Ali vsaka družba potrebuje pooblaščeno osebo za varstvo podatkov? kdaj je potrebno imenovati pooblaščeno osebo za varstvo podatkov? Ali lahko namesto notranje imenujem zunanjo pooblaščeno osebo za varstvo podatkov?
Upravljavec in obdelovalec podatkov morata imenovati pooblaščeno osebo za varstvo podatkov v vsakem primeru, če:
(a) če obdelavo izvaja javni organ ali telo, razen sodišč v okviru njihovih sodnih usposobljenosti;
(b) jedrne dejavnosti upravljavca ali obdelovalca sestavljajo dejavnosti obdelave, ki zaradi svoje narave, obsega in/ali namena zahtevajo reden in sistematičen nadzor oseb, na katere se podatki nanašajo, v velikem obsegu; ali
(c) jedrne dejavnosti upravljavca ali obdelovalca sestavljajo dejavnosti obdelave velikega obsega posebnih kategorij podatkov v skladu z 9. členom GDPR in osebnih podatkov, ki se nanašajo na kazenske obsodbe in prekrške, navedene v 10. členu GDPR.
(1. odstavek 37. člena GDPR).
Nacionalna zakonodaja ima pravico določiti dodatne okoliščine, v katerih mora biti imenovana pooblaščena oseba za varstvo podatkov pod zgoraj navedenim pragom (na primer novi Zvezni zakon o varstvu podatkov v Nemčiji). Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca, ali pa opravlja te naloge na podlagi pogodbe o izvajanju storitvi (6. odstavek 37. člena GDPR). Seveda le pod pogojem, da pooblaščena oseba za varstvo podatkov izpolnjuje zahteve, ki jih v nadaljevanju določa GDPR in je sposobna izvajati svoje naloge brez kakršnegakoli nasprotja interesov. Ni obvezno, da vsako podjetje imenuje ločeno pooblaščeno osebo za varstvo podatkov. Skupina družb lahko imenuje skupno pooblaščeno osebo za varstvo podatkov. Tudi združenja in organizacije, katerih član je upravljavec ali obdelovalec lahko imenujejo pooblaščeno osebo za varstvo podatkov.