1) kõik avaliku sektori asutused ja organid (välja arvatud kohtud õigusemõistmise osas, kellele kehtib EL-i direktiiv 2016/680 ja isikuandmete kaitse seadus);
2) need ettevõtted, kes põhitegevusena töötlevad inimeste andmeid:
Mis täpselt on ulatuslik töötlemine, eraldi lahti seletatud ei ole, kuid Euroopa andmekaitsenõukogu on soovitanud ulatuslikkuse määramisel lähtuda:
Põhitegevus on võtmetegevus, ilma milleta ei saa ettevõte oma igapäevaseid eesmärke täita. Näiteks haigla ei saa osutada tervishoiuteenust ilma isikuandmeid töötlemata. Tööandja enda töötajate isikuandmete töötlemine ei ole IKÜM-i mõistes põhitegevus, samas kui töötajaid on üle 250 ning enamik neist on Euroopa Liidu elanikud, siis on ettevõttel kohustus registreerida oma isikuandmete töötlemisprotsessid.
3) Andmekaitsespetsialisti peavad määrama ka need asutused/ettevõtted, kes töötlevad isikuandmete eriliike või süüteoandmeid ja süüdimõistvaid kohtuotsuseid
Meeldetuletuseks: isikuandmete eriliigid on terviseandmed, geneetilised ja biomeetrilised andmed, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingulisus, ja andmed, millest ilmneb rassiline või etniline päritolu ning andmed inimese seksuaalelu ja seksuaalse sättumuse kohta.
Väikesed poed tellivad klientide ostueelistuste väljaselgitamiseks ja isikustatud reklaami tegemiseks vajalikku andmeanalüütikat suurelt IT-ettevõttelt. Poodide püsiklientide arv on väike, neile teenust pakkuva IT-ettevõtte andmeanalüütika hõlmab aga kokku üle 50 000 inimese. Selle näite puhul ei pea vastutavad töötlejad (poed) ise andmekaitsespetsialisti määrama, küll aga peab seda tegema nende volitatud töötleja (IT-ettevõte).
Sageli on ettevõttel vaja määrata andmekaitsespetsialist, kuid täistööajaga rakendust talle leida pole. Ettevõtte seest on keeruline kedagi sellesse ametisse seada, sest andmekaitse- ja privaatsusõigus ning isikuandmete kaitse üldmäärus on spetsiifiline teema. Siinkohal saabki abiks olla Grant Thornton Baltic.
