Obowiązujące ogólne rozporządzenie o ochronie danych (art. 37 ust 1 RODO) przewiduje obowiązek wyznaczenia inspektora ochrony danych. Administratorzy i podmioty przetwarzające będą zobligowane do wyznaczenia IOD w sytuacji gdy:
- przetwarzania dokonują organ lub podmiot publiczny (np. uczelnie publiczne, urzędy miasta i gmin, jednostki samorządu terytorialnego…) z wyjątkiem sądów
- główna działalność administratora lub podmiotu przetwarzającego opiera się na operacjach przetwarzania na duża skalę, które ze względu na swój charakter wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO) oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO)
Dla pozostałych podmiotów wyznaczenie inspektora będzie opcjonalne. Warto nadmienić, iż Grupa Robocza art. 29 w swoich wytycznych dotyczących inspektora ochrony danych zaleca by administratorzy i podmioty przetwarzające przeprowadziły wewnętrzne procedury (uwzględniając przesłanki z art. 37 ust. 1 RODO) w celu ustalenia obowiązku powołania IOD lub też braku tego obowiązku.
Inspektor powinien odgrywać istotną rolę w zakresie przetwarzania danych osobowych oraz pomagać w implementacji niezbędnych elementów RODO tj.:
- zasady przetwarzania danych osobowych;
- prawa osób, których dane dotyczą;
- ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
- prowadzenia rejestru czynności przetwarzania;
- wymogów bezpieczeństwa przetwarzania;
- zgłaszanie naruszeń.
Inspektorem ochrony danych może zostać pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników – outsourcing (według art. 37 ust. 6 RODO).
