W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych jest Inspektor Ochrony Danych. Jego rola budzi wielkie zainteresowanie ze względu na porównanie go z obecnie funkcjonującym Administratorem Bezpieczeństwa Informacji. Czy takie porównania są zasadne? Kim ma być Inspektor Ochrony Danych (IOD)?
Wytyczne określają konieczność powołanie Inspektora Ochrony Danych w:
- organach i podmiotach publicznych, również w podmiotach prywatnych realizujących zadania publiczne;
- gdy przetwarzanie danych osobowych jest główną działalnością administratora danych,
- gdy administrator danych przetwarza dane na dużą skalę, zwłaszcza dane wrażliwe.
Co do dużej skali, Grupa nie podaje konkretnych granic liczbowych, wskazuje jedynie na takie czynniki jak zakres przetwarzanych danych, czasowość ich przetwarzania czy znaczną rozciągłość terytorialną przetwarzania. Uwzględniając dużą skalę, nie można mieć na myśli np. rozbudowanej sieci korporacji i przetwarzanych danych pracowniczych. Chodzi tu raczej o charakter działalności przedsiębiorstwa, kiedy to przetwarzanie danych osobowych jest nierozłącznym elementem jego funkcjonowania np. firmy telekomunikacyjne przetwarzające dane abonentów.
Nie ma przeszkód w wyznaczeniu jednego IOD dla kilku podmiotów. Jednak warunkiem jest jego dostępność dla każdej jednostki organizacyjnej w stopniu wystarczającym. Wskazuje się, również na potrzebę zaznajomienia pracowników z IOD oraz umieszczenie jej danych kontaktowych np. w firmowym intranecie, tak by w razie potrzeby konsultacji, pracownicy mieli możliwość skontaktowania się ze specjalistą. Śmiało można stwierdzić, że IOD specjalistą w swojej dziedzinie powinien być. Jego poziom wiedzy powinien być adekwatny do wrażliwości danych, z jakimi pracuje oraz ilości i poziomu skomplikowania procedur i operacji wykonywanych na danych.
