Czy istnieje konieczność powołania Inspektora Danych Osobowych, czy wystarczy tylko pełnomocnik zarządu ? Na to pytanie każdy musi odpowiedzieć samodzielnie, nie da się jednoznacznie określić w którym to momencie musi już być inspektor, a w którym nie. Pomocne w tym zakresie są usługi świadczone przez naszą firmę, w ramach których możemy określić jaki model był by najlepszym rozwiązaniem.
Wracając do tematu w którym zajmiemy się już nie samą analizą powołania IODO, ale jego umocowaniem w strukturze firmy, obowiązkach i kompetencjach. Obecnie można stwierdzić iż w większości przypadku stanowiska te były tworzone w pośpiechu bez jakiejkolwiek analizy. Osoby, które zostały wyznaczone nie do końca radzą sobie z tematem lub nawet go nie podejmują chociażby ze względu na inne obowiązki służbowe.
W ramach tworzenia przepisów prawa dotyczącego ochrony danych osobowych powstała jednostka o nazwie „Grupa Robocza art.29 Ochrony Danych” . Grupa Robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest ona niezależnym organem doradczym w zakresie ochrony danych i prywatności. Zadania grupy określone są w art. 30 dyrektywy 95/46/WE oraz art. 15 dyrektywy 2002/58/WE.
Grupa ta stworzyła wytyczne dotyczące inspektorów ochrony danych (Przyjęte w dniu 13 grudnia 2016 r.
,ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r.). W wytycznych wskazane jest :
Zgodnie z art. 37(5) „inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.”
Artykuł 38(2) nakłada obowiązek wspierania „inspektora ochrony danych w wypełnianiu przez niego zadań[..], zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.”
Artykuł 38(3) stanowi bowiem, iż „Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.”
Artykuł 38(3) stanowi również, że Inspektor „nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.”
Artykuł 38(6) umożliwia DPO wykonywanie „innych zadań i obowiązków”. Dalej w artykule widnieje zapis, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.”
Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć Inspektorzy mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów. Oznacza to, że Inspektor nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.
Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.