Kiedy trzeba będzie konsultować się z inspektorem ochrony danych

Zgodnie z art. 38 ogólnego rozporządzenia o ochronie danych (rodo) administrator i podmiot przetwarzający mają zapewnić, by inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Grupa Robocza wskazuje, że niezwykle istotne jest, aby inspektor był zaangażowany we wszystkie kwestie związane z ochroną danych od możliwie najwcześniejszego etapu. W odniesieniu do oceny skutków przetwarzania, rozporządzenie wyraźnie wskazuje, że inspektor powinien być w nią zaangażowany od początku, a administrator powinien zasięgać jego opinii.

Grupa Robocza twierdzi, że informowanie i konsultowanie z inspektorem wszystkich spraw związanych z ochroną danych powinno być standardową procedurą, która pomoże zapewnić przestrzeganie przepisów rodo, wdrożyć podejście ochrony danych w fazie projektowania.

Zdaniem Grupy Roboczej inspektor powinien być postrzegany jako partner do dyskusji w organizacji. Powinien być też istotną częścią grup roboczych, które będą zajmować się kwestiami ochrony danych w organizacji.

W związku z tym Grupa Robocza zaleca:

• Inspektor powinien być zapraszany na spotkania niższego i wyższego szczebla.
• Obecność inspektora jest zalecana, gdy podejmowane są decyzje, które mają skutki w zakresie ochrony danych. Wszystkie istotne informacje muszą być przekazane inspektorowi w odpowiednim czasie, by mógł udzielić odpowiedniej porady.
• Opinie inspektora trzeba brać pod rozwagę. Jeżeli administrator nie zdecyduje się działać zgodnie z nią, dobrą praktyką jest udokumentowanie przyczyn nieprzestrzegania opinii inspektora.
• Naruszenia ochrony danych i inne incydenty należy niezwłocznie konsultować z inspektorem.

Źródło:

• Wytyczne Grupy Roboczej Art. 29 w sprawie inspektorów ochrony danych.