IOD nie reprezentuje administratora, chyba że zostanie do tego umocowany

Co do zasady przetwarzanie danych osobowych należy do administratora danych osobowych. Wykonuje on swoje obowiązki z pomocą inspektora ochrony danych, który – bez względu na to, czy jest pracownikiem administratora czy też nie – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny od tego administratora. Inspektor ochrony danych co do zasady przejął obowiązki dotychczasowego administratora bezpieczeństwa.

Niezależnie od tego czy dany ADO ma obowiązek ustanowić IOD czy też ustanowienie IOD jest fakultatywne, jego uprawnienia i obowiązki są identyczne. Wśród kompetencji IOD, wyliczonych zwłaszcza w art. 39 RODO, próżno jednak szukać uprawnienia IOD do reprezentowania administratora. IOD nie może więc na przykład zawierać w imieniu i na rzecz ADO umów, w tym także umów odnoszących się do kwestii przetwarzania danych osobowych (np. umów powierzenia przetwarzania danych osobowych).

Aby IOD mógł reprezentować administratora danych osobowych konieczne jest skorzystanie z instrumentów określonych w przepisach ustrojowych danego administratora. I tak np. w przypadku spółek prawa handlowego można rozważyć udzielenie prokury lub pełnomocnictwa. Zawsze jednak należy pamiętać o art. 38 ust. 6 RODO, zgodnie z którym inspektor ochrony danych może wykonywać inne zadania i obowiązki ale administrator lub podmiot przetwarzający ma zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.