Az egész GDPR-t jellemzi a kockázat alapú megközelítés, a korábbi irányelveket felülírta az idő. Attól, hogy a honlapon feltünteti valaki a NAIH számot, még nem jelenti azt, hogy az adott cég helyesen kezeli az adatokat. Fontos tudni, hogy ez egy nyilvántartási szám, az adatkezelés minőségét nem tükrözi. Mindenképpen figyeljünk arra, hogy a korábban adatvédelmi nyilvántartásba vétel megszűnik! Az irányelv helyébe rendelet lép. A NAIH-nál panaszfókuszú működés várható, éppen ezért feldolgozás alatt áll az adatvédelmi incidens rendszer kialakítása. Az adatkezelésre a NAIH-nak nincsen formanyomtatványa és nem is tervez ilyet készíteni,. Az adatkezelő szempontjából tehát nagyon fontos, hogy az adatkezelés átkerül az adatkezelőhöz.
A belső adatvédelmi tisztviselő szakértelmét és képzettségét a GDPR pontosan körbe írja, illetve a kezelt adatok mennyiségétől függően az adatvédelmi tisztviselő képzettségét és szakértelmét megfelelően kell vizsgálni. Pl: ha adattovábbítás van az EU-n kívülre. Személyes minőségében jellemzően szükséges az integritás, nagyfokú szakmai etikai hozzáállás, a szervezeten belül az adatvédelmi kultúra előmozdítása, a rendelkezések végrehajtása, az adatkezelési elvek kialakítása, az érintettek jogainak biztosítása, illetve adott esetben az adatvédelmi incidensek megfelelő jogi és etikai kezelése, hiszen elsődleges feladata a GDPR betartása. Mindenképpen meg kell megjegyezni, hogy a belső adatvédelmi tisztviselőnek a 38.cikk (3) bekezdése alapján, függetlennek kell maradnia a szervezeten belül. Senkitől sem fogadhat el és kaphat utasítást a feladatai ellátásához, mert a preambulum megjegyzi, hogy a feladat ellátását úgy kell végeznie, hogy független maradjon, még ha az adatkezelő alkalmazottja is.
Külső adatvédelmi tisztviselő megbízása esetén is meg kell felelni a GDPR-ben meghatározott előírásoknak, de megbízási vagy szolgáltatási szerződés esetén ez több személy is lehet vagy egy szervezet és azon belül a területekért felelős személyek. A felügyeleti hatóság (NAIH) részére meg kell adni az adatvédelmi tisztviselő elérhetőségi adatait, hogy könnyen azonosítható módon kapcsolatba tudjon lépni vele.
Az adatvédelmi szabályozást a költségvetési oldalra is be kell tervezni, mint kiadás.
A GDPR felismeri, hogy az adatvédelmi tisztviselő kulcs szereplője lesz majd az új adatvédelmi rendszabályoknak, és külön meghatározza a kinevezés feltételeit, helyzetét és feladatait.
Az adatvédelmi tisztviselő olyan független személy, aki az adott cég adatkezelési és adatvédelmi illetve feldolgozási tevékenységét felügyeli, tanácsot ad a munkavállaló és a munkáltató részére, oktatásokat tart, naprakészen vezeti a nyilvántartást és a hatósággal a kapcsolatot tartja.
A szervezetek alkalmazhatnak belső és külső adatvédelmi tisztviselőt, azonban az adatvédelmi szakértőt és az adatvédelmi tisztviselőt külön kell jelölni.
Az adatkezelés nem csak akkor minősül főtevékenységnek, ha a tevékenység kifejezetten erre irányul, hanem akkor is ha a főtevékenység végzéséhez elengedhetetlenül szükséges. Pl: kórházak, egészségügyi intézmények, gyógyszertárak, telekommunikációs cégek, bankok, biztosítók, stb.