Jednym z istotnych podmiotów, czuwających nad przestrzeganiem przepisów RODO, jest inspektor ochrony danych osobowych. Firmy mogą go powołać dobrowolnie, a w niektórych przypadkach jego obecność w przedsiębiorstwie jest obowiązkowa. Kiedy istnieje taka konieczność?
RODO przewiduje obowiązek powołania inspektora zarówno dla administratorów, jak i podmiotów przetwarzających dane, w trzech przypadkach. Po pierwsze wtedy, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Po drugie, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres oraz cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę. Po trzecie natomiast w sytuacji, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych, dotyczących wyroków skazujących i naruszeń prawa.
Co istotne, prywatne przedsiębiorstwa mogą powołać jednego inspektora RODO dla całej grupy przedsiębiorstw, jeżeli każda jednostka organizacyjna będzie miała zapewniony z nim stały kontakt. Podmioty publiczne muszą już posiadać wyłącznego inspektora RODO. Inspektor ochrony danych może być zarówno pracownikiem danej firmy, jak i osobą z zewnątrz. Możliwe jest nawet oddanie tej funkcji podmiotowi, świadczącemu usługi na zasadzie outsourcingu (zewnętrzny inspektor ochrony danych). Na którąkolwiek opcję zdecyduje się firma, zarówno zewnętrzny IOD, jak i wewnętrzny inspektor RODO muszą spełniać ściśle określone wymogi, w tym obowiązek unikania konfliktu interesów oraz udzielenia gwarancji niezależności. Jeśli natomiast chodzi o wykształcenie, inspektor ochrony danych powinien legitymować się fachową wiedzą na temat prawa i praktyk w dziedzinie ochrony danych osobowych, a także umiejętnościami wypełniania zadań, narzucanych przez RODO.