Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:
przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia IOD, Grupa Robocza art. 29 w swoich wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury, przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 37 ust. 1 RODO istnienia lub braku tego obowiązku.
