Rozporządzenie RODO w art. 39 wyznacza minimalny zakres zadań Inspektora ochrony danych. Należą do nich:
- Informowanie o obowiązkach wynikających z Rozporządzenia RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania zgodności z Rozporządzeniem RODO, innymi przepisami Unii lub państw członkowskich o ochronie danych oraz politykami administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 Rozporządzenia RODO;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem.
Monitorowanie zgodnie z RODO
W ramach działań mających na celu monitorowanie przestrzegania przepisów dotyczących ochrony danych osobowych, Inspektor ochrony danych osobowych powinien m.in.:
- przeprowadzać audyty wewnętrzne;
- podejmować działania zwiększające świadomość osób, które przetwarzają dane osobowe;
- szkolić personel.
Jak wskazała Grupa Robocza Art. 29 w swoim opracowaniu: Monitorowanie nie oznacza osobistej odpowiedzialności DPO w przypadkach naruszenia RODO. Należy pamiętać, iż to Administrator danych osobowych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych odbywało się zgodnie z Rozporządzeniem RODO.
Czy Inspektor ochrony danych osobowych musi prowadzić Rejestr czynności przetwarzania?
Obowiązkiem Administratora danych osobowych jak i Podmiotu przetwarzającego zgodnie z treścią art. 30 ust. 1 i 2 Rozporządzania RODO jest prowadzenie rejestru czynności przetwarzania danych osobowych, za które odpowiadają oraz rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
Natomiast omawiane przepisy nie zabraniają przekazania tego zadania m.in. Inspektorowi ochrony danych. W codziennym życiu, jest to bardzo często stosowana praktyka. Tym bardziej, iż Rejestr czynności przetwarzania danych osobowych jak i Rejestr kategorii czynności przetwarzania mogą stanowić narzędzie do wypełniania zadań Inspektora opisanych w art. 39 Rozporządzania RODO.
Jak jest rola Inspektora ochrony danych w odniesieniu do Oceny skutków dla ochrony danych?
Inspektor ochrony danych powinien pełnić funkcję doradczą, ale także monitorować wykonanie oceny skutków dla ochrony danych opisanej w art. 35 Rozporządzania RODO.
O co zapytać Inspektora przeprowadzając Ocenę skutków dla ochrony danych?
- czy należy przeprowadzić ocenę skutków dla ochrony danych;
- jaką metodologię należy przyjąć przy przeprowadzeniu oceny skutków dla ochrony danych;
- czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych czy też zlecić ją podmiotowi zewnętrznemu;
- jakie zabezpieczenia (w tym środki techniczne i organizacyjne) mają zastosowanie w celu złagodzenia wszelkich zagrożeń dla praw i interesów osób, których dane dotyczą;
- czy ocena skutków została prawidłowo przeprowadzona oraz czy jej wyniki są zgodne z wymogami ochrony danych (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować).1
Osoba wyznaczona do pełnienia funkcji inspektora ochrony danych osobowych powinna odbyć szkolenie. Pozwoli ono nabyć wiedzę na temat aktualizowanych wytycznych, stosowanego orzecznictwa, a także poznać zagadnienia RODO od strony praktycznej. Na szkoleniach można zdobyć umiejętności w zakresie prawa UE, jak i krajowych przepisów, które nie zawsze są kompatybilne z ustawodawstwem unijnym. Sprawny inspektor powinien znać zagadnienia teoretyczne, jak i mieć wiedzę na temat praktycznego rozstrzygania kwestii spornych.
Podsumowanie
„Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania” – art. 39 ust. 2 Rozporządzania RODO.
1Grupa Robocza Art. 19 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) przyjęte w dniu 13 grudnia 2016 r. a ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r.