Co ważne analizowane dokumenty nie są krajowymi wytycznymi w sprawie sprawowania funkcji IOD w organizacji. Są to decyzje wydane w indywidualnych sprawach odnoszące się do konkretnych stanów faktycznych, jednak można z nich wyciągnąć wnioski, które warto wziąć pod uwagę w przypadku powoływania IOD lub analizowania jego działalności w ramach organizacji.

Organ widzi potrzebę zaangażowania IOD we wszystkie czynności, w których dochodzi do przetwarzania danych osobowych. Na administratorze ciąży obowiązek umożliwienia IOD takiego zaangażowania. Jeżeli IOD może uczestniczyć w spotkaniach kadry kierowniczej jedynie na jej zaproszenie to organ nie uznaje takiego zorganizowania pracy jak wystarczające. W organizacji powinny zostać przyjęte procedury, które zapewnią udział IOD w każdym spotkaniu kierownictwa, niezależnie od wystosowania odpowiedniego zaproszenia lub nie.

Niezależność IOD, o której wprost jest mowa w RODO przez luksemburski organ jest rozumiana w ten sposób m.in., że IOD powinien posiadać swobodę do kogo z kierownictwa organizacji będzie raportować swoje działania. Co ważne, raportowanie powinno być bezpośrednie do kierownictwa. Zobowiązanie do raportowania innym osobom niż kierownictwo organizacji lub konieczność konsultowania dostrzeżonych problemów z innymi osobami niż kierownictwo zdaniem organu jest niewłaściwe.

IOD w organizacji powinien działać w oparciu o przygotowany plan. Tylko w przypadku działania w ramach opracowanego planu, zdaniem organu, jest możliwe właściwie monitorowanie procesów zachodzących w organizacji. IOD zanim podejmie działania w organizacji powinien się wykazać odpowiednim doświadczeniem zawodowym. Zdaniem luksemburskiego organu powinno ono wynosić co najmniej 3 – lata. Doświadczenie powinno zostać zweryfikowane przez administratora zanim dojdzie do zaangażowania osoby na stanowisko IOD.

Jak już organizacja zweryfikuje doświadczenie zawodowe osoby, która ma zostać powołana na stanowisko IOD, należy określić zasady jego zaangażowania. Powinno ono zależeć od skali przetwarzania danych osobowych. Jeżeli skala jest duża, to osoba ta powinna być zaangażowana na pełny etat tak by w sposób efektywny móc wypełniać swoje obowiązki.

Luksemburski organ w swoich decyzjach podkreślił jak ważne jest właściwe umiejscowienie IOD w strukturze organizacji i zapewnienie mu odpowiednich warunków by w sposób efektywny mógł wypełniać swoje obowiązki. IOD jest kluczową postacią w organizacji w zakresie danych osobowych.

Źródło: https://gdpr.pl/idealny-inspektor-ochrony-danych-oczami-regulatora