Inspektor ochrony danych osobowych (dalej: IOD) pełnić ma kluczową rolę w nowym systemie ochrony, stworzonym przez unijne Ogólne Rozporządzenie w sprawie Danych Osobowych (dalej RODO: wejdzie w życie 25 maja 2018 r.). Wprawdzie instytucja podmiotu stojącego na straży przestrzegania danych wewnątrz organizacji nie jest obca polskiemu porządkowi – na mocy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. funkcjonuje administrator bezpieczeństwa informacji (ABI), niemniej jednak poszczególne kwestie związane z powołaniem, statusem i zadaniami IOD różnią się od obowiązujących regulacji.
Jakie różnice
Powołanie IOD jest obligatoryjne we wskazanych w RODO przypadkach, podczas gdy powołanie ABI ma zawsze charakter fakultatywny. I tak obowiązek nominowania IOD powstanie gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, przy czym Grupa Robocza Artykułu 29 ds. Ochrony Danych („Grupa art. 29") wskazuje, że dobrą praktyką byłoby powoływanie inspektora także przez podmioty prywatne, które prowadzą działalność z zakresu zadań publicznych tj. transport publiczny, dostawa wody, energii, czy infrastruktura drogowa;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, czyli danych wrażliwych oraz danych dotyczących wyroków skazujących i naruszeń prawa.