Σύμφωνα με τον ΓΚΠΔ, ορισμένοι υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία υποχρεούνται να ορίσουν υπεύθυνο προστασίας δεδομένων. Η υποχρέωση αυτή ισχύει για όλες τις δημόσιες αρχές και φορείς (ανεξαρτήτως του είδους δεδομένων που επεξεργάζονται), καθώς και για άλλους οργανισμούς που έχουν ως κύρια δραστηριότητα τη συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα, ή την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα.
Ενδέχεται, πάντως, να υπάρξουν οργανισμοί που θα κρίνουν σκόπιμο να ορίσουν υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση, ακόμη και σε περιπτώσεις στις οποίες ο ΓΚΠΔ δεν απαιτεί ρητώς τον ορισμό υπευθύνου προστασίας δεδομένων.
Ο ορισμός υπευθύνου προστασίας δεδομένων είναι υποχρεωτικός εάν:
• η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (ανεξάρτητα από το είδος των δεδομένων που υφίστανται επεξεργασία),
• οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα,
• οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
Οι παρεχόμενες υπηρεσίες, προσαρμοσμένες στις ανάγκες της επιχείρησής, καλύπτουν τις απαιτήσεις της νομθεσίας:
- έλεγχος συμμόρφωσης
- παροχή συμβουλών
- συνεργασία με την εποπτική αρχή