Academy Europe bevestig om databeskerming onder die GDPR-regulasie toe te pas:
Die Algemene Databeskermingsregulasie (GDPR) het die konsep van 'n Databeskermingsbeampte (DPO) in Europa gevestig. In teenstelling met die algemene opvatting, is deurslaggewend vir die wetlike verpligting om 'n Databeskermingsbeampte aan te stel nie die grootte van die maatskappy nie, maar die kernverwerkingsaktiwiteite wat gedefinieer word as dié wat noodsaaklik is om die maatskappy se doelwitte te bereik. Indien hierdie kernaktiwiteite bestaan uit die verwerking van sensitiewe persoonlike data op 'n groot skaal of 'n vorm van dataverwerking wat besonder verreikend is vir die regte van die datasubjekte, moet die maatskappy 'n DPO aanstel. Openbare liggame aan die ander kant moet altyd 'n DPO aanstel, met die uitsondering van howe wat in hul regterlike hoedanigheid optree. Daarbenewens het die wetlike norm om 'n Databeskermingsbeampte aan te stel 'n buigsaamheidsklousule vir lidlande. Dit is vry om te besluit of 'n maatskappy 'n Databeskermingsbeampte moet aanstel onder strenger vereistes (bv. Artikel 38 Duitse Federale Databeskermingswet). Indien so 'n verpligting onder die Algemene Databeskermingsregulasie of 'n meer spesifieke nasionale wet bestaan, kan 'n groep ondernemings ook 'n enkele Databeskermingsbeampte aanstel. Indien die groep besluit om dit te doen, moet hy maklik toeganklik wees vir die toesighoudende owerhede, werknemers en eksterne datasubjekte. Indien geen wetlike verpligting bestaan nie, kan maatskappye 'n DPO op 'n vrywillige basis aanstel om te help met die voldoening aan databeskerming (wat byvoorbeeld deur die Franse databeskermingsowerheid CNIL aanbeveel word).
Groepe en maatskappye het twee moontlikhede om hul verpligting na te kom om 'n Databeskermingsbeampte aan te stel. Óf hulle noem 'n werknemer as 'n interne Databeskermingsbeampte, of hulle stel 'n eksterne Databeskermingsbeampte aan. Deur so 'n persoon te kies, moet hulle verseker dat 'n interne Databeskermingsbeampte nie onderhewig is aan 'n botsing van belange as gevolg van sy werk in die IT-departement, MH-afdeling of senior bestuur, waar hy self toesig sal moet hou nie. Ongeag watter opsie gekies word, moet 'n Databeskermingsbeampte kundige professionele kennis in databeskermingsreg en IT-sekuriteit verskaf, die omvang hang af van die kompleksiteit van dataverwerking en die grootte van die maatskappy.
Die pligte van 'n Databeskermingsbeampte sluit in: Werk aan die nakoming van alle relevante databeskermingswette, monitering van spesifieke prosesse, soos databeskermingsimpakbeoordelings of die bewusmaking en opleiding van werknemers vir databeskerming, sowel as samewerking met die toesighouer owerhede. Daarom moet die werknemer wat as Databeskermingsbeampte optree, nie ontslaan of gepenaliseer word weens sy vervulling van sy take nie. Ten spyte van sy moniteringsfunksie, bly die maatskappy self verantwoordelik vir die nakoming van databeskermingswette. Daarom moet dit die Databeskermingsbeampte betrek by alle kwessies wat verband hou met die beskerming van persoonlike data "behoorlik en op 'n tydige wyse". Wanneer 'n Databeskermingsbeampte aangestel word, moet sy meerdere sy kontakdata publiseer, en sy aanstelling en kontakdata aan die databeskermingstoesighoudende owerhede kommunikeer. Indien 'n maatskappy vrywillig 'n DPO aangestel het, moet hulle ook voldoen aan die kriteria en bepalings hierbo uiteengesit. Let ook daarop dat die opsetlike of nalatige versuim om 'n Databeskermingsbeampte aan te stel ten spyte van 'n wetlike verpligting 'n oortreding is wat onderhewig is aan boetes.