinien posiadać „idealny” IOD: prawnicze czy może informatyczne, albo jeszcze jakieś inne?

W obecnym stanie prawnym na barkach IOD spoczywa tak szeroki wachlarz obowiązków, że najlepszym rozwiązaniem byłaby osoba posiadająca odpowiednie umiejętności w obu tych dziedzinach. Wiadomo jednak, że znalezienie takiego kandydata jest bardzo trudne, o ile niemożliwe. Ciekawym rozwiązaniem wydaje się więc prawnik, który hobbistycznie rozwija swoje informatyczne zdolności. Może to być rzecz jasna również informatyk z zacięciem prawniczym, choć z pewnością nie jest to zbyt popularny przypadek. Przy selekcji kandydatów nie można jednak skupiać się wyłącznie na tych dwóch kwestiach. Należy również pamiętać o pozostałych umiejętnościach potrzebnych do pełnienia stanowiska IOD, mających duże znaczenie dla komunikacji z pracownikami oraz zarządzania ochroną danych.

Oczywiście IOD nie musi być prawnikiem lub informatykiem, ale właśnie w wielu wypadkach to osoby z takim wykształceniem pełnią tą funkcję. Idealny kandydat na Inspektora powinien cechować się zrozumieniem i prawidłową interpretacją przepisów, wiedzą informatyczną, a także posiadać zdolnościami interpersonalnymi oraz organizacyjnymi. Wśród tych ostatnich można wymienić np. umiejętności zarządzania projektami, umiejętność występowania przed publicznością, a także utrwalania prawidłowego przepływu informacji w organizacji.

Zniwelowaniu problemu z brakiem kompetencji prawnych lub informatycznych może zaradzić powołanie zespołu ds. ochrony danych osobowych. W skład takiego zespołu powinna wejść osoba posiadająca kompetencje o charakterze prawny, ale także osoba o kompetencjach informatycznych. Dzięki temu osoby te będą się uzupełniać przy wykonywaniu funkcji przy nadzorowaniu procesów ochrony danych.

Przedstawione wyżej rozważania nie są wymogami przewidzianymi w RODO, a jedynie wskazówkami do wyboru właściwego kandydata. Mimo że PUODO ma ograniczone możliwości sprawdzenia prawdziwości oświadczenia ADO o stanie wiedzy kandydata na inspektora, IOD nie może być figurantem. Za błędne należy uznać powołanie pracownika z „łapanki”, który nie jest przygotowany do pełnienia takiej funkcji. Należy również pamiętać, że wyznaczając na IOD własnego pracownika bardzo łatwo narazić go na konflikt interesów, a zgodnie z art. 39 ust. 6 RODO sytuacja taka nie może mieć miejsca. Konflikt interesów ma miejsce wtedy, gdy IOD ma możliwość ustalania celi i sposobów przetwarzania danych osobowych.

Czy to wszystko?

Reasumując, kandydat na stanowisko IOD przynajmniej w dobrym stopniu musi orientować się w przepisach z zakresu ochrony danych osobowych. Za posiadanie takiej wiedzy może być uznane ukończenie kursów z tej dziedziny, szkoleń dla Inspektorów Ochrony Danych lub podsiadanie już określonej praktyki w tym zakresie.

Oczywiście nie jest to koniec doskonalenia się takiej osoby. IOD trzeba zapewnić dostęp do odpowiednich materiałów umożliwiających wypełnianie funkcji oraz poszerzanie wiedzy. Kluczowe jest jednak, by osoba kandydująca na stanowisko IOD posiadała niezbędne podstawy, na których będzie mogła budować swój warsztat pracy. Wynika to z bardzo prostej przyczyny, mianowicie wcześniej czy później dojdzie do weryfikacji umiejętności IOD zatrudnionego w Twojej organizacji. Wyznaczenie niewłaściwej osoby na to stanowisko może skończyć się nieprzyjemnościami w sądzie lub bliższą konfrontacją z PUODO.

Nie ulega wątpliwości, że wybór odpowiedniego kandydata na Inspektora Ochrony Danych jest bardzo ważny dla bezpieczeństwa danych osobowych. Wyznaczając odpowiednią osobę na tę funkcję, możemy wydatnie zmniejszyć ryzko działań sprzecznych z RODO w przedsiębiorstwie oraz ewentualnych kar. IOD może także stanowić podporę ADO w codziennych wyzwaniach dotyczących ochrony danych osobowych. Jeżeli posiadasz już właściwą osobę na to stanowisko, możesz odetchnąć z ulgą i przejść do kolejnego etapu, jakim jest powołanie IOD. Jężeli nie wiesz kogo powołać na tą funkcję, możesz jeszcze raz rozważyć powołanie zewnętrznego IOD.

Czy według Was wymagania jakie stawiane są kandydatom do pełnienia funkcji IOD są wygórowane? Co według Was oznacza posiadanie odpowiedniej wiedzy przez IOD? W jaki sposób można ją sprawdzić i  zdobywać?