Czy kierownik działu IT może być inspektorem ochrony danych

Zgodnie z art. 38 ust. 6 ogólnego rozporządzenia o ochronie danych (RODO) inspektor ochrony danych (IOD) może wykonywać inne zadania i obowiązki, jednak administrator i podmiot przetwarzający muszą zapewnić, by te inne zadania i obowiązki nie powodowały konfliktu interesów. Grupa Robocza Art. 29 w swoich wytycznych do RODO w sprawie IOD wskazała, że unikanie konfliktu interesów ma polegać na tym, by IOD nie zajmował stanowiska, które pociąga za sobą określanie sposobów i celów przetwarzania danych (dotyczy to zarówno stanowisk kierowniczych, jak i stanowisk niższego szczebla). Jako stanowisko, którego nie można łączyć z wykonywaniem funkcji inspektora ze względu na konflikt interesów, Grupa Robocza Art. 29 wskazała m.in. kierownika działu IT. W związku z tym taka osoba nie może być inspektorem ochrony danych. Jeżeli jednak stanowisko informatyka nie pociąga za sobą określania sposobów i celów przetwarzania danych, to nie będzie konfliktu interesów.

Brak konfliktu interesów to niejedyny wymóg wobec stanowiska IOD. Osoba wyznaczona do pełnienia tej funkcji musi mieć kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełniania zadań IOD, o których mowa w art. 39 RODO, czyli:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów UE lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
• monitorowanie przestrzegania RODO, innych przepisów UE lub państw członkowskich o ochronie danych oraz polityk administratora bądź podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
• współpraca z organem nadzorczym,
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Dodatkowo trzeba zapewnić, by inspektor ochrony danych, który wykonuje też inne zadania i obowiązki, miał zapewniony czas, aby mógł wypełniać zadania przewidziane dla IOD.