Zgodnie z art. 37 ust. 1 RODO (ang. GDPR) – Ogólne Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE Nr L 119 z dnia 04 maja 2016 r.), organizacja ma obowiązek wyznaczenia Inspektora Ochrony Danych, w sytuacji gdy:
przetwarzania dokonuje jako organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
główna działalność organizacji jako administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania danych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
główna działalność organizacji jako administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W każdej innej sytuacji organizacja dokonując oceny ryzyka, może zdecydować się o wyznaczeniu osoby IOD pomimo braku obowiązku prawnego.
Stan prawny na dzień: 30.04.2021 r.