Funkcja inspektora ochrony danych pod lupą organu nadzoru

Od początku stosowania Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (dalej RODO) istotną rolę w codziennej praktyce zapewnienia zgodności pełnią różnego rodzaju wytyczne, stanowiska i poradniki tworzone przez regulatorów oraz coraz bogatsze orzecznictwo. Systematycznie zmniejsza się liczba „białych plam" – obszarów, w których brakuje sprecyzowanej praktycznej wykładni RODO. Swój istotny wkład w ich eliminacje ma też Commission Nationale Pour La Protection Des Donnees (dalej CNPD) luksemburski regulator, który w 2018 roku rozpoczął serię 25 kontroli dotyczących funkcji inspektora ochrony danych (dalej IOD). Kontrola polegała na weryfikacji kilkunastu zagadnień takich jak: fakt powołania IOD, publikacja danych kontaktowych IOD, dokonanie zgłoszenia IOD do regulatora, posiadanie przez IOD odpowiedniej wiedzy i umiejętności, brak konfliktu interesów wywołanego przez zakres obowiązków IOD, zasoby przydzielone IOD w celu realizacji wyznaczonych zadań, pozycja IOD w organizacji, aktywne włączenie IOD w funkcjonowanie organizacji, realizacja przez IOD obowiązków w szczególności w zakresie szkoleń, doradztwa, monitoringu zgodności, udział IOD w przeprowadzaniu oceny skutków przetwarzania. W drugiej połowie 2021 roku mieliśmy możliwość zapoznania się z wynikami tych kontroli dzięki opublikowaniu przez CNPD kilku niezwykle interesujących decyzji. Poniżej analiza wybranych zagadnień z czterech decyzji, warto jednak podkreślić, iż nie jest to opracowanie wszystkich wątków jakie poruszyła CNPD w wyniku analizy sposobu realizacji funkcji IOD przez administratorów funkcjonujących w Luksemburgu.