Na czym polega wykonywanie zadań przez IOD z należytym uwzględnieniem ryzyka?

Przepis dotyczący zadań inspektora ochrony danych (art. 39 ust. 2 RODO) wyraźnie wskazuje na konieczność dostosowania trybu i metod pracy do specyfiki przetwarzania danych oraz związanego z tym przetwarzaniem ryzyka. Inspektor ma wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Chodzi tu o ogólną, zdroworozsądkową zasadę, którą IOD może odnieść do wielu aspektów swojej codziennej pracy. Wypełnianie zadań „z należytym uwzględnieniem ryzyka” wymaga od IOD ustalania priorytetów w swojej pracy i koncentrowania się na aspektach pociągających za sobą większe ryzyko.

Zdaniem Grupy Roboczej Art. 29, takie podejście powinno ułatwić IOD doradzenie administratorowi, m.in.:

• które obszary powinny zostać poddane wewnętrznemu albo zewnętrznemu audytowi,
• jakie szkolenia dla pracowników lub kierowników odpowiedzialnych za przetwarzanie danych należy przeprowadzić,
• na które operacje przetwarzania należy przeznaczyć więcej czasu i zasobów.

IOD wykonując swoje zadania (art. 39 ust. 2 RODO), powinien zatem stosować rozwiązania dostosowane do potrzeb podmiotów, w których pełni swoją funkcję, a także cech konkretnego przetwarzania danych i związanego z tym przetwarzaniem ryzyka. Konieczność realizacji obowiązków w powyższy sposób w konsekwencji ma prowadzić do skuteczniejszej ochrony danych.