Jakie kwalifikacje powinien mieć inspektor ochrony danych
Ani przepisy ogólnego rozporządzenia o ochronie danych osobowych ani wytyczne Grupy Roboczej Art. 29 w sprawie inspektorów ochrony danych nie wskazują konkretnie wymagań kwalifikacyjnych, jakie będzie musiał spełniać inspektor.
Artykuł 37 ust. 5 ogólnego rozporządzenia o ochronie danych osobowych wskazuje, że „inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39”.
Nieco światła na tę kwestię rzucają wytyczne Grupy Roboczej Art. 29, która zrzesza organy ochrony danych osobowych z całej Unii Europejskiej, w tym polskiego GIODO. Zgodnie z nimi wymagany poziom wiedzy fachowej „musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki”.
Jeżeli administrator danych prowadzi wyjątkowo skomplikowane procesy przetwarzania danych osobowych lub jeśli przetwarza dużą ilość kategorii danych, od inspektora może być wymagany wyższy poziom wiedzy. Dlatego Grupa Robocza wskazuje, że wybór inspektora powinien być dokonany z zachowaniem należytej staranności i administrator danych musi brać pod uwagę charakter przetwarzania danych w ramach jednostki.
W wytycznych nie ma natomiast wskazania, w jaki sposób wiedza ta ma być zdobywana lub udokumentowana. Grupa wskazuje jedynie, że krajowe organy nadzorcze ds. ochrony danych powinny propagować odpowiednie i regularne szkolenia dla inspektorów.
Dodatkowo ani rozporządzenie ani wytyczne nie wskazują konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając inspektora. Jednak w wytycznych czytamy, że inspektor powinien posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość rozporządzenia ogólnego. Zalecana jest również wiedza biznesowa i sektorowa dotycząca administratora danych.
Inspektor powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych inspektor powinien również posiadać wiedzę w zakresie procedur administracyjnych i funkcjonowania jednostki.
Do końca lutego trwają konsultacje wytycznych Grupy Roboczej Art. 29 m.in. w sprawie inspektorów ochrony danych. W nadchodzących miesiącach mogą więc pojawić się bardziej konkretne wskazania w kwestii kwalifikacji inspektorów.
- wytyczne Grupy Roboczej Art. 29 w sprawie inspektorów ochrony danych,
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE L 119/1).
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
