- Dlaczego według Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych osobowych prowadzenie rejestru czynności jest zaliczane do zadań inspektora ochrony danych, skoro z art. 30 RODO wynika, iż jest ono obowiązkiem administratora danych? Przecież IOD ma pełnić rolę doradczą, monitorującą i „łącznikową", a nie wyręczać administratora danych w jego obowiązkach.
Zagadnienie prawidłowego rozdzielenia i określenia ról oraz odpowiedzialności jest niezmiernie ważne, zwłaszcza w jednostkach o rozbudowanej strukturze, z różnorodnym zakresem, podstawą prawną i celem przetwarzania danych. Może więc warto zalecić ADO, w jaki sposób mają wykonywać ciążące na nich obowiązki, kto ma to fizycznie robić, gdyż raczej wątpliwe, aby wykonywali je osobiście, a nie mogą ich przerzucać na inspektora ochrony danych.
Zgodnie z art. 30 ust. 1 i 2 RODO, do administratora należy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada, a do podmiotu przetwarzającego – prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. To te podmioty są odpowiedzialne za efektywne wykonanie tego obowiązku i pozostawanie w gotowości do wykazania tego na żądanie organów ochrony danych. Tym samym są one zobowiązane samodzielnie określić, kto konkretnie w danej organizacji ma wykonywać określone czynności składające się na spełnienie wymogów określonych w art. 30 RODO, uwzględniając konkretne okoliczności, m.in. takie jak wielkość i struktura organizacyjna danego podmiotu oraz skala przetwarzania danych. Zgodnie z jedną z najważniejszych zasad, na których oparta jest nowa regulacja – zasadą rozliczalności, odpowiedni dobór rozwiązań zapewniających zgodność z przepisami o ochronie danych osobowych należy do administratorów danych i podmiotów przetwarzających.
Ze względu na swoją zawartość i cele, rejestry czynności oraz rejestry kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów należy do administratorów i podmiotów przetwarzających, nie zaś do inspektora ochrony danych, niemniej trudno sobie wyobrazić, że inspektor ochrony danych – jako osoba dysponująca odpowiednią wiedzą i umiejętnościami w dziedzinie ochrony danych osobowych – nie będzie angażowała się w tworzenie i prowadzenie rejestrów, a następnie wykorzystywała ich w swojej pracy.
Inspektor ochrony danych jako fachowiec może wspomagać administratora w tworzeniu i prowadzeniu rejestrów na przykład poprzez zbieranie informacji w celu identyfikacji procesów przetwarzania. Ponadto zgodnie z art. 38 RODO, administrator oraz podmiot przetwarzający zobowiązani są do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Udział w prowadzeniu wskazanego rejestru może w znacznym stopniu przyczyniać się do realizacji ww. obowiązku.
