Splošna uredba o varstvu osebnih podatkov uvaja institut pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO), ki naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov. Imenovanje pooblaščene osebe lahko olajša skladnost z določbami Uredbe, podjetjem pa zagotovi konkurenčno prednost.
Obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Uredba določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo.
Pooblaščena oseba naj deluje kot notranji revizor za varstvo osebnih podatkov, njene glavne naloge pa so spremljanje skladnosti z Uredbo, svetovanje upravljavcem in obdelovalcem o njihovih obveznostih, izobraževanje in ozaveščanje zaposlenih ter svetovanje glede izvedbe ocene učinka v zvezi z varstvom podatkov.
Pooblaščena oseba je kontaktna točka za nadzorni organ in tudi mora biti dostopna posameznikom, katerih osebne podatke obdelujete.
Pooblaščena oseba mora biti neodvisna, pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov in imeti aktivno podporo s strani višjega vodstva.
Imeti mora strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poznati poslovne procese v podjetju oz. organizaciji.
Uredba v 37. členu določa, da bodo pooblaščeno osebo morali imenovati:
– Javni organi in telesa. Kaj vse sodi med javni sektor oz. v definicijo javnega organa bo določil ZVOP-2.
– Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe.
– Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.