Pojęciem, które w tym zakresie może budzić wątpliwości, jest także „duża skala przetwarzania". RODO nie definiuje wprost tego pojęcia, w motywie 91 RODO znaleźć można jednak pewne wskazówki interpretacyjne. Należy uwzględnić liczbę osób, których dane są przetwarzane, zakres przedmiotowy i geograficzny tych danych oraz okres ich przetwarzania. Wśród przykładów przetwarzania danych na dużą skalę wymienia się: szpitale, zarządy komunikacji miejskiej w ramach sprzedaży biletów, banki, ubezpieczycieli, dostawców usług telefonicznych, internetowych, czy agencje marketingowe dla celów reklamy behawioralnej realizowanej przez wyszukiwarki. Zakres tych podmiotów nie jest oczywiście zamknięty, ale powyższe przykłady mogą stanowić cenną wskazówkę dla oceny czy dany przedsiębiorca przetwarza dane na dużą skalę.
Z kolei pojęcie regularnego i systematycznego monitorowania obejmuje nie tylko różnorakie formy śledzenia i profilowania w ramach Internetu. Zawiera w sobie bowiem także m.in. świadczenie usług telekomunikacyjnych, profilowanie i ocenę ryzyka (w tym np. dla celów analizy zdolności kredytowej czy wysokości składek ubezpieczeniowych), śledzenie lokalizacji, programy lojalnościowe, reklamę behawioralną czy monitoring wizyjny. Z regularnym monitorowaniem mamy więc do czynienia zawsze, jeżeli jest stałe lub chociażby cykliczne i powtarzające się oraz jest zaaranżowane, zorganizowane lub metodyczne i wykonywane w ramach określonej strategii czy planu zbierania danych.
Każdy przedsiębiorca zobowiązany jest do przeprowadzenia analizy zasadności i konieczności wyznaczenia DPO. Grupa Robocza art. 29 RODO zaleca powołanie takiego podmiotu w każdej organizacji. Instytucja ta zapewnia kompleksową ochronę danych osobowych w organizacji, gwarantuje wypełnienie obowiązku rozliczalności przetwarzania danych i odpowiedni poziom wiedzy merytorycznej pozwalającej na spełnienie wymogów wynikających z przepisów prawa.
Kto na inspektora
Zgodnie z art. 37 ust. 5 oraz motywu 97 RODO, kandydat na IOD musi posiadać odpowiednie kwalifikacje zawodowe i wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych. Musi posiadać merytoryczne przygotowanie do wypełniania zadań, odpowiednie do charakterystycznych dla organizacji operacji przetwarzania danych, stopnia ich skomplikowania i ryzyk z tym związanych. Wytyczne wydane przez unijną Grupę Roboczą art. 29 RODO wskazują dodatkowo, że DPO powinien uczestniczyć w regularnych szkoleniach, poszerzając i uaktualniając swoją wiedzę dotyczącą krajowych i europejskich zasad przetwarzania danych oraz posiadać wiedzę biznesową i sektorową dotyczącą branży, w której działa administrator. Musi cechować się ponadto rzetelnym podejściem do obowiązków oraz wysokim poziomem etyki zawodowej.
Wypełniając swoje zadania, IOD powinien mieć na uwadze charakter, zakres, kontekst i cele przetwarzania danych. Nacisk, jaki kładzie na ten aspekt prawodawca unijny powodują, że do pełnienia tej roli mogą zostać wyznaczone jedynie osoby posiadające odpowiednie zasoby wiedzy i czasu. Pełnienie funkcji DPO w organizacji może wymagać bowiem dużego zaangażowania i umiejętności pracy pod presją czasu.