Hiszpański organ nadzorczy (Agencia Española de Protección de Datos), odpowiednik polskiego Prezesa Urzędu Ochrony Danych Osobowych, nałożył na właściciela aplikacji Glovoapp23 karę w wysokości 25 000 euro za brak wyznaczenia Inspektora Ochrony Danych (IOD).
W ocenie hiszpańskiego organu Glovo przetwarzała dane osobowe na dużą skalę, co spełnia przesłankę z art. 37 ust. 1 lit. b RODO obligującą administratora danych do wyznaczenia Inspektora Ochrony Danych. Przed karą nie uchroniło Glovo tłumaczenie, że działalność gospodarcza tego przedsiębiorcy jest zwolniona z obowiązków wskazanych w art. 37 RODO, a także, że firma powołała Komitet Ochrony Danych, który realizuje zadania IOD zgodnie z art. 39 RODO.
Powyższa sytuacja powinna skłonić przedsiębiorców do przeanalizowania swojej działalności pod kątem obowiązku wyznaczenia IOD. Zgodnie z przepisami RODO
Zarówno administrator danych, jak i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
- a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; lub
- b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Inspektorem Ochrony Danych może być osoba fizyczna lub firma, która zapewnia posiadanie odpowiednich kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań przewidzianych dla tej roli.