Europejscy rzecznicy danych wydali wytyczne do unijnego rozporządzenia

W wytycznych dotyczących inspektora ochrony danych (Data Protection Officer – DPO) Grupa Robocza wyjaśnia, kto będzie musiał go wyznaczyć. Rozporządzenie wskazuje, że ten obowiązek będzie dotyczył organów lub podmiotów publicznych. Grupa wyjaśnia, że pojęcie to będzie rozumiane według prawa krajowego. W niektórych sytuacjach także podmioty prywatne realizujące zadanie publiczne będą musiały rozważyć powołanie inspektora.

Grupa Robocza analizuje też, co oznacza, że przetwarzanie danych ma być główną działalnością administratora – od tego zależy konieczność powołania DPO. Podaje też przykłady przetwarzania danych na dużą skalę. Jako przykład podaje przetwarzanie danych przez dostawców usług telefonicznych lub internetowych. Grupa Robocza wyjaśnia także, czym jest regularny i systematyczny monitoring osób, których dane dotyczą.

Grupa wskazuje też kiedy podmiot przetwarzający dane (na zlecenie administratora) będzie musiał wyznaczyć inspektora ochrony danych. Podaje też przykłady sytuacji, w których nie będzie to obowiązkowe, ale będzie dobrą praktyką.

Grupa Robocza wyjaśnia również, jakie warunki będzie musiał spełniać inspektor ochrony danych, jakie będą jego obowiązki i pozycja. Wiele obowiązków związanych z ochroną danych np. przeprowadzanie oceny skutków przetwarzania czy prowadzenie rejestru czynności przetwarzania to zadania administratorów. Grupa Robocza wskazuje jednak, że inspektor powinien wspomagać administratora w ich realizacji, a niektóre obowiązki (np. prowadzenie rejestru) powinien wykonywać sam.