RODO reguluje pozycję i zadania inspektora ochrony danych (IOD), który zastąpi obecnie funkcjonującego administratora bezpieczeństwa informacji (ABI).
Wyznaczenie inspektora będzie obligatoryjne zarówno dla administratora jak i podmiotu przetwarzającego dane tylko we wskazanych w RODO przypadkach, m.in. gdy:
1) Przetwarzania danych osobowych dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Przepisy RODO przewidują możliwość powołania jednego IOD dla wielu administratorów.
Inspektor będzie miał za zadanie reprezentowanie administratora w kontaktach zewnętrznych jak również nadzorowanie przetwarzania danych osobowych wewnątrz jednostki. W RODO w sposób bardzo szczegółowy zostały określone zadania inspektora, które można podzielić na kilka grup takich jak: działania informacyjne, monitorowanie przestrzegania przepisów o ochronie danych, współpraca z organem nadzorczym.