Przepisy RODO w art. 37 ust. 1 przewidują trzy przypadki, w których administrator i podmiot przetwarzający mają obowiązek powołania inspektora ochrony danych. Funkcja INSPEKTORA OCHRONY DANYCH jest  zbliżona do działającego aktualnie na podstawie  obowiązujących  przepisów ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI).

Obowiązek powołania IOD ( inspektora ochrony danych) istnieje w sytuacji, gdy:

  1. przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które z uwagi na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych takich jak;

– pochodzenie rasowe lub etniczne,

-poglądy polityczne, przekonania religijne lub światopoglądowe,

– przynależność do związków zawodowych,

– przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej,

– danych dotyczących zdrowia, seksualności lub orientacji seksualnej danej osoby,

– danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

 

Obowiązkowo IOD muszą powołać np:  

– szkoły, uczelnie publiczne, urzędy gmin, powiatowe centrum pomocy rodzinie, firmy telekomunikacyjne, reklamowe, badawcze, szpitale i przychodnie.