Czy trzeba udokumentować decyzję o wyznaczeniu lub niewyznaczeniu inspektora ochrony danych

Administratorów, którzy będą zobowiązani do wyznaczenia inspektora ochrony danych (IOD), określa art. 37 ogólnego rozporządzenia o ochronie danych (RODO). W przypadkach innych niż określone w art. 37 ust. 1 RODO administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów albo podmiotów przetwarzających mogą wyznaczyć bądź jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych.

Kto może być inspektorem ochrony danych, z jakim stanowiskiem nie powinno się łączyć funkcji i zadań inspektora, jak zorganizować nadzór w rozbudowanej organizacji z wykorzystaniem współpracowników i zespołu inspektora, co brać pod uwagę, aby sprawdzić, czy przetwarzanie danych odbywa się na dużą skalę – odpowiedzi na te pytania pomagają udzielić wytyczne Grupy Roboczej Art. 29 w sprawie wyznaczenia inspektora ochrony danych. Jeżeli więc administrator ma wątpliwości, czy kwalifikuje się do wyznaczenia inspektora, to powinien przeprowadzić w tym zakresie odpowiednią analizę.

Organ nadzorczy będzie mógł chcieć się dowiedzieć, dlaczego inspektor ochrony danych nie został wyznaczony. Administrator, nie mając pewności, czy jest organem lub podmiotem publicznym zobowiązanym do wyznaczenia IOD, analizuje art. 5 Kodeksu postępowania administracyjnego oraz art. 9 ustawy o finansach publicznych. Sprawdzając, czy przetwarza szczególne kategorie danych osobowych na dużą skalę lub czy podstawą jego działalności jest przetwarzanie danych osób fizycznych, musi przeanalizować wykonywane operacje, wykorzystując chociażby pytania wstępne do oceny skutków przetwarzania danych opisane również w wytycznych Grupy Roboczej Art. 29. Formalnie wszelkie analizy nie muszą być przeprowadzone na piśmie, ale do celów dowodowych warto mieć możliwość potwierdzenia ich przeprowadzenia.