Inspektor ochrony danych musi być niezależny w wykonywaniu swoich zadań

Zgodnie z art. 38 ust. 3 ogólnego rozporządzenia o ochronie danych osobowych (rodo) administrator oraz podmiot przetwarzający muszą zapewnić, by inspektor ochrony danych (Data Protection Officer – DPO) nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Nie może być on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Zgodnie z rodo inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Motyw 97 do rozporządzenia dodatkowo wskazuje, że inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Regulacje te mają zapewnić, że inspektor będzie mógł wypełniać swoje zadania z wystarczającym stopniem autonomii w ramach organizacji.

Grupa Robocza Art. 29 podkreśla, że nie można wydawać inspektorowi ochrony danych instrukcji co do tego, jak ma realizować swoje zadania, np. w jaki sposób ma rozpatrywać skargi od podmiotów danych lub czy powinien konsultować się z organem ochrony danych. Nie będzie im także można narzucać wizji kwestii związanych z prawem ochrony danych np. interpretacją prawa.

Autonomia inspektorów ochrony danych nie oznacza jednak, że mają oni uprawnienia decyzyjne wobec zagadnień, które wykraczają poza ich zadania – podkreśla Grupa Robocza. Administrator i procesor wciąż będą odpowiedzialni za zgodność swoich działań z przepisami i będą musieli to wykazać np. przed organem nadzorczym. Jeżeli podejmą decyzje, które nie będą zgodne z przepisami rozporządzenia lub wytycznymi inspektora ochrony danych, DPO musi mieć możliwość jasno wyrazić swoje zdanie odrębne – wyjaśnia Grupa Robocza.