Inspektor Ochrony Danych Osobowych

25 maja 2018 r. jest datą „zero” dla wszystkich podmiotów przetwarzających dane osobowe (Administratorów). Artykuł 37 ust. 1 Rozporządzenia RODO wprost stanowi, kiedy administrator będzie zobowiązany wyznaczyć Inspektora Ochrony Danych Osobowych (IOD). Są to trzy następujące przypadki:

1. przetwarzania dokonują organ lub podmiot publiczny;
2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Administrator będzie mógł swobodnie wybierać i wyznaczać osobę na funkcję IOD. Musi jednak pamiętać o zasadzie rozliczalności i wykazaniu przed organem nadzoru, że osoba wyznaczona na pełnienie tej funkcji spełnia kryteria odpowiednich kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań. To na Administratorze ciążyć będzie odpowiedzialność wykazania, że do procesu przetwarzania danych osobowych dopuścił właściwą osobę.

Grupa Robocza Artykułu 29* oraz Generalny Inspektor Danych Osobowych zalecają podmiotom przetwarzającym dane osobowe wyznaczenia IOD, nawet wtedy gdy obowiązek ten nie wynika bezpośrednio z przepisów Rozporządzenia czy też przepisów krajowych. Powołanie IOD jest nie tylko warunkiem rozliczalności, ale też pozwoli na ograniczenie ryzyka naruszenia danych osobowych oraz przyczyniać się będzie do wzrostu konkurencyjności przedsiębiorstwa.