Czy mogę powierzyć obowiązki IODO pracownikowi szkoły (sekretarzowi lub kierownikowi gospodarczemu)? Obecnie prowadzi nas firma zewnętrzna, ale od nowego roku jesteśmy zmuszeni szukać innego rozwiązania. Czy obecne przepisy pozwalają zatrudnić jako IODO pracownika szkoły, który ma dostęp do różnych danych w tym danych wrażliwych zarówno nauczycieli, jak i uczniów?

Podmiot publiczny przetwarzający dane osobowe obowiązany jest wyznaczyć inspektora ochrony danych – obowiązek ten wynika z art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych – ogólne rozporządzenie o ochronie danych, dalej RODO. W art. 9 ustawy z 10.05.2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 ze zm), organami i podmiotami publicznymi obowiązanymi do wyznaczenia inspektora ochrony danych są także jednostki sektora finansów publicznych.
RODO nie określa szczegółowo formalnych wymogów kwalifikacyjnych wobec inspektorów ochrony danych.
Przepis art. 37 ust. 5 RODO stanowi, że inspektor ochrony danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia nałożonych na niego zadań. Według zapisów motywu 97 do RODO – niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora.
Inspektor ochrony danych może być pracownikiem administratora, jak również może wykonywać zadania na podstawie umowy o świadczenie usług. Nie ma przeszkód, by inspektor ochrony danych wykonywał w jednostce również inne zadania i obowiązki, ale pod warunkiem, że takie zadania i obowiązki nie powodują konfliktu interesów.
Według wytycznych Grupy Roboczej art. 29 do spraw ochrony danych (wytyczne dotyczące inspektorów ochrony danych) – "Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych."
Trzeba też dodać, iż inspektor ochrony danych wykonywać powinien swoje zadania w sposób niezależny i bezpośrednio podlegać najwyższemu kierownictwu administratora.
Jeśli przedstawione powyżej warunki są spełnione (wymogi w zakresie kwalifikacji oraz brak konfliktu interesów), to nie ma przeszkód, by sekretarz lub kierownik gospodarczy został wyznaczony do pełnienia funkcji inspektora ochrony danych.