RODO: inspektor danych osobowych w gminach, urzędach i innych podmiotach publicznych
„Inspektor danych osobowych w urzędzie gminy. Kto może takim być inspektorem? Czy np. inspektor do spraw zarządzania kryzysowego i obrony cywilnej, który zajmuje się m.in. całą akcją kurierską może nim być? Czy inspektor ochrony danych osobowych może być również administratorem systemów informatycznych? Czy w ogóle we wszystkich podmiotach publicznych muszą być powołani inspektorzy od ochrony danych osobowych?”
Zgodnie z treścią …
(…) art. 38 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – „Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.” Z kolei według art. 37 ust. 5 ww. rozporządzenia – „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.”
W związku z powyższym uważam, że inspektor do spraw zarządzania kryzysowego i obrony cywilnej w urzędzie gminy, którego zadania nie wiążą się z określaniem celów i sposobów przetwarzania danych, i spełnia wymagania dotyczące inspektorów wskazane w art. 37 ust. 5, to będzie mógł pełnić także funkcję inspektora ochrony danych osobowych. Chodzi tutaj o zapisy zawarte w art. 39, dotyczącym zadań inspektora ochrony danych, polegające na:
– informowaniu administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów UE lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
– monitorowaniu przestrzegania RODO, innych przepisów UE lub państw członkowskich o ochronie danych oraz polityk administratora bądź podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty, udzielaniu na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
– współpracy z organem nadzorczym,
– pełnieniu funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych.
Warto w tym miejscu podkreślić, że Grupa Robocza Art. 29 ds. ochrony danych (WP 243) w swoich wytycznych dotyczących inspektorów ochrony danych wskazała, że inspektor ochrony danych nie może zajmować w organizacji stanowiska, które pociąga za sobą określanie sposobów i celów przetwarzania danych. Jeśli zatem pracownik zatrudniony na stanowisku jako administrator systemów informatycznych będzie uczestniczył w określaniu sposobów i celów przetwarzania danych to jego stanowisko można uznać za powodujące konflikt interesów, a wówczas może nie spełniać tego kryterium.
Paweł Nowak – prawnik prawa pracy i prawa oświatowego
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.Urz. UE L 119/1.