W ostatnim czasie do Biura Generalnego Inspektora Ochrony Danych Osobowych wpływają sprawozdania z przygotowywanych przez administratorów bezpieczeństwa informacji (ABI) sprawdzeń planowych i doraźnych. Ich opracowywanie jest jednym z ich zadań wynikającym z przepisów ustawy o ochronie danych osobowych (art. 36c w związku z art. 36a ust. 2 pkt 1 lit. a), lecz są one tworzone przede wszystkim na użytek danego podmiotu i nie powinny być przesyłane do GIODO. Obowiązek przedstawienia Generalnemu Inspektorowi Ochrony Danych Osobowych – za pośrednictwem administratora danych osobowych – sprawozdania ze sprawdzenia, dotyczy wyłącznie sprawdzeń realizowanych na wniosek GIODO (a więc przypadków określonych w art. 19b ustawy).
W innych przypadkach, tj. dokonywania planowych lub doraźnych sprawdzeń dla administratora danych osobowych (wymienionych w § 3 ust. 2 pkt. 1 i 2 rozporządzenia ministra cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji), na administratorze bezpieczeństwa informacji nie ciąży obowiązek przedstawienia sprawozdania Generalnemu Inspektorowi Ochrony Danych Osobowych.
Sprawozdania z dokonanych przez ABI planowych bądź doraźnych sprawdzeń nie podlegają zatem przekazaniu Generalnemu Inspektorowi Ochrony Danych Osobowych, lecz stanowią jedynie dokumentację wewnętrzną administratora danych osobowych.
Niemniej może zajść konieczność przedstawienia takiego sprawozdania na żądanie inspektora GIODO, w sytuacji gdyby zostały podjęte czynności kontrolne mające na celu ustalenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
