Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych, RODO) każdy organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, ma obowiązek wyznaczenia inspektora ochrony danych. Określa to art. 37 ust. 1 pkt a RODO. Wyznaczenie to jest obowiązkiem, a nie, jak było dotychczas, uprawnieniem. Kolejne ustępy art. 37 RODO doprecyzowują kwestie związane z powołaniem IOD. W artykule powiemy, jakie zasady powinny obowiązywać przy wyznaczaniu IOD, ile podmiotów może obsługiwać jeden inspektor i czy obowiązują w tym zakresie jakieś ograniczenia.