Podľa nariadenia GDPR je povinnosť ustanoviť zodpovednú osobu (DPO) daná len v určitých prípadoch. V čl. 37 GDPR je uvedené, že prevádzkovatelia musia ustanoviť DPO, ak:
- ide o orgány a inštitúcie verejnej moci, ktoré spracúvajú osobné údaje;
- ak prevádzkovateľ spracúva „big data“ alebo osobitnú kategóriu osobných údajov vo veľkom rozsahu;
- ak prevádzkovateľ spracúva údaje o trestnej činnosti alebo priestupkoch.
V ostatných prípadoch však môže byť zodpovedná osoba dobrovoľne ustanovená, aby dohliadala na ochranu osobných údajov.
