W przepisach RODO zostały wskazane trzy sytuacje, w których wyznaczenie inspektora ochrony danych osobowych będzie obligatoryjne. Obowiązkowe wyznaczenie funkcji inspektora ochrony danych będzie miało miejsce, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Inspektor ochrony danych odgrywa kluczową rolę w systemie ochrony danych osobowych w organizacji. Powyższe podkreśla również GR Art. 29 w swoich wytycznych, wskazując, że przypadku gdy administrator nie ma obowiązku powołania IOD, nadal rekomenduje powołanie takiej funkcji w ramach dobrych praktyk