Inspektor ochrony danych – czy może nim zostać nauczyciel

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 9 lutego 2018
Inspektor ochrony danych – czy może nim zostać nauczyciel
Pytanie:  Kto może być inspektorem ochrony danych w niewielkiej szkole. Czy funkcję tę może pełnić nauczyciel? Podlega on bezpośrednio pod dyrektora szkoły, jednak przetwarza dane uczniów (również w systemie informatycznym). Czy w przypadku incydentu bezpieczeństwa, którego uczestnikiem będzie nauczyciel pełniący funkcję inspektora, nie wystąpi konflikt interesów?
Odpowiedź: 

Aby zachować niezależność inspektora ochrony danych, najlepszym rozwiązaniem jest stworzenie samodzielnego stanowiska lub powierzenie tej funkcji odrębnemu podmiotowi w drodze umowy cywilnoprawnej. W przypadku powierzenia funkcji inspektora ochrony danych nauczycielowi nie można wykluczyć konfliktu interesów, jeśli nauczyciel będzie brał udział w procesie określania celów i sposobów przetwarzania danych osobowych w szkole lub gdy pełnienie funkcji nauczyciela będzie miało wpływ na wykonywanie przez niego zadań jako inspektora, np. w zakresie jego niezależności. Ocena tej kwestii powinna być dokonywana w każdym przypadku indywidualnie z uwzględnieniem okoliczności faktycznych sprawy.

Zgodnie z art. 37 ust.1 ogólnego rozporządzenia o ochronie danych (RODO) każdy administrator danych oraz podmiot przetwarzający ma obowiązek wyznaczyć inspektora ochrony danych (IOD), gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Jakie warunki musi spełniać inspektor ochrony danych

Inspektor ochrony danych powinien mieć kwalifikacje zawodowe w zakresie wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Musi zatem mieć odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, w tym dogłębną znajomość RODO. Zgodnie z wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych niezbędny poziom wiedzy fachowej należy ustalić, biorąc pod uwagę w szczególności prowadzone operacje przetwarzania danych oraz ochronę, której wymagają przetwarzane dane osobowe. Inspektor powinien także mieć odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych powinien być zaznajomiony z procedurami administracyjnymi i zasadami funkcjonowania jednostki.

RODO wskazuje, że inspektor powinien mieć także umiejętność wypełnienia swoich zadań, które są wymienione w art. 39 RODO. Przy wyznaczaniu inspektora administrator powinien zatem wziąć pod uwagę nie tylko jego kwalifikacje, ale także cechy osobowe i pozycje w strukturach podmiotu. Inspektor powinien bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Chodzi o to, aby miał możliwość niezależnego wykonywania swoich zadań i aby nie był związany instrukcjami dotyczącymi wykonywania tych zadań. Nie ma natomiast znaczenia to, czy inspektor jest przez administratora danych zatrudniony pracowniczo (na podstawie umowy o pracę), czy też niepracowniczo (np. na podstawie umowy zlecenia lub umowy o dzieło).

Czy inspektor może mieć inne obowiązki

Inspektor ochrony danych może wykonywać inne zadania i obowiązki, jednak pod warunkiem że te inne zadania i obowiązki nie powodują konfliktu interesów. Zgodnie z wytycznymi Grupy Roboczej Art. 29 za powodujące konflikt interesów mogą być uważane m.in. stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również i niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Inspektor nie może bowiem zajmować w jednostce stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. To, że dana osoba może dopuścić się incydentu bezpieczeństwa, nie ma znaczenia dla oceny, czy może ona pełnić funkcję inspektora.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel