In sommige gevallen is het verplicht een privacy officer (functionaris voor gegevensbescherming – fg) aan te stellen. Dat is bijvoorbeeld het geval bij een overheidsinstantie of -orgaan, maar ook bij bedrijven die zich hoofdzakelijk bezig houden met stelselmatige observatie (profilering en tracking) of grootschalige verwerking van bijzondere persoonsgegevens.
Een zogenaamde data protection impact analyse (ook wel: gegevensbeschermingseffectbeoordeling of privacy impact analyse) is noodzakelijk wanneer er gegevensverwerkingen plaatsvinden met een waarschijnlijk hoog risico voor de rechten en vrijheden van natuurlijke personen.
Er is een lijst vastgesteld door de Autoriteit Persoonsgegeven van verwerkingen waarbij er in ieder geval een dpia moet plaatsvinden, waaronder: bij fraudebestrijding, het grootschalig verwerken van gezondheidsgegevens, (flexibel) cameratoezicht en controle van werknemers (bijvoorbeeld gps-tracking of email- en internettoezicht).