Inspektor Ochrony Danych

Forma zatrudnienia inspektora ochrony danych

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu  outsourcingu, na podstawie umowy o świadczenie usług. Mimo, że również obecnie, funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia.

Podkreślenia wymaga jednak, że osoba wykonująca funkcję DPO na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych wskazuje, ze funkcja DPO może być również pełniona na podstawie umowy o świadczenie usług zawartej nie tylko z osobą fizyczną, ale też innym podmiotem. W pracy zespołowej można bowiem połączyć indywidualne atuty i umiejętności poszczególnych osób tak, aby zapewnić wydajniejszą obsługę administratora danych. W takim przypadku konieczne jest jednak , aby każdy członek podmiotu sprawującego funkcję DPO spełniał wszystkie istotne wymogi wskazane w Sekcji 4* RODO, oraz miał zapewnioną, wynikającą z tych przepisów ochronę.  W celu zapewnienia przejrzystości prawnej i dobrej organizacji zalecany jest ponadto wyraźny podział zadań oraz wyznaczenie jednej osoby jako wiodącej osoby kontaktowej i osoby ‘odpowiedzialnej’ za każdego klienta. Kwestie te powinny być jasno określone w umowie o świadczenie usług.