Grupa Robocza Art. 29 w swoich wytycznych wyjaśnia, jak zapewnić inspektorowi ochrony danych (DPO) zasoby niezbędne do wykonywania przez niego zadań.
Zgodnie z art. 38 ust. 2 ogólnego rozporządzenia o ochronie danych osobowych (rodo) administrator i podmiot przetwarzający powinni wspierać administratora danych w realizacji jego zadań. Powinni zapewnić mu zasoby niezbędne do ich wykonywania, dostęp do danych osobowych i operacji przetwarzania i zasoby niezbędne do utrzymania jego wiedzy fachowej.
Zdaniem Grupy Roboczej Art. 29 powinno się to odbywać poprzez:
- Aktywne wsparcie inspektora ochrony danych przez kierownictwo wyższego szczebla (także na poziomie zarządu).
- Zapewnienie inspektorowi wystarczającego czasu na realizację jego obowiązków. Jest to szczególnie istotne, gdy inspektor pracuje w niepełnym wymiarze czasu lub ma jeszcze inne obowiązki oprócz ochrony danych. Brak wystarczającego czasu na realizację zadań z zakresu ochrony danych, może sprawić, że będą one lekceważone. Ważne jest, żeby inspektor miał wystarczającą ilość czasu, żeby poświęcić się tym obowiązkom. Jeżeli funkcja inspektora nie jest wykonywana w pełnym wymiarze czasu pracy, dobrą praktyką jest procentowy podział czasu, jaki dana osoba ma poświęcać zadaniom DPO. Dobrą praktyką jest także określenie czasu potrzebnego do pełnienia funkcji inspektora, określenie priorytetów w zakresie zadań DPO i sporządzenie planu pracy inspektora.
- Odpowiednie wsparcie w zakresie zasobów finansowych, infrastrukturalnych (lokali, urządzeń, sprzętu) i personelu.
- Oficjalne zakomunikowanie pracownikom, że inspektor został wyznaczony, aby upewnić się, że jego istnienie i działanie jest znane w organizacji.
- Zapewnienie dostępu do innych działów, jak np. HR, dział prawny czy IT. Inspektor powinien otrzymać niezbędne wsparcie i informacje od tych działów.
- Nieustanne szkolenia. Inspektor powinien mieć możliwość, aby być na bieżąco w zakresie ochrony danych osobowych. Celem powinno być stałe zwiększanie poziomu wiedzy inspektora. Powinien być on zachęcany do udziału w szkolenia z ochrony danych i innych form doskonalenia zawodowego, takich jak udział w warsztatach czy forach.
- Biorąc pod uwagę wielkość i strukturę organizacji, może być konieczne powołanie zespołu inspektora ochrony danych. Należy sporządzić wyraźna strukturę zespołu i określić podział zadań i obowiązków każdego członka zespołu. Również w przypadku, gdy funkcja DPO jest powierzona podmiotowi zewnętrznemu, może ją pełnić kilka osób.
Ważne:Im więcej skomplikowanych i/lub wrażliwych operacji przetwarzania, tym inspektor powinien mieć większe zasoby. Funkcje związane z ochroną danych osobowych muszą być efektywne i wyposażone adekwatnie do prowadzonych operacji przetwarzania – podkreśla Grupa Robocza Art. 29 w swoich wytycznych.
Autor: Wioleta Szczygielska
Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.
