Istnieją sytuacje, w których powołanie inspektora ochrony danych jest konieczne. Zgodnie z artykułem 37 rozporządzenia RODO jest tak wtedy, gdy przetwarzania danych dokonuje podmiot publiczny, gdy główna działalność podmiotu polega na operacjach przetwarzania wymagających systematycznego monitorowania osób oraz gdy na dużą skalę są przetwarzane szczególne kategorie danych osobowych.
W przypadku, gdy obowiązek powołania inspektora budzi wątpliwości, wskazane jest przeprowadzenie stosownej analizy i udokumentowanie jej. Takie działanie może stanowić dowód dochowania należytej staranności przez przedsiębiorcę. Wyznaczenie inspektora danych osobowych, bez względu na konieczność wynikającą z przepisów jest również wskazane gdy przedsiębiorca uważa, że może być narażony na roszczenia ze strony osób, których dane są przetwarzane. Efektem ich ewentualnych skarg mogą być bowiem kontrole i inne działania przeprowadzane przez organy nadzorcze.
Spośród podmiotów, dla których przetwarzanie danych stanowi podstawową działalność, szczególnie istotne są przedsiębiorstwa zajmujące się marketingiem bezpośrednim lub pośrednictwem pracy. Jeśli chodzi o przedsiębiorstwa przetwarzające na dużą skalę szczególne kategorie danych, należy zwrócić uwagę na szpitale.
Podstawowe zadanie inspektora polega na informowaniu administratora o obowiązkach wynikających z przepisów rozporządzenia RODO. Ponadto inspektor monitoruje przestrzeganie przez przedsiębiorstwo przepisów dotyczących ochrony danych, współpracuje z organem nadzorczym a także pełni funkcję punktu kontaktowego zarówno dla podmiotu nadzorczego, jak i dla osób których dane są przetwarzane w ramach działalności przedsiębiorstwa. Szczególnie istotna jest rola inspektora w tworzeniu wymaganej dokumentacji. W wypadku wystąpienia naruszeń, przepisy nakładają bowiem na przedsiębiorców obowiązek udokumentowania dochowania należytej staranności, w tym szczególnie efektywnej współpracy z organem nadzorczym oraz z osobami, których prawa zostały naruszone.
Konsekwencją wyznaczenia inspektora danych osobowych musi być wyposażenie go w niezbędne kompetencje i zasoby. Rozporządzenie RODO przede wszystkim wymaga aby IOD był niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Oznacza to konieczność jego udziału w ustalaniu procedur związanych z rekrutacją personelu, analityką danych marketingowych lub tworzeniem dokumentacji finansowej wszędzie tam, gdzie gromadzone i przetwarzane dane dotyczą osób fizycznych.
Inspektor ochrony danych, w zakresie wykonywania swoich obowiązków powinien być niezależny i musi podlegać bezpośrednio najwyższemu kierownictwu przedsiębiorstwa. Powinien również być dostępny dla osób, których dotyczą przetwarzane przez przedsiębiorstwo dane.
W żadnym przypadku przepisy RODO nie nakładają na przedsiębiorstwo stworzenia osobnego stanowiska inspektora danych osobowych. Inspektor może w ramach firmy wykonywać również inne obowiązki. Może również być podmiotem zewnętrznym i świadczyć usługi jednocześnie na rzecz wielu podmiotów gospodarczych. Zlecenie obowiązków związanych z RODO podmiotowi zewnętrznemu jest szczególnie atrakcyjną opcją dla małych i średnich przedsiębiorstw, nieposiadających rozwiniętych struktur administracyjnych.
