Choć RODO obowiązuje od 2018 roku, to do tej pory powracają pytania o to, kto i w jakich okolicznościach wyznacza inspektora ochrony danych osobowych (IOD). Głównym zadaniem IOD jest monitorowanie przestrzegania obowiązujących przepisów oraz polityk w zakresie ochrony danych. W ostatnich latach znacząco wzrosła liczba państw, w tym także tych spoza przestrzeni Unii Europejskiej, które w swoim ustawodawstwie przewidziały obowiązek lub możliwość wyznaczenia IOD. W praktyce inspektor jest podmiotem wyspecjalizowanym w zakresie danych osobowych, działającym w strukturach administratora (nie musi być jego pracownikiem).
Obowiązek wyznaczenia IOD spoczywa na administratorze danych i podmiocie przetwarzającym (czyli podmiocie, który przetwarza dane osobowe na zlecenie administratora np. w przypadku szpitali, w związku ze świadczeniem dla nich usług specjalistycznych, podmiotem przetwarzającym będzie podmiot przechowujący dokumentację medyczną lub serwisujący sprzęt diagnostyczny).
Wyznaczenie IOD jest obowiązkowe w 3 następujących przypadkach:
- Gdy przetwarzania dokonują organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości – mowa tu o jednostkach sektora finansów publicznych, instytutach badawczych, NBP
- Gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – np. przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej
- Gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – obowiązek będzie miał w tym przypadku m.in. szpital. Warto dodać, że przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną) nie mieści się w definicji „dużej skali”.
