Een DPO of Data Protection Officer, ook wel een Functionaris voor de Gegevensbescherming (FG) of privacyfunctionaris genoemd, is een data expert die voortdurend toezicht houdt op de naleving en implementatie van AVG binnen een organisatie en is hier ook intern en extern het aanspreekpunt voor.

Er zijn 3 gevallen waarin een organisatie verplicht is een DPO aan te stellen:

  1.  Als je organisatie een overheidsinstantie of overheidsorgaan is;
  2.  Als je organisatie op grote schaal mensen regelmatig of stelselmatig monitort door het verwerken van data. In ieder geval wanneer er sprake is van elke vorm van tracking en profilering op internet of offline. Dus ook behavioural advertising, of e-mail retargetting vallen hieronder;
  3.  Als je organisatie persoonsgegevens verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten. Voor het mogen verwerken van al deze gegevens gelden overigens bijzondere aanvullende regels.