Kiedy powołanie Inspektora Danych Osobowych jest obowiązkowe?

Wyznaczenie Inspektora Danych Osobowych (IOD) jest obowiązkowe dla firm (administratorów, podmiotów przetwarzających), których:

1. główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
2. główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Do powstania obowiązku powołania IOD wystarczy spełnienie jednego z powyższych warunków, których elementem łączącym jest duża skala przetwarzania.

Pomocną wskazówkę interpretacyjną znajdziemy w motywach RODO, gdzie ustawodawca wskazuje, że „przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.”

Motyw dostarcza kilku klarownych wskazówek w kontekście indywidualnej działalności lekarzy, pracowników służby zdrowia i prawników, jednak ocena, czy dany podmiot spełnia przesłanki do obowiązkowego powołania IOD powinna być dokonana w każdym przypadku indywidualnie.