Do jednych z najdalej idących zmian wprowadzonych rodo należy nadanie nowego statusu ABI (przyszłemu inspektorowi ochrony danych). Dotychczasowe akty prawne nie przyznawały ABI wystarczającej gwarancji niezależności, niezbędnej do swobodnego podejmowania przez nich działań mających bezpośredni wpływ na ochronę danych osobowych, a nawet szerzej – na ochronę prywatności. Dyrektywa 95/46/WE wskazywała jedynie, że osoba odpowiedzialna za ochronę danych musi mieć możliwość wykonywania swoich funkcji w sposób całkowicie niezależny. Rodo – oprócz ogólnego wymogu takiej niezależności – przyznało wprost instrumenty gwarantujące inspektorom ich niezależność. Istotą przyznania takiego statusu inspektorom ochrony danych nie jest jednak wyłącznie podkreślenie ich ważnej roli w procesie ochrony danych osobowych, ale owa niezależność stanowi jeden z instrumentów zapewniających im możliwość pełnego i skutecznego wykonywania zadań. Nie ulega bowiem wątpliwości, że w ślad za poszerzeniem zakresu obowiązków nakładanych na administratorów danych osobowych oraz podmioty przetwarzające dane dojdzie do poszerzenia obowiązków samych inspektorów ochrony danych. Ogólny katalog zadań inspektorów ochrony danych wskazany został w art. 39 rodo i obejmuje: informowanie administratora danych, monitorowanie przestrzegania ogólnego rozporządzenia, pełnienie funkcji punktu kontaktowego, udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz współpracę z organem nadzorczym. Wskazany katalog zadań powinien być jednak oceniany wyłącznie w charakterze katalogu ogólnych form działań podejmowanych przez inspektora ochrony danych, który, mówiąc najogólniej, ma wspierać administratora danych bądź podmiot przetwarzający dane w wykonywaniu przez niego zadań przewidzianych w ogólnym rozporządzeniu. Wskazanie, jakie są w istocie zadania przyszłego inspektora ochrony danych wymaga wzięcia pod uwagę wszystkich obowiązków nałożonych przez rodo na administratorów danych oraz udzielenia odpowiedzi na dwa podstawowe pytania. Pierwszym z nich jest pytanie o to, które z obowiązków wynikających z rodo adresowane są wprost do administratora danych lub podmiotu przetwarzającego dane.
Drugim – czy możliwe jest, by inspektor ochrony danych wspierał administratora lub przedmiot przetwarzający w realizacji tych obowiązków. Trzeba przy tym pamiętać, że ochrona danych osobowych jest jednym z praw podstawowych przewidzianych Kartą Praw Podstawowych. Dlatego też Trybunał Sprawiedliwości UE w swoim orzecznictwie wielokrotnie podkreślał, że biorąc pod uwagę cel aktów unijnych, polegający na zapewnieniu ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych, nie można przyjmować wykładni zawężającej (zob. wyrok TSUE w sprawie C 131/12 z 13 maja 2014 r. w sprawie Google Spain pkt 53). Stosując powyższą wykładnię, stwierdzić należy, że inspektor ochrony danych powinien wspierać administratora danych osobowych we wszystkich czynnościach, w których z uwagi na charakter podejmowanych działań jest to możliwe.
Nie we wszystkich przypadkach podjęcie takich działań przez inspektora ochrony danych będzie bowiem możliwe. W szczególności konieczne jest zaakcentowanie, że przepisy rodo wyłączają możliwość przeniesienia na inspektora ochrony danych ciężaru podejmowania decyzji, który wprost nałożony został na administratorów danych lub podmioty przetwarzające. Przykładem mogą być decyzje co do wdrażanych technicznych i organizacyjnych środków ochrony danych osobowych. Artykuł 24 rodo wskazuje wprost, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rodo. W tym zakresie działania inspektora ochrony danych mogą ograniczyć się wyłącznie do podejmowania działań czysto doradczych, wspierających administratora w podejmowanych przez niego decyzjach. Wskazanie pozytywnego katalogu wszystkich możliwych zadań nakładanych na przyszłych inspektorów ochrony danych nie jest możliwe. W znacznej części zależą one bowiem od charakteru działalności podejmowanej przez administratora danych bądź podmiot przetwarzający oraz decyzji administratora, w którym ze swoich działań oczekuje wsparcia ze strony inspektora ochrony danych. Administrator może przykładowo oczekiwać od inspektora ochrony danych wsparcia w odbieraniu zgody przez dziecko w przypadku świadczenia przez siebie usług społeczeństwa informacyjnego, ale wyłącznie w przypadku, gdy w ramach prowadzonej przez siebie działalności usługi takie są faktycznie świadczone. Co jednak istotne, rodo poprzez szeroki zakres zadań nałożonych na inspektorów ochrony danych art. 39 rodo wymaga od nich aktywności rozumianej jako inicjowanie działań zmierzających do zapewnienia należytej ochrony danych osobowych. Możliwe jest natomiast podjęcie próby wskazania tych z zadań, które ciążą na każdym administratorze danych osobowych niezależnie od tego, jaki jest charakter działań, w związku z którymi dane osobowe są przetwarzane. W związku z tymi zadaniami działania inspektorów ochrony danych można podzielić na trzy kategorie. Pierwszą z nich jest wyrażone w art. 39 ust. 1 rodo informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o konkretnych obowiązkach spoczywających na nich na mocy rodo. Drugą jest merytoryczne wsparcie administratora danych, podmiotu przetwarzającego oraz pracowników w podejmowaniu działań zmierzających do zapewnienia zgodnego z prawem przetwarzania danych. Wreszcie trzecim z zadań jest egzekwowanie przestrzegania zasad ochrony danych.
Do zadań, w których realizacji inspektor ochrony danych powinien zawsze wspierać administratora danych osobowych, podejmując wskazane aktywności niezależnie od charakteru prowadzonej przez administratora działalności, należy wykazanie jednej z przesłanek przetwarzania danych osobowych, o których mowa w art. 6–11 rodo. W przypadku gdy podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą, inspektor ochrony danych powinien wspierać administratora danych w skonstruowaniu należytego procesu odbierania zgody. Powinien on zagwarantować, że została ona odebrana w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Powyższe dotyczy również respektowania zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 rodo. Wskazane zasady stanowić powinny zresztą klucz do podjęcia przez inspektora ochrony danych działań polegających na monitorowaniu przestrzegania rodo, o czym mowa w art. 39 rodo. W związku z ciążącym na administratorze danych obowiązkiem dochowania należytej formy powierzania danych osobowych podmiotowi przetwarzającemu dane do zadań inspektora ochrony danych należeć powinno opiniowanie, a nawet tworzenie w imieniu administratora wzorów umów, odpowiadających wszystkim wymogom przewidzianym w art. 28–29 rodo. Mimo że rodo nie wprowadza wymogu prowadzenia dokumentacji przetwarzania danych osobowych w kształcie przewidzianym w obowiązujących przepisach powszechnie obowiązującego prawa, nakłada na administratora szereg obowiązków dokumentacyjnych. Przykładowo, zgodnie z art. 33 ust. 5 rodo, administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. W praktyce w zdecydowanej większości przypadków wymóg stworzenia oraz aktualizowania takiej dokumentacji ciążył będzie na inspektorze ochrony danych jako na osobie posiadającej największą wiedzę o wszelkich zdarzeniach mogących rodzić ryzyko naruszenia zasad ochrony danych. Nie bez znaczenia pozostaje również wkład inspektorów ochrony danych w zapewnienie należytych środków bezpieczeństwa ochrony danych osobowych. Zgodnie z art. 32 rodo (uwzględniając m.in. stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania), administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne zapewniające należytą ochronę danych osobowych. W praktyce ocena skuteczności zastosowanych środków ochrony oraz rekomendowanie zmian powinno należeć do inspektora ochrony danych. Warto zwrócić uwagę, że powołany przepis wzmacnia stawiany inspektorom ochrony danych osobowych w art. 37 rodo wymóg posiadania kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Inspektor ochrony danych powinien być osobą, która poprzez swoje doświadczenie łączy wiedzę o zasadach ochrony danych osobowych z wiedzą o funkcjonowaniu sektora, w ramach którego administrator lub podmiot przetwarzający prowadzą swoją działalność. Bez wątpienia inaczej wyglądają techniki zabezpieczania danych osobowych w sektorze IT wykorzystywane w związku z prowadzeniem archiwów w placówkach medycznych. Z powyższym związane są również przewidziane w art. 25 rodo obowiązek administratora danych uwzględniania ochrony danych w fazie projektowania oraz domyślna ochrona danych. Administrator – uwzględniając: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fi zycznych – zobowiązany jest do wdrażania odpowiednich środków technicznych i organizacyjnych podczas określania sposobów przetwarzania oraz w czasie samego przetwarzania. Wskazana zasada, privacy by design, nakłada na administratora obowiązek uwzględnienia ochrony danych osobowych już na etapie projektowania rozwiązań technicznych bądź organizacyjnych. O ile działania takie powinny być podejmowane przy wsparciu inspektora ochrony danych, o tyle możliwe jest to wyłącznie w przypadku, gdy posiada on wiedzę pozwalającą mu na rozeznanie się w wykorzystywanych przez administratora technologiach. Zakres zadań nakładanych na inspektorów ochrony danych w ogólnym rozporządzeniu dalece wykracza poza ich ogólny katalog wskazany wprost w art. 39 rodo. Żadne z postanowień rodo nie może prowadzić jednak do wniosku o przeniesieniu na inspektorów ochrony danych pełnej odpowiedzialności za podejmowane decyzje, tam gdzie obowiązek wprost nakładany jest na administratora danych lub podmiot przetwarzający.