Odpowiedź
Twoja firma/organizacja, bez względu na to, czy jest administratorem czy podmiotem przetwarzającym, powinna wyznaczyć IOD, jeśli jej główna działalność obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę. W takim przypadku monitorowanie zachowań osób oznacza między innymi wszelkie formy obserwowania i profilowania w internecie, także dla celów reklamy behawioralnej.
Organy administracji publicznej mają zawsze obowiązek wyznaczenia IOD (z wyjątkiem sądów w ramach sprawowania wymiaru sprawiedliwości).
Inspektor ochrony danych może być członkiem personelu organizacji lub wykonywać zadania na podstawie umowy o świadczenie usług. Inspektorem może być zarówno osoba fizyczna, jak i organizacja.
Przykłady
Obowiązkowe wyznaczenie IOD
Posiadanie IOD jest obowiązkowe, gdy na przykład Twoja firma/organizacja:
- prowadzi szpital, w którym przetwarza się duże zbiory danych wrażliwych,
- prowadzi agencję ochrony odpowiedzialną za monitoring centrów handlowych i miejsc publicznych,
- prowadzi małą firmę rekrutacyjną, która sporządza profile osób fizycznych.
Wyznaczenie IOD nie jest obowiązkowe
Wyznaczenie IOD nie jest obowiązkowe, jeżeli:
- jesteś lokalnym lekarzem i przetwarzasz dane osobowe swoich pacjentów,
- prowadzisz małą firmę prawniczą i przetwarzasz dane swoich klientów.