Du skal ansætte en DPO, hvis virksomhedens hovedaktivitet er at behandle “særlig sensitiv” personlig data uanset virksomhedens størrelse. “Særlig sensitiv persondata” kan for eksempel være seksuel orientering, etnisk oprindelse eller genetisk data.

En DPO er kontaktperson mellem virksomheden og Datatilsynet. Denne direkte kontakt til myndighederne gør, at DPO’en skal rapportere direkte til virksomhedens øverste ledelse.

DPO’en har en særlig beskyttelse mod afskedigelse. Man bør være varsom med, hvilket job DPO’en varetager ved siden af og hvilke interessekonflikter, det kan medføre.
På samme måde kan man heller ikke benytte virksomhedens advokat som DPO, da det kan komme til at konflikte med både økonomiske interesser og i forhold til kravet om tavshedspligt.