Inspektor ochrony danych – czy może nim zostać nauczyciel

Zgodnie z art. 37 ust.1 ogólnego rozporządzenia o ochronie danych (RODO) każdy administrator danych oraz podmiot przetwarzający ma obowiązek wyznaczyć inspektora ochrony danych (IOD), gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Inspektor ochrony danych powinien mieć kwalifikacje zawodowe w zakresie wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Musi zatem mieć odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, w tym dogłębną znajomość RODO. Zgodnie z wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych niezbędny poziom wiedzy fachowej należy ustalić, biorąc pod uwagę w szczególności prowadzone operacje przetwarzania danych oraz ochronę, której wymagają przetwarzane dane osobowe. Inspektor powinien także mieć odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych powinien być zaznajomiony z procedurami administracyjnymi i zasadami funkcjonowania jednostki.

RODO wskazuje, że inspektor powinien mieć także umiejętność wypełnienia swoich zadań, które są wymienione w art. 39 RODO. Przy wyznaczaniu inspektora administrator powinien zatem wziąć pod uwagę nie tylko jego kwalifikacje, ale także cechy osobowe i pozycje w strukturach podmiotu. Inspektor powinien bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Chodzi o to, aby miał możliwość niezależnego wykonywania swoich zadań i aby nie był związany instrukcjami dotyczącymi wykonywania tych zadań. Nie ma natomiast znaczenia to, czy inspektor jest przez administratora danych zatrudniony pracowniczo (na podstawie umowy o pracę), czy też niepracowniczo (np. na podstawie umowy zlecenia lub umowy o dzieło).

Inspektor ochrony danych może wykonywać inne zadania i obowiązki, jednak pod warunkiem że te inne zadania i obowiązki nie powodują konfliktu interesów. Zgodnie z wytycznymi Grupy Roboczej Art. 29 za powodujące konflikt interesów mogą być uważane m.in. stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również i niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Inspektor nie może bowiem zajmować w jednostce stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. To, że dana osoba może dopuścić się incydentu bezpieczeństwa, nie ma znaczenia dla oceny, czy może ona pełnić funkcję inspektora.