Toute organisation, privée ou publique, quels que soient sa taille, son statut (entreprise, association, administration, collectivité territoriale, etc.) et son secteur d'activité, qui collecte et/ou traite des données permettant une identification directe (nom, prénom, etc.) ou indirecte (identifiant, numéro, etc.) doit désigner en son sein un/e DPD (délégué/e à la protection des données), ou faire appel à un/e DPD extérieur/e (cabinet de conseil ou d'avocats...), qui fera appliquer le cadre légal du RGPD (règlement général de protection des données) et assurera les relations avec la Cnil (Commission nationale de l'informatique et des liberté) et les différentes personnes concernées (salariés, usagers, patients, fournisseurs, etc.). Le ou la DPD peut aussi être un « DPD interne mutualisé/e » partageant son temps de travail entre plusieurs organismes (groupements d'employeurs, de collectivités territoriales, hospitaliers de territoire, etc.). La fonction de DPD s'organise autour de la cartographie des traitements des données et de la tenue obligatoire d'un registre, de la mise en conformité de ces traitements, du contrôle du respect de la réglementation en lien avec la Cnil, de la sensibilisation et de la formation des salariés au respect des droits des personnes (droit à l'information, droit à l'accès, droit d’opposition), au traitement et à la libre circulation des données à caractère personnel, et de la veille juridique, technologique, sociétale et sectorielle. Les conditions de travail (temps plein ou temps partiel) du ou de la DPD dépendent de son parcours initial (juridique, sécurité informatique, systèmes d'information, technique, gestion de projet, ressources humaines, communication...) et des objectifs de l'entreprise. La plupart du temps, le ou la DPD est rattaché/e à la direction générale de l'entreprise, à qui il ou elle fait des rapports réguliers.
