IOD to skrót od Inspektora ochrony danych, czyli osoby odpowiedzialnej za nadzorowanie przestrzegania przepisów o ochronie danych osobowych w organizacji. Nie wszystkie podmioty muszą wyznaczyć IOD, ale niektóre są do tego zobowiązane na podstawie RODO, czyli ogólnego rozporządzenia o ochronie danych. Zgodnie z art. 37 ust. 1 RODO, IOD muszą wyznaczyć:
- organy lub podmioty publiczne, np. jednostki samorządu terytorialnego, uczelnie publiczne, instytuty badawcze, Narodowy Bank Polski;
- podmioty, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę, np. firmy świadczące usługi monitoringu, banki, firmy ubezpieczeniowe, firmy reklamowe;
- podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, np. danych dotyczących zdrowia, poglądów politycznych, przekonań religijnych, danych biometrycznych, danych genetycznych.
Pozostałe podmioty mogą wyznaczyć IOD dobrowolnie, jeśli uznają to za korzystne dla zapewnienia prawidłowej ochrony danych osobowych. W każdym przypadku, IOD powinien posiadać odpowiednie kwalifikacje, wiedzę i umiejętności do wykonywania swoich zadań.