1. Κάθε όργανο και κάθε οργανισμός της Κοινότητας διορίζει ένα τουλάχιστον πρόσωπο, ως υπεύθυνο για την προστασία των δεδομένων προσωπικού χαρακτήρα. Τα καθήκοντα του εν λόγω υπεύθυνου είναι τα εξής:
α) φροντίζει ώστε ότι οι υπεύθυνοι της επεξεργασίας και τα υποκείμενα των δεδομένων να ενημερώνονται όσον αφορά τα δικαιώματα και τις υποχρεώσεις τους, δυνάμει του παρόντος κανονισμού,
β) ανταποκρίνεται στα αιτήματα του ευρωπαίου επόπτη προστασίας δεδομένων και, στα πλαίσια της αρμοδιότητάς του, συνεργάζεται με τον ευρωπαίο επόπτη προστασίας δεδομένων, είτε κατόπιν αιτήματος του τελευταίου, είτε με δική του πρωτοβουλία,
γ) διασφαλίζει, κατά τρόπο ανεξάρτητο, την εσωτερική εφαρμογή των διατάξεων του παρόντος κανονισμού,
δ) τηρεί μητρώο με τις επεξεργασίες που διενεργεί ο υπεύθυνος της επεξεργασίας, περιλαμβανομένων των πληροφοριακών στοιχείων που μνημονεύονται στο άρθρο 25 παράγραφος 2,
ε) κοινοποιεί στον ευρωπαίο επόπτη προστασίας δεδομένων τις εργασίες επεξεργασίας οι οποίες ενδέχεται να παρουσιάζουν ιδιαίτερους κινδύνους κατά την έννοια του άρθρου 27.
Με τον τρόπο αυτό, ο εν λόγω υπεύθυνος φροντίζει ώστε η επεξεργασία να μην μπορεί να θίξει τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
2. Η επιλογή του υπεύθυνου προστασίας δεδομένων γίνεται με κριτήριο τα προσωπικά και επαγγελματικά του προσόντα και, ιδίως, τις ειδικές του γνώσεις στον τομέα της προστασίας δεδομένων.
3. Η επιλογή του υπευθύνου προστασίας δεδομένων δεν πρέπει να μπορεί να έχει ως συνέπεια σύγκρουση συμφερόντων μεταξύ της ιδιότητάς του ως υπευθύνου και άλλων επισήμων καθηκόντων που μπορεί ενδεχομένως να ασκεί, ειδικότερα στα πλαίσια της εφαρμογής των διατάξεων του παρόντος κανονισμού.
4. Η διάρκεια της θητείας του υπευθύνου προστασίας δεδομένων είναι από 2 ως 5 έτη. Η θητεία του μπορεί να ανανεώνεται, χωρίς όμως η συνολική διάρκεια της θητείας να μπορεί να υπερβαίνει τα δέκα έτη. Ο υπεύθυνος προστασίας δεδομένων είναι δυνατό να απαλλάσσεται από τα καθήκοντά του ως υπευθύνου προστασίας δεδομένων από το όργανο ή οργανισμό της Κοινότητας που τον διόρισε μόνο με τη συγκατάθεση του ευρωπαίου επόπτη προστασίας δεδομένων, εφόσον έχει παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.
5. Το όργανο ή ο οργανισμός που διορίζει τον υπεύθυνο προστασίας δεδομένων, γνωστοποιεί εν συνεχεία το όνομα αυτού στον ευρωπαίο επόπτη προστασίας δεδομένων.
6. Το όργανο ή ο οργανισμός της Κοινότητας που διορίζει τον υπεύθυνο προστασίας δεδομένων, του παρέχει το αναγκαίο προσωπικό και πόρους για την εκτέλεση της αποστολής του.
7. Ο υπεύθυνος προστασίας δεδομένων δεν είναι δυνατό να λαμβάνει εντολές κατά την εκτέλεση των καθηκόντων του.
8. Κάθε όργανο ή οργανισμός της Κοινότητας θεσπίζει, σύμφωνα με τις διατάξεις που περιλαμβάνονται στο παράρτημα, συμπληρωματικές διατάξεις εφαρμογής. Αυτές οι συμπληρωματικές διατάξεις αφορούν, ειδικότερα, τα καθήκοντα, τις αρμοδιότητες και τις εξουσίες του υπευθύνου προστασίας δεδομένων.
