O tym kto może a kto musi posiadać u siebie Inspektora Ochrony Danych (IOD) mówi ogólne rozporządzenie o ochronie danych osobowych w art. 37 ust. 1 oraz wytyczne dotyczące inspektorów ochrony danych (‘DPO’) wydane przez Grupę Roboczą art. 29 ds. Ochrony Danych. W obu tych dokumentach czytamy, że Inspektor musi być powołany jeśli:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Powyższe sytuacje zawierają wiele stwierdzeń enigmatycznych. Wątpliwości budzą najczęściej pojęcia „dużej skali” czy „regularne i systematyczne monitorowanie osób”. Niejasna jest też definicja „podmiotu publicznego”. Kwestie te albo zostaną sprecyzowane na gruncie nowej polskiej ustawy o ochronie danych osobowych lub już teraz można znaleźć informacje o tym jak należy je interpretować w przytoczonych wyżej wytycznych, które można pobrać z naszej strony internetowej.