Kto powinien robić DPIA?

ODPOWIEDŹ

Zgodnie z treścią art. 35 ust. 1 RODO administrator odpowiada za przeprowadzeni DPIA. IOD powinien być konsultowany przez administratora. Grupa Robocza art. 29 zwraca uwagę, że konsultacja powinna obejmować poniższe kwestie:

• konieczność przeprowadzenia oceny skutków dla ochrony danych;
• metodę, jaką należy zastosować przy przeprowadzaniu oceny skutków dla ochrony danych;
• ustalenie, czy ocena skutków dla ochrony danych powinna zostać przeprowadzona wewnątrz przedsiębiorstwa, czy też zlecona podmiotowi zewnętrznemu;
• ustalenia, jakie gwarancje (uwzględniając środki techniczne i organizacyjne) należy zastosować w celu ograniczenia wszelkiego rodzaju zagrożeń dla praw i interesów osób, których dane dotyczą;
• ustalenie, czy ocena skutków dla ochrony danych została przeprowadzona w prawidłowy sposób i czy jej wyniki (wnioski dotyczące tego, czy należy kontynuować przetwarzanie danych, oraz tego, jakie zabezpieczenia należy zastosować) są zgodne z przepisami RODO.

W praktyce IOD jako najbardziej (bądź jedna z najbardziej) kompetentnych osób w organizacji będzie miał kluczową rolą w przeprowadzeniu DPIA, która może polegać na byciu przewodnikiem lub pomagać w przeprowadzeniu DPIA. Umowa z IOD powinna jasno określać kompetencje w tym zakresie. Należy pamiętać, że ostatecznie odpowiedzialny (rozliczalny) za przeprowadzenie DPIA może być jedynie administrator, a domyślną rolą IOD jest rola doradcza, wydawanie zaleceń i monitorowanie wyników.