Czym jest podmiot i organ publiczny do celów RODO

RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych (IOD) zawsze, gdy dane przetwarza organ lub podmiot publiczny. W praktyce jednak mogą pojawić się problemy z ustaleniem, kiedy mamy do czynienia z podmiotem publicznym.

Z przepisów art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) wynika, że administrator i podmiot przetwarzający wyznaczają IOD zawsze, gdy przetwarzania dokonują organ lub podmiot publiczny - z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Jeżeli administrator (podmiot przetwarzający) jest organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć - z uwzględnieniem ich struktury organizacyjnej i wielkości - jednego IOD.