Mimo upływu prawie roku od wejścia w życie RODO, wciąż jeszcze dość licznie spotykamy się z opiniami, że ochrona danych i RODO to „twory” trochę na wyrost i za bardzo okrzyknięte, a posiadanie inspektora ochrony danych stanowi albo luksus albo wręcz niepotrzebny i nadprogramowy wydatek. Tymczasem w wielu firmach procesy przetwarzania danych osobowych kuleją lub są marginalizowane.
Obserwujemy to zwłaszcza przy okazji tzw. raportów rocznych i okresowych, w czasie których weryfikujemy przebieg procesów przetwarzania danych osobowych.
Na szczególną rolę i rangę, jaką powinien się odznaczać inspektor ochrony danych osobowych zwraca uwagę Prezes Urzędu Ochrony Danych Osobowych, między innymi poprzez zawnioskowane o zmianę rozporządzenia Prezesa Rady Ministrów z dnia 29 stycznia 2016 r. w sprawie określenia stanowisk urzędniczych, wymaganych kwalifikacji zawodowych, stopni służbowych urzędników służby cywilnej, mnożników do ustalania wynagrodzenia oraz szczegółowych zasad ustalania i wypłacania innych świadczeń przysługujących członkom korpusu służby cywilnej (Dz.U.2018 poz. 807) poprzez uzupełnienie wykazu stanowisk urzędniczych o stanowisko inspektora ochrony danych. Podyktowane jest w szczególności powszechnym przypisywaniem dodatkowych obowiązków związanych z ochroną danych osobowych pracownikom na stanowiskach urzędniczych, co w praktyce uniemożliwia pełne wywiązywanie się z zadań jakie ciążą na inspektorze ochrony danych osobowych. Zgodnie bowiem z założeniami RODO inspektor ochrony danych powinien działać jako samodzielny i niezależny organ, podlegający bezpośrednio najwyższemu kierownictwu, nie otrzymujący instrukcji w zakresie wykonywanych zdań, nie otrzymujący instrukcji i zadań, które mogłyby spowodować konflikt interesów, jak również nie powinien być karany lub odwoływany za wypełnianie przez niego zadań.
Zarówno zakres obowiązków, jak i odpowiedzialność inspektora z tytułu podejmowanych przez niego czynności znacząco podnosi jego rangę, a tym samym buduje prestiż i wzbogaca wiarygodność podmiotu, bądź organizacji, w której działa. Podobnie dzieje się w przypadku inspektorów funkcjonujących w firmach, spółkach, oraz wszelkich innych działalnościach, gdzie jego obecność powinna znacząco przyczyniać się do prawidłowych procesów przetwarzania danych osobowych.
A zatem powołanie inspektora ochrony danych powinno być rozważane nie w oparciu o ekonomiczną kalkulację kosztów tego procederu, lecz na zasadzie potrzeb danej działalności lub organizacji, której obowiązkiem jest bezpieczne i właściwe utrzymywanie procesów przetwarzania danych osobowych zgodnie z prawem powszechnie obowiązującym. Stąd łącznie zadań w ramach pierwotnych obowiązków (np. kierownika, dyrektora, informatyka) z zadaniami, jakie co do zasady powinien samodzielnie realizować inspektor ochrony danych, może nie tylko spowodować, że ostatecznie żadne z tych zadań nie zostanie poprawie wypełnione, lecz także może zaburzyć procesy prawidłowego i bezpiecznego przetwarzania danych, a tym samym generować incydenty bezpieczeństwa narażające firmę, organizację, bądź urząd na odpowiedzialność prawną i finansową.