1.   Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai:

a) duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; arba

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu ir asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

2.   Įmonių grupė gali paskirti vieną duomenų apsaugos pareigūną, jeigu su duomenų apsaugos pareigūnu lengva susisiekti iš kiekvienos buveinės.

3.   Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms tokioms institucijoms arba įstaigoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

4.   Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti arba, jei to reikalaujama Sąjungos ar valstybės narės teisėje, paskiria duomenų apsaugos pareigūną. Duomenų pareigūnas gali veikti tokių asociacijų ir kitų įstaigų, atstovaujančių duomenų valdytojams arba duomenų tvarkytojams, vardu.

5.   Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti 39 straipsnyje nurodytas užduotis.

6.   Duomenų apsaugos pareigūnas gali būti duomenų valdytojo arba duomenų tvarkytojo personalo narys arba atlikti užduotis pagal paslaugų teikimo sutartį.

7.   Duomenų valdytojas arba duomenų tvarkytojas paskelbia duomenų apsaugos pareigūno kontaktinius duomenis ir praneša juos priežiūros institucijai.

Bendrojo duomenų apsaugos reglamento 38 straipsnio 2 dalyje reikalaujama, kad organizacija padėtų savo duomenų apsaugos pareigūnui suteikdama jo užduotims atlikti būtinus išteklius, taip pat suteikdama galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias. Tarp išteklių – pakankama parama finansiniais ištekliais, infrastruktūra (aprūpinant patalpomis, priemonėmis, įranga), o prireikus – ir darbuotojais. Vienas iš darbuotojų, galinčių suteikti duomenų apsaugos pareigūnui reikiamą pagalbą, informaciją, dokumentus – duomenų apsaugos koordinatorius. Todėl organizacijos pirmiausia turėtų įsivertinti, koks duomenų apsaugos pareigūnas joms reikalingas. Organizacijoms, neturinčioms galimybių skirti išteklius arba turinčioms ribotas galimybes, rekomenduojama samdytis išorinį duomenų apsaugos pareigūną. Duomenų apsaugos pareigūnas kaip paslauga paprastai aprūpina reikiamais IT ištekliais tiek duomenų apsaugos pareigūną, tiek Organizacijos darbuotojus, teikiančius informaciją jam.

eDap.lt elektroninių paslaugų portalas suteikia specialią pagalbos liniją, kai specialiai tam skirtame el. paslaugų portale galima vienoje vietoje gauti duomenų apsaugos pareigūno pagalbą.