Да, вы правы, не всем. Только тем, кто регулярно и систематически обрабатывает большие объемы персональных данных, или собирает особые категории персональных данных. Подробнее о критериях можете почитать в статье юристов про data protection officer
https://stalirov.lawyer/posts/data-protection-officer