IOD może zalecać zmiany w wewnątrzzakładowych aktach prawnych

Inspektor ochrony danych ma następujące zadania:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 RODO).

W kompetencjach inspektora nie leży zmiana wewnętrznych aktów prawnych takich jak regulaminy pracy czy ZFŚS. Za te zmiany odpowiada pracodawca jako administrator danych. Inspektor powinien natomiast, w ramach monitorowania przestrzegania RODO, informować administratora o konieczności wprowadzenia zmian w tych regulaminach, jeżeli dostrzeże, że dotychczasowe zapisy są niezgodne z RODO, w szczególności, gdy nie zapewniają wymaganego przez RODO poziomu bezpieczeństwa przetwarzania danych.