Zadania IOD przypisane są osobie fizycznej. Firma zewnętrzna nie będzie administratorem danych osobowych w zakresie zadań realizowanych przez IOD na podstawie RODO.
Zgodnie z art. 37 ust. 1 RODO, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, który będzie wykonywał zadania określone w art. 38 RODO (m.in. pełnienie roli punktu kontaktowego wobec osób, których dane dotyczą, prowadzenie szkoleń i powiązanych audytów, monitorowanie przestrzegania przepisów RODO przez administratora i jego personel).
Należy zwrócić uwagę, że inspektorem ochrony danych jest osoba fizyczna i to do niej adresowane są obowiązki określone w RODO. Również administratorzy, zawierający umowę z podmiotami zewnętrznymi żądają wskazania w takich umowach osoby, która będzie pełniła funkcję IOD. I to do IOD ustawodawca unijny adresuje obowiązek zachowania poufności, zgodnie z art. 38 ust. 5 RODO (IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań).
Oznacza to, że obowiązek zachowania poufności i dostęp do danych i informacji w związku z wykonywaniem zadań IOD dotyczy tylko osoby pełniącej tę funkcję. Jeżeli podmiot zewnętrzny zawiera umowę z administratorem, to uprawnionym do dostępu i wykonywania zadań będzie tylko wyznaczony przez ten podmiot IOD. Podmiot udostępniający swoje zasoby personalne do pełnienia funkcji IOD nie jest w tym procesie administratorem danych osobowych (tylko w zakresie przetwarzania danych w ramach zawartej umowy lub innych ustalonych działań).
Firma zewnętrzna może być natomiast administratorem danych osobowych w procesach dodatkowych (np. audyty, analiza ryzyka itd.). W procesach związanych z udostępnieniem swoich zasobów personalnych (IOD) firma, jak wskazano, ma status administratora wyłącznie w ramach realizacji umowy (z wyłączeniem procesu realizacji przez IOD zadań określonych w RODO). Jeżeli IOD świadczy usługi w ramach jednoosobowej działalności gospodarczej, również nie ma statusu administratora, ponieważ realizuje cele administratora, a nie swoje.
