Wyznaczenie IOD jako środek bezpieczeństwa

Przypomnijmy, że administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Niemniej jednak obowiązek wyznaczenia inspektora ochrony danych może powstać nie tylko w przypadkach wprost przewidzianych w przepisach.

Zgodnie z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Z drugiej zaś strony, wynik takiej analizy może być dodatkowym argumentem przeciwko powoływaniu IOD, gdy nie jest to ani wymagane ani koniecznie dla zapewnienia bezpieczeństwa danych.

Spotykana jest praktyka, iż zamiast IOD powoływany jest pełnomocnik ds. ochrony danych osobowych o zbliżonym zakresie obowiązków. Działa on wtedy na podstawie pełnomocnictwa udzielonego przez administratora danych osobowych. Taka osoba nie jest inspektorem i nie jest zgłaszana do Prezesa UODO. Nie może też zastępować IOD, jeżeli obowiązek jego wyznaczenia wynika z przepisów.