Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wprowadzana nowe rozwiązania w zakresie bieżącej kontroli przestrzegania przepisów o ochronie danych osobowych przez administratorów danych osobowych.
Inspektor Ochrony Danych Osobowych obowiązkowo wyznaczany jest przez organ lub podmiot publiczny, jeśli dokonują one przetwarzania danych osobowych. Podobnie, konieczne jest powołanie IODO jeśli „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”; lub administrator przetwarza na dużą skalę dane osobowe „ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dokonuje przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej”.
W innych przypadkach powołanie IODO jest fakultatywne, jednakże z regulacji unijnych wynika, iż jest czynnością zalecaną, gdyż umożliwia zapewnienie wysokiego poziomu ochrony danych osobowych, zmniejszając ryzyko naruszenia prawa i narażenia się na wysoką odpowiedzialność finansową przewidzianą w regulacjach RODO.
RODO określa wymogi jakie powinna spełniać osoba pełniąca funkcję IODO jednakże, czyni to w znacznym stopniu w sposób ogólny, pozostawiające faktycznie szeroką swobodę w wyborze konkretnej osoby na to stanowisko. Jednocześnie jednak od poziomu wiedzy, kompetencji i doświadczenia IODO zależy rzeczywisty poziom ochrony danych osobowych, a tym samym przestrzeganie wiążących przepisów prawa.
Z perspektywy administratora (pracodawcy) istotnym jest, iż IODO powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, tym samy chociaż znajduje się to stanowisko w strukturze administratora, to w praktyce działalność osoby powołanej na stanowisko IODO jest niezależna od poleceń pracodawcy, a obowiązki i zadania IODO określają przepisy prawa. Dodatkowo należy stwierdzić, iż osoba powołana na to stanowisko nie powinna realizować innych zdań dla pracodawcy, tak aby nie dochodziło do naruszenia niezależności w działaniu takiej osoby. Podsumowując więc IODO, w niektórych przypadkach funkcja obligatoryjna, w pozostałym zakresie funkcja fakultatywna jest realizowana na rzecz administratora, ale przez osobę, która w praktyce ma być od niego niezależną.
W wielu przypadkach, gdy dochodzi do powołania IODO, okazuje się, że rzeczywisty zakres jego obowiązków nie wypełnia pełnoetatowego zatrudnienia dla nowego pracownika. Natomiast w przypadku zatrudnienia takiej osoby na podstawie umowy o pracę, wiążą się z takim rozwiązaniem znaczne dodatkowe koszty dla administratora – przedsiębiorcy.
Dlatego alternatywą dla zatrudniania IODO, jako własnego pracownika, jest skorzystanie z pomocy podmiotów zewnętrznych oferujących usługi IODO. Jest to rozwiązanie optymalne, gdyż umożliwia właściwe ukształtowanie czasu pracy IODO w oparciu o rzeczywiste potrzeby administratora. Prócz tego, jako osoba niepracująca na co dzień w strukturze administratora, a pojawiająca się od czasu do czasu ma bardziej wyostrzoną uwagę, co do ewentualnych problemów związanych z ochroną danych osobowych w stosunku, do osób na stałe pracujących w strukturze administratora, które w sposób naturalny mogę pewne pojawiające się incydenty ignorować. Kolejną korzyścią jest prostsze zapewnienie niezależności w działaniu IODO, co jest warunkiem prawidłowego wykonywania zadań IODO. Natomiast zapewnienie niezależności w praktyce jest znaczenie trudniejsze, jeśli IODO znajduje się w zależności służbowej od administratora albo jednego z jego pracowników.
Najważniejszymi jednak korzyściami wynikającymi ze skorzystania z usług zewnętrznego podmiotu przy korzystaniu z usługi IODO jest optymalizacja kosztów działalności przedsiębiorstw oraz pełen profesjonalizm usług świadczonych przez podmiot zewnętrzny. Podobnie jak dziś usługi księgowe, prawnicze, informatyczne, kadrowe, itp. tak także te związane z ochroną danych osobowych mogą być outsourcingowane do wyspecjalizowanych podmiotów zewnętrznych, zapewniających profesjonalne usługi, świadczone przez wysokiej klasy specjalistów, umożliwiając jednocześnie dokonanie realnych oszczędności w działalności zlecającego przedsiębiorstwa. Dlatego też, z wyżej wskazanych powodów, rozwiązanie polegające na nawiązaniu współpracy z zewnętrznym podmiotem zapewniających usługi IODO jest z pewnością korzystnym rozwiązaniem dla zdecydowanej większości administratorów danych osobowych.