Kontrolör ve işleyici aşağıdaki durumlarda her halükarda bir veri koruma görevlisi belirler:
işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;
kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi.
Bir veri koruma görevlisine her işletmeden kolay bir şekilde erişilebilmesi koşuluyla, bir teşebbüsler grubu tek bir veri koruma görevlisi belirleyebilir.
Kontrolör veya işleyicinin bir kamu kuruluşu ya da organı olduğu hallerde, çeşitli kamu kuruluşları veya organların teşkilat yapısı dikkate alınarak, bunlara yönelik olarak tek bir veri koruma görevlisi belirlenebilir.
1. paragrafta atıfta bulunulanlar haricindeki durumlarda, kontrolör veya işleyici ya da birlikler ve kontrolör ya da işleyici kategorilerini temsil eden diğer organlar bir veri koruma görevlisi belirleyebilir veya, Birlik veya üye devlet hukuku çerçevesinde gerektiği hallerde, bir veri koruma görevlisi belirler. Veri koruma görevlisi söz konusu birlikler ve kontrolörler ya da işleyicileri temsil eden diğer organlar adına hareket edebilir.
Veri koruma görevlisi mesleki nitelikler ve, özellikle, veri koruma hukuku ve uygulamalarına ilişkin uzmanlık bilgisi ve 39. maddede atıfta bulunulan görevleri yerine getirme kabiliyetine dayalı olarak belirlenir.
Veri koruma görevlisi kontrolör veya işleyicinin bir çalışanı olabilir veya görevlerini bir hizmet sözleşmesine dayalı olarak yerine getirebilir.
Kontrolör veya işleyici veri koruma görevlisinin irtibat bilgilerini yayımlar ve denetim makamına iletir.