Wyznaczając DPO należy kierować się następującymi czynnikami: stopień profesjonalizmu kandydata, a w szczególności, ekspercka znajomość prawa, praktyki w zakresie ochrony danych, a także umiejętności niezbędne do wypełniania zadań wymienionych w GDPR.

W każdym procesie rekrutacji wymagania wobec kandydata są połączeniem umiejętności twardych (np. wiedzy, doświadczenia zawodowego, znajomości języków obcych) i umiejętności miękkich (np. przywódczych, komunikacyjnych, negocjacyjnych), które razem tworzą zestaw cech potrzebnych w należytym wykonywaniu zadań na danym stanowisku.

Jakie cechy powinien mieć dobry DPO?

Wybór DPO musi być decyzją dobrze przemyślaną. Inspektor musi posiadać doświadczenie zawodowe i wiedzę specjalistyczną w dziedzinie ochrony danych, w tym dogłębne rozumienie rozporządzenia unijnego o ochronie danych (GDPR). Wymagany poziom wiedzy nie jest ściśle określony, ale na pewno powinien być współmierny do charakteru i zakresu przetwarzanych danych, poziomu zaawansowania procesów przetwarzania danych, a także samej skali organizacji przedsiębiorcy.

Odpowiedni poziom wiedzy

Jak ocenić „odpowiedni” poziom wiedzy, jakiego powinniśmy oczekiwać od naszego Inspektora? Rozporządzenie nakazuje nam poszukiwać „eksperta”. Jednak to do nas należy określenie poziomu wiedzy koniecznego przy naszym rodzaju przetwarzania i wymaganym poziomie ochrony.

Oznacza to, że firmy, które narażone są na większe ryzyko (ponieważ bazują na danych lub przetwarzają dane wrażliwe lub też w dużym stopniu polegają na outsourcingu) muszą szukać kogoś, kto ma nieprzeciętną wiedzę fachową w wielu dziedzinach prawa oraz praktykę w jego stosowaniu.

Z drugiej strony, jeśli przetwarzanie jest ograniczone w rodzaju i skali to może być wystarczające zatrudnienie kogoś, kto ma niższy, ale adekwatny do wyzwań poziom wiedzy i doświadczenia.

 Umiejętności miękkie

Kolejna na liście jest „zdolność do wypełniania zadań”. Jakie umiejętności mogą umożliwić spełnienie wszystkich wymienionych w GDPR zadań? Znajomość dziedziny i podobne doświadczenia zdecydowanie zwiększają tę zdolność.

Istnieją jeszcze inne cechy, które są równie ważne, aby dobrze wykonać pracę. Należy szukać profesjonalistów z doskonałymi umiejętnościami interpersonalnymi na wszystkich poziomach organizacji. Kogoś, kto jest w stanie pracować w sposób uporządkowany i pod minimalnym nadzorem, a także potrafi oceniać ryzyko.

DPO powinien wyróżniać się umiejętnościami komunikacyjnymi, ponieważ do pełnienia tej funkcji nie jest wystarczająca sama znajomość przepisów – DPO musi również musi być zdolny do efektywnego i wiarygodnego dzielenia się swoją wiedzą. Dodatkowo, DPO musi być zorientowany w sztuce zarządzania zmianą, aby móc biegle stosować swoją wiedzę do opracowywania i wdrażania konkretnej praktyki ochrony danych.

Czy na DPO można powołać pracownika?

Konstrukcja przepisu jednoznacznie wskazuje na możliwość outsourcingu świadczonego przez wyspecjalizowane w tym podmioty. Jednak DPO może być też członek personelu administratora lub podmiotu przetwarzającego. DPO może też wykonywać zadania na podstawie umowy o świadczenie usług.
W takim wypadku trzeba zapewnić, aby pozostałe obowiązki służbowe współgrały z nowymi obowiązkami pracownika/współpracownika jako DPO i nie spowodowały konfliktu interesów.

UDOSTĘPNIJ
Poprzedni artykułZgoda na przetwarzanie danych osobowych a GDPR
Następny artykułPodsumowanie ankiety o unijnym rozporządzeniu o ochronie danych osobowych
Prawnik z doświadczeniem w zakresie ochrony danych osobowych. Absolwentka Kolegium Prawa w Akademii Leona Koźmińskiego w Warszawie. Doświadczenie zawodowe zdobywała jako wieloletni pracownik Departamentu Orzecznictwa Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, Departamencie Spraw Obywatelskich Ministerstwa Spraw Wewnętrznych i Administracji oraz Departamencie Prawnym Ministerstwa Cyfryzacji. Prowadzi audyty i szkolenia, doradza administratorom danych osobowych. Interesuje się prawem nowych technologii, a także kulturą i literaturą iberoamerykańską.