Obowiązek wyznaczenia inspektora ochrony danych (IOD) został określony w art. 37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Obowiązek taki został nałożony na podmioty przetwarzające i administratorów, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
W pozostałych wypadkach wyznaczenie IOD jest fakultatywne. Grupa Robocza art. 29 w wytycznych dotyczących inspektora ochrony danych zaleca organizacjom udokumentowanie przeprowadzenia procedury w wyniku której podjęto decyzję o braku lub istnieniu obowiązku wyznaczenia IOD.
Osoba wyznaczona na IOD powinna posiadać kwalifikacje zawodowe do pełnionej roli, w szczególności powinna to być wiedza z zakresu prawa i praktyk w zakresie ochrony danych oraz umiejętności, które pomogą mu wypełnić zadania IOD.
Podobnie jak w innych przypadkach RODO nie wskazuje w sposób jednoznaczny jakie dokładnie kwalifikacje i wiedzę powinien posiadać IOD. Jednak zgodnie z wskazaniami Grupy Roboczej art. 29 poziom wiedzy powinien być uzależniony od charakteru, skomplikowania i ilości danych przetwarzanych w ramach organizacji. Czyli to na podmiocie wyznaczającym IOD ciąży obowiązek dokonania wyboru z zachowaniem staranności i z uwzględnieniem charakteru przetwarzania danych w ramach organizacji.
IOD 2.0, czyli rola inspektorów w świetle ostatnich rozstrzygnięć organów nadzoru
IOD ma przede wszystkim zapewnić przestrzeganie rozporządzenia w organizacji. Zatem jego rola jest kluczowa w zakresie wspierania przestrzegania prawa ochrony danych w organizacji oraz wspieranie organizacji w implementacji RODO do niej, tj:
- przestrzegania zasad przetwarzania danych osobowych;
- przestrzegania praw osób, których dane dotyczą;
- ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
- prowadzenia rejestru czynności przetwarzania;
- przestrzegania wymogów bezpieczeństwa przetwarzania oraz
- zgłaszania naruszeń.
Podmioty, które wyznaczyły inspektora ochrony danych powinny o tym poinformować organ ochrony danych, w Polsce – Urząd Ochrony Danych Osobowych oraz publikować jego dane kontaktowe. Wyznaczony IOD może być zarówno pracownikiem organizacji jak i osobą spoza organizacji.
