Na gruncie ustawy o ochronie danych osobowych wyznaczenie administratora bezpieczeństwa informacji jest dobrowolne tak i rozporządzenie unijne nie nakłada obowiązku powołania takiej osoby. Niemniej rozporządzenie (art. 37 ust.) wskazuje na przypadki, w których powołanie inspektora ochrony danych jest obligatoryjne:
Ponadto zgodnie z art. 37 ust. 4 ogólnego rozporządzenia o ochronie danych obowiązek powołania inspektora ochrony danych może wprowadzić prawo Unii lub prawo państwa członkowskiego. Oznacza to, iż m.in. ustawodawca polski będzie mógł rozszerzyć obowiązek wyznaczenia DPO na inne podmioty.
W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.
Ułatwienia dostępu