Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Poziom wiedzy inspektora powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora (motyw 97 RODO).
Powyższe wskazuje, że aby móc w sposób należyty wykonywać swoje obowiązki inspektor ochrony danych powinien wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych. Zgodnie z Wytycznymi dotyczących inspektorów danych osobowych Grupy Roboczej art. 29 inspektor ochrony danych powinien posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość przepisów RODO. Zalecana jest również wiedza biznesowa i sektorowa dotycząca działalności administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych DPO powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.
Jak wskazuje Grupa Robocza art. 29 wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Tytułem przykładu – w przypadku wyjątkowo złożonych procesów przetwarzania danych osobowych lub w przypadku przetwarzania dużej ilości danych szczególnej kategorii, można wymagać wyższego poziomu wiedzy. Podobnie będzie w przypadku obsługi przez DPO podmiotów regularnie przekazujących dane do państw trzecich. W związku z tym wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.
Znaczenie fachowej, a zatem stale uaktualnianej wiedzy DPO zostało podkreślone przezzobowiązanie administratorów danych i procesorów do zapewnienia inspektorowi zasobów niezbędnych do utrzymania jego wiedzy fachowej, a zatemsystematycznego podnoszenia poziomu jego wiedzy. Wymóg uaktualniania wiedzy i zapewnienia na to środków finansowych jest uzasadniony wobec zmieniającego się stale stanu wiedzy technicznej, rozwoju technologicznego i postępu wielkoskalowych metod przetwarzania danych. Z pewnością można twierdzić, że w funkcję inspektora ochrony danych wpisane jest ciągłe kształcenie się, uwzględnianie zmian w prawie oraz zmian w metodach przetwarzania danych.
Administrator oraz podmiot przetwarzający ma obowiązek właściwego i bezzwłocznego włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO). Administrator danych lub podmiot przetwarzający powinien umożliwić inspektorowi ochrony danych czynny udział we wszystkich sprawach dotyczących procesów przetwarzania danych osobowych oraz na bieżąco przekazywać mu wszystkie informacje związane z wykonywaniem jego zadań. Tym samym wiedza inspektora ma obejmować informacje o każdej sprawie dotyczącej przetwarzania i ochrony danych osobowych, w danej jednostce organizacyjnej.
W odniesieniu do umiejętności (możliwości) wykonywania zadań ciążących na DPO
Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowychwskazuje, że możliwość ta powinna być interpretowana zarówno przez pryzmat cech i kwalifikacji DPO, jak również jego pozycji w strukturach podmiotu. Do cech inspektora ochrony danych, pożądanych w związku z pełnieniem tej funkcji, zaliczyć można rzetelne podejście i wysoki poziom etyki zawodowej oraz priorytetowe traktowanie swoich obowiązków. Jest to szczególnie istotne w zakresie zapewnienia przestrzegania RODO, ponieważ wytworzenie efektywnej polityki ochrony danych osobowych w organizacji zależy w dużej mierze od działalności DPO.