Wraz z wprowadzeniem RODO, od 25 maja 2018 roku funkcja administratora bezpieczeństwa informacji (ABI) została zastąpiona przez funkcję inspektora ochrony danych (IOD) – ang. DPO-Data Protection Officer.
RODO nie nakłada obowiązku powoływania inspektora ochrony danych na wszystkich pracodawców. Muszą go wyznaczyć organy publiczne oraz podmioty, których główna działalność ze względu na swój charakter, zakres lub cele wymaga z przetwarzania danych na dużą skalę. To administrator (organizacja) musi ustalić, czy ma ten obowiązek i uzasadnić, czyli udokumentować swoje stanowisko, uwzględniając unijne wytyczne w tym zakresie.
Funkcję inspektora ochrony danych może pełnić osoba zatrudniona u administratora, także realizująca w organizacji inne zadania, lub zewnętrzny ekspert. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.
IOD jest zobowiązany do zachowania tajemnicy lub poufności wykonywanych zadań. IOD zapewnia organizacji istotne wsparcie merytoryczne w zakresie ochrony danych osobowych, pomaga w przygotowaniu dokumentacji RODO i zapewnia stały kontakt z organem nadzorczym. Należy pamiętać, że inspektor ochrony danych osobowych powinien być informowany o wszelkich sprawach związanych z danymi osobowymi i mieć wpływ na podejmowane decyzje i działania w tym zakresie.
W dobie cyfryzacji i różnorodnych zagrożeń bezpieczeństwa informatycznego inspektor ochrony danych (IOD) to zatem jedna z ważniejszych funkcji w organizacji. Mając profesjonalną wiedzę na temat przepisów prawnych i narzędzi RODO, inspektor ochrony danych informuje, doradza i szkoli kierownictwo organizacji i pracowników oraz przeprowadza audyty i na bieżąco ocenia zgodność organizacji z przepisami o ochronie danych osobowych, wskazując miejsca do poprawy. W razie potrzeby inspektor jest punktem kontaktowym – zarówno dla organu nadzorczego, jak i dla osób, których dane przetwarza administrator. Inspektor ochrony danych powinien uczestniczyć w planowaniu i zmianie wszelkich procesów, które są związane z danymi osobowymi.