Det är obligatoriskt att utnämna ett dataskyddsombud i specifika fall; nämligen behandling som genomförs av en myndighet eller ett offentligt organ (oavsett vilka uppgifter de behandlar) och för andra organisationer som har som sin kärnverksamhet att systematiskt och i stor omfattning övervaka enskilda personer eller behandla särskilda kategorier av personuppgifter i stor omfattning.
Exempel på organisationer som omfattas av kravet, är bland annat säkerhets- eller larmföretag, försäkringsbolag, företag som tillhandahåller kollektivtrafik, företag som arbetar med beteendestyrd marknadsföring, sjukhus samt fackföreningar.
Det finns inget som hindrar att organisationer som inte omfattas av kravet att ändå utse ett dataskyddsombud, tvärtom kan det vara att rekommendera eftersom dataskyddsombudet är ett värdefullt stöd i dataskyddsfrågor och behandlingen av personuppgifter.
Dataskyddsombudet ska följa dataskyddsförordningen och har en oberoende ställning, det vill säga får inte styras av organisationen. På grund av detta är det inte förenligt att till exempel utnämna organisationens informationssäkerhetschef eller dataskyddschef till dataskyddsombud.