DPO musi mieć zapewnione środki, by realizować swoje obowiązki

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 23 grudnia 2016
DPO musi mieć zapewnione środki, by realizować swoje obowiązki

Grupa Robocza Art. 29 w swoich wytycznych wyjaśnia, jak zapewnić inspektorowi ochrony danych (DPO) zasoby niezbędne do wykonywania przez niego zadań.

Zgodnie z art. 38 ust. 2 ogólnego rozporządzenia o ochronie danych osobowych (rodo) administrator i podmiot przetwarzający powinni wspierać administratora danych w realizacji jego zadań. Powinni zapewnić mu zasoby niezbędne do ich wykonywania, dostęp do danych osobowych i operacji przetwarzania i zasoby niezbędne do utrzymania jego wiedzy fachowej.

Zdaniem Grupy Roboczej Art. 29 powinno się to odbywać poprzez:

  • Aktywne wsparcie inspektora ochrony danych przez kierownictwo wyższego szczebla (także na poziomie zarządu).
  • Zapewnienie inspektorowi wystarczającego czasu na realizację jego obowiązków. Jest to szczególnie istotne, gdy inspektor pracuje w niepełnym wymiarze czasu lub ma jeszcze inne obowiązki oprócz ochrony danych. Brak wystarczającego czasu na realizację zadań z zakresu ochrony danych, może sprawić, że będą one lekceważone. Ważne jest, żeby inspektor miał wystarczającą ilość czasu, żeby poświęcić się tym obowiązkom. Jeżeli funkcja inspektora nie jest wykonywana w pełnym wymiarze czasu pracy, dobrą praktyką jest procentowy podział czasu, jaki dana osoba ma poświęcać zadaniom DPO. Dobrą praktyką jest także określenie czasu potrzebnego do pełnienia funkcji inspektora, określenie priorytetów w zakresie zadań DPO i sporządzenie planu pracy inspektora.
  • Odpowiednie wsparcie w zakresie zasobów finansowych, infrastrukturalnych (lokali, urządzeń, sprzętu) i personelu.
  • Oficjalne zakomunikowanie pracownikom, że inspektor został wyznaczony, aby upewnić się, że jego istnienie i działanie jest znane w organizacji.
  • Zapewnienie dostępu do innych działów, jak np. HR, dział prawny czy IT. Inspektor powinien otrzymać niezbędne wsparcie i informacje od tych działów.
  • Nieustanne szkolenia. Inspektor powinien mieć możliwość, aby być na bieżąco w zakresie ochrony danych osobowych. Celem powinno być stałe zwiększanie poziomu wiedzy inspektora. Powinien być on zachęcany do udziału w szkolenia z ochrony danych i innych form doskonalenia zawodowego, takich jak udział w warsztatach czy forach.
  • Biorąc pod uwagę wielkość i strukturę organizacji, może być konieczne powołanie zespołu inspektora ochrony danych. Należy sporządzić wyraźna strukturę zespołu i określić podział zadań i obowiązków każdego członka zespołu. Również w przypadku, gdy funkcja DPO jest powierzona podmiotowi zewnętrznemu, może ją pełnić kilka osób.
Ważne:

Im więcej skomplikowanych i/lub wrażliwych operacji przetwarzania, tym inspektor powinien mieć większe zasoby. Funkcje związane z ochroną danych osobowych muszą być efektywne i wyposażone adekwatnie do prowadzonych operacji przetwarzania – podkreśla Grupa Robocza Art. 29 w swoich wytycznych.

Źródło:

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel