Kto może być inspektorem ochrony danych w gminie

Zgodnie z art. 38 ust. 6 ogólnego rozporządzenia o ochronie danych (RODO) inspektor ochrony danych może wykonywać inne zadania i obowiązki (np. być sekretarzem gminy), jednak administrator danych powinien zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. Na temat konfliktu interesów w przypadku inspektora ochrony danych wypowiedziała się Grupa Robocza Art. 29 w swoich wytycznych dotyczących inspektorów ochrony danych (WP 243). Zdaniem Grupy Roboczej Art. 29 inspektor ochrony danych nie może zajmować w organizacji stanowiska, które pociąga za sobą określanie sposobów i celów przetwarzania danych. Za stanowiska, które mogą powodować konflikt interesów, Grupa Robocza Art. 29 uznała takie stanowiska, jak:

• dyrektor generalny,
• dyrektor ds. operacyjnych,
• dyrektor finansowy,
• dyrektor ds. medycznych,
• kierownik działu marketingu,
• kierownik działu HR,
• kierownik działu IT.

Wymagania wobec inspektora ochrony danych określa art. 37 ust. 5 RODO. Zgodnie z nim inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań, do których należą:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów UE lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
• monitorowanie przestrzegania RODO, innych przepisów UE lub państw członkowskich o ochronie danych oraz polityk administratora bądź podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
• współpraca z organem nadzorczym,
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych.

Artykuł 38 RODO wskazuje, jaki status powinien mieć inspektor ochrony danych. I tak:

• Inspektor ochrony danych musi być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
• Administrator danych musi wspierać inspektora ochrony danych w wypełnianiu przez niego jego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
• Administrator danych musi zapewnić, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Inspektor nie może być odwoływany ani karany za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora danych.
• Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.
• Inspektor ochrony danych jest zobowiązany zachować w tajemnicy lub poufności wykonywanie swoich zadań.