Inspektor Ochrony Danych (IOD), na mocy wytycznych zawartych w art. 37 RODO jest wyznaczany przez administratora danych osobowych albo przez podmiot zarządzający w sytuacji kiedy:
- przetwarzanie danych osobowych jest dokonywane przez organ, albo przez podmiot publiczny, ale za wyjątkiem sądów w zakresie sprawowania przez nie kompetencji związanych z wymiarem sprawiedliwości,
- główna działalność administratora danych osobowych, albo podmiotu przetwarzającego dane osobowe wyraża się w operacjach przetwarzania, które ze względu na swoją specyfikę, zakres, albo cele wymagają, aby w sposób regularny oraz systematyczny monitorować osoby, których te przetwarzane dane osobowe dotyczą (na dużą skalę),
- główna działalność administratora danych osobowych albo podmiotu przetwarzającego dane osobowe wyraża się w przetwarzaniu danych osobowych na duża skalę i dotyczy szczególnych kategorii danych osobowych, jak i danych osobowych, które dotyczą wyroków skazujących oraz naruszeń prawa.
Zgodnie z obowiązującymi zasadami, administrator danych osobowych albo podmiot przetwarzający dane osobowe ma obowiązek zawiadomić Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu inspektora ochrony danych (IOD) w przeciągu 14 dni od dnia jego wyznaczenia. Zawiadomienie takie musi być złożone elektroniczne, jak i opatrzone kwalifikowanym podpisem elektronicznym, albo podpisem zaufanym.
Inspektor Ochrony Danych (IOD) może zostać wyznaczony w ramach umowy outsourcingu -> sprawdź zalety (również ekonomiczne) tego rozwiązania w osobnym artykule!