IOD a audyt KRI

Zadania inspektora ochrony danych określa art. 39 RODO. Wymieniono tam następujące kompetencje:

• · informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• · monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
•  udzielanie na żądanie zaleceń co do DPIA oraz monitorowanie jej wykonania;
• współpraca z organem nadzorczym;
•  pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Są to jedyne kompetencje IOD przewidziane w przepisach prawa. Żadnych kompetencji w tym zakresie nie przewidują przepisy dotyczące KRI. Dlatego z mocy samego prawa inspektor nie musi wykonywać czynności związanych z KRI. Przepisy regulujące KRI nie są przepisami z zakresu ochrony danych osobowych.