Un délégué à la protection des données est désigné par le responsable du traitement ou par le sous-traitant dans les cas prévus par l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
Le délégué veille au respect des obligations prévues par le règlement (UE) 2016/679 du 27 avril 2016 susvisé et par la loi du 6 janvier 1978 susvisée.

La communication à la Commission nationale de l'informatique et des libertés des coordonnées prévues au 7 de l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 susvisé comporte les mentions suivantes :
1° Les nom, prénom et coordonnées professionnelles du responsable du traitement ou du sous-traitant ou, le cas échéant, ceux de son représentant, ainsi que ceux du délégué à la protection des données. Pour les personnes morales responsables du traitement et les sous-traitants, leur dénomination, leur siège social ainsi que l'organe qui les représente légalement ;
2° Lorsque le délégué à la protection des données est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de délégué.
Les coordonnées mentionnées au 1° et au 2° sont communiquées sans délai à la Commission nationale de l'informatique et des libertés par voie électronique ainsi que toutes modifications de celles-ci.
La dénomination et les coordonnées professionnelles de l'organisme ainsi que les moyens de contacter le délégué à la protection des données font l'objet d'une diffusion dans un format ouvert et aisément réutilisable par la Commission nationale de l'informatique et des libertés.

Conformément à l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les responsables du traitement ou les sous-traitants peuvent désigner un seul délégué à la protection des données qui exerce sa mission pour le compte de plusieurs d'entre eux.
Lorsque les collectivités territoriales, leurs groupements, les établissements publics locaux, et les personnes morales de droit privé gérant un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s'exerce la mutualisation. Chacune des parties à la mutualisation demeure responsable du traitement ou sous-traitant.

Sont autorisés à déroger au droit à la communication d'une violation de données, dans les conditions prévues au II de l'article 58 de la loi du 6 janvier 1978 susvisée :
1° Les traitements comportant des données à caractère personnel susceptibles de permettre, directement ou indirectement, d'identifier des personnes dont l'anonymat est protégé au titre de l'article 39 sexies de la loi du 29 juillet 1881 sur la liberté de la presse ;
2° Les traitements de données de gestion administrative, financière et opérationnelle ainsi que les traitements de données de santé pour lesquels la notification d'une divulgation ou d'un accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique au regard du volume des données concernées par la violation et des informations relatives à la vie privée qu'elles comportent telles que l'adresse ou la composition de la famille.