Henkilötietojen käsittelyyn liittyvien velvoitteiden noudattaminen edellyttää yleensä erityisasiantuntemusta lainsäädännöstä sekä alan käytänteistä. Tämän vuoksi rekisterinpitäjien ja henkilötietojen käsittelijöiden on tiettyjen edellytysten täyttyessä nimitettävä tietosuojavastaava, jonka tehtävänä on auttaa rekisterinpitäjää ja henkilötietojen käsittelijää tietosuojalainsäädännön noudattamisessa.
Toiminnan järjestäjän on nimitettävä tietosuojavastaava silloin, kun järjestäjä on viranomainen tai muu julkishallinnon toimija. Yksityisellä sektorilla toiminnan järjestäjän on nimitettävä tietosuojavastaava, jos järjestäjän ydintehtävät muodostuvat laajamittaisesta, säännöllisestä ja järjestelmällisestä seurannasta tai laajamittaisesta erityisten henkilötietojen käsittelystä. Mikäli järjestäjä katsoo, ettei sillä ole velvollisuutta tietosuojavastaavan nimittämiseen, ratkaisun perustelut tulisi dokumentoida osoitusvelvollisuuden noudattamiseksi.
Usealle viranomaiselle, julkishallinnon elimelle tai organisaatiolle voidaan nimittää yksi tietosuojavastaava, mutta rekisterinpitäjän on tällöin varmistettava, että tietosuojavastaava voi hoitaa tehtävänsä tehokkaasti tarvittaessa esimerkiksi tiimin avustuksella, vaikka hänet olisi nimitetty useampaa tahoa varten. Esimerkiksi kunnassa yhden tietosuojavastaavan nimittämistä voidaan näiden edellytysten täyttyessä pitää riittävänä, eikä tietosuojavastaavaa tarvitse silloin nimittää erikseen jokaiselle hallintokunnalle tai kunnalliselle päiväkodille, koululle tai oppilaitokselle. Toiminnan järjestäjä voi kuitenkin niin halutessaan osoittaa tietosuojaan liittyviä työtehtäviä tai koordinoida niitä yksittäisille henkilökunnan jäsenille. Näistä henkilöistä ei kuitenkaan voida käyttää tietosuojavastaava-nimitystä, ellei kyseessä ole tosiasiallisesti tietosuoja-asetuksessa tarkoitettu tietosuojavastaava.
Tietosuojavastaavaa nimitettäessä tulee huomioida henkilön ammattipätevyys, asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa hänelle kuuluvat tehtävät. Tarvittavan erityisasiantuntemuksen taso tulee määritellä etenkin toiminnan järjestäjän käsittelytoimien ja käsiteltävien henkilötietojen edellyttämän suojan perusteella. Jos järjestäjän suorittama henkilötietojen käsittely on esimerkiksi erityisen monimutkaista, tietosuojavastaavan tehtävien hoitaminen voi edellyttää tavallista enemmän asiantuntemusta. Tietosuojavastaavana toimiminen ei kuitenkaan edellytä tietyn erikseen säädetyn tutkinnon suorittamista.