Co musi wiedzieć Inspektor Ochrony Danych?

CNIL (Commission nationale de l’informatique et des libertés), czyli francuski organ właściwy ds. ochrony danych osobowych, określił kryteria certyfikacji kompetencji Inspektora Ochrony Danych (IOD), w których podał 17 konkretnych wymagań, jakie musi spełniać kandydat na IOD. 

 

Kandydat na IOD powinien spełnić jeden z dwóch wstępnych warunków, do których należy:

a)      doświadczenie zawodowe trwające minimum 2 lata w obszarze projektów, czynności lub zadań związanych z funkcją IOD w obszarze ochrony danych osobowych;

b)      doświadczenie zawodowe trwające minimum 2 lata oraz odbycie szkolenia trwającego przynajmniej 35 godzin w obszarze ochrony danych osobowych, przeprowadzonego przez podmiot organizujący szkolenia.

Warunki odnoszą się do kompetencji oraz wiedzy, które wymagane są od przyszłego Inspektora Ochrony Danych.

 

Zgodnie z wytycznymi CNIL, kandydat na IOD powinien przede wszystkim znać oraz rozumieć zasady przetwarzania danych osobowych, które zostały określone w art. 5 RODO i do których należą: zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, poprawność danych, ograniczony okres przechowywania danych, integralność, poufność oraz rozliczalność. Kandydat powinien być w stanie właściwie zidentyfikować podstawę prawną przetwarzania.

 

Kandydat powinien być w stanie określić właściwe środki oraz treść informacji podawanych osobom, których dane dotyczą, a także wdrożyć odpowiednią procedurę postępowania z wnioskami osób, których dane dotyczą, dotyczącymi realizacji przysługujących im praw.

 

Francuski organ nadzorczy słusznie zwraca uwagę na konieczność znajomości przez kandydata na IOD, istotnych z praktycznego punktu widzenia, zagadnień dotyczących powierzenia przetwarzania danych osobowych oraz transferu danych osobowych do państw trzecich, jak również znajomość rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, dokumentacji dotyczącej naruszeń ochrony danych, a także dokumentacji niezbędnej do wykazania zgodności z RODO.

 

Kolejne wymogi dotyczą kluczowych umiejętności, które musi posiadać każdy Inspektor Ochrony Danych, aby mógł skutecznie pełnić swą rolę. Należą do nich umiejętności:

1.      opracowania oraz wdrożenia polityki zawierającej wewnętrzne reguły w obszarze ochrony danych;

2.      przeprowadzania audytów w zakresie ochrony danych osobowych;

3.      prowadzenia szkoleń dla pracowników;

4.      uwrażliwiania pracowników oraz kierownictwa organizacji na problematykę ochrony danych osobowych;

5.      wyboru odpowiednich środków ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) dostosowanych do poziomu ryzyka oraz charakteru operacji przetwarzania;

6.      identyfikacji naruszeń ochrony danych, wymagających poinformowania osób, których dane dotyczą oraz zgłoszenia ich do organu nadzorczego.

 

Istotnym wymogiem jest konieczność posiadania przez kandydata na IOD umiejętności dokonania analizy, czy należy przeprowadzić ocenę skutków dla ochrony danych oraz poprawności jej przeprowadzenia, a także udzielania porad dotyczących oceny skutków dla ochrony danych, w szczególności w przedmiocie metodologii, powierzenia przetwarzania oraz wyboru odpowiednich środków organizacyjnych i technicznych, które należy zastosować.

 

CNIL wskazuje na potrzebę, aby IOD potrafił zarządzać kontaktami z organami nadzorczymi w ramach udzielania odpowiedzi na ich pytania oraz był w stanie ułatwiać działania urzędów w przypadku kontroli oraz rozpatrywania skarg.Niezbędna jest również umiejętność dokonywania przez IOD oceny swoich działań, za pomocą przeznaczonych do tego narzędzi analitycznych lub corocznych zestawień.

 

Źródło:

1. https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=46002F5EFD8F35A73251FDC7949EEDB6.tplgfr26s_
2?cidTexte=JORFTEXT000037485691&dateTexte=&oldAction=rechJO&categorie
Lien=id&idJO=JORFCONT000037485359 – 
dostęp 4.09.2019 r.

 

Autor

Michał Madecki

Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.

Z tej samej kategorii

Kategorie