Od 25 maja 2018 r. zaczniemy stosować rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO). Unijny prawodawca przewidział więc 2-letni okres na przygotowanie się do stosowania RODO, w tym m.in. na przeprowadzenie przez każdego przedsiębiorcę analizy czy będzie na nim ciążył obowiązek powołania inspektora ochrony danych (IOD).
Obowiązujące dziś przepisy nie wprowadzają obowiązku powołania administratora bezpieczeństwa informacji (ABI). To przedsiębiorca decyduje, czy powołać ABI czy nie. RODO z kolei wprowadza pewne kategorie podmiotów, które będą obowiązane do powołania IOD, który będzie pełnił funkcję zbliżoną do ABI – będzie doradcą w zakresie ochrony danych osobowych u danego przedsiębiorcy (RODO pozwala również na powołanie jednego IOD dla grupy przedsiębiorców (np. dla grupy kapitałowej)). W większości przypadków dzisiejszy ABI będzie mógł zostać IOD (przesłanki do powołania ABI i IOD są zbliżone).
Kto ma powołać
RODO wskazuje na 3 kategorie podmiotów obowiązanych do ustanowienia IOD. Z pobieżnej lektury RODO (art. 37 ust. 1) mogłoby się wydawać, że obowiązek ten będzie dotyczył wąskiej grupy podmiotów. Jednak całkiem niedawno tzw. Grupa Robocza Art. 29 tj. niezależny organ doradczy w zakresie danych osobowych i prywatności ustanowiony na gruncie obowiązującej dyrektywy 95/46/WE (GR 29) wydała wytyczne odnoszące się do wykładni m.in. art. 37 ust. 1 RODO (Wytyczne WP 243; przyjęte 13 grudnia 2016 r., dostępne na stronie GIODO). Wraz z rozpoczęciem stosowania RODO GR 29 zostanie zastąpiona przez Europejską Radę Ochrony Danych, niemniej można przyjąć, że jej dotychczasowe wytyczne będą wskazywać na kierunek wykładni europejskiej (mało prawdopodobne jest, żeby nowy organ wydał odmienne wytyczne).
Organ lub podmiot publiczny
Zgodnie z RODO administrator i tzw. „procesor" tj. podmiot przetwarzający (zatem zarówno przedsiębiorca decydujący o celach i sposobach przetwarzania, jak i ten przetwarzający na jego zlecenie, np. dostarczający wsparcie IT) wyznaczają IOD, jeśli są organem lub podmiotem publicznym. Jako wyjątek RODO wyłącza z tego katalogu sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości. Z wytycznych wynika, że to prawo krajowe będzie decydowało, jakie podmioty należy zaliczyć do tej grupy. GR 29 zauważa, że zadania publiczne czy władza publiczna mogą być wykonywane nie tylko przez podmioty publiczne, co ma miejsce, np. w przypadku spółek działających w sektorach: transportu publicznego, dostawy wody i energii czy infrastruktury drogowej. W tych przypadkach powołanie IOD nie jest obowiązkowe, ale rekomendowane.
Regularnie i systematycznie
Do ustanowienia IOD RODO obliguje administratora i procesora, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. GR 29 opowiada się za szerokim rozumieniem tej kategorii podmiotów. Przepis ten ma stosować się nie tylko do podmiotów opierających swoją działalność o przetwarzanie danych, ale również do tych, z których główną działalnością przetwarzanie danych jest nierozerwalnie związane.