Obecné nařízení zavádí pro státní organizace a subjekty, které zpracovávají rozsáhlé soubory osobních údajů, povinnost zřídit funkci Pověřence pro ochranu osobních údajů (v angličtině Data Protection Officer, neboli zkráceně DPO). Jde o člověka, který by měl být poradcem v oblasti práce s daty a jejich zabezpečení v souladu s GDPR a další legislativou, ale také jakýmsi stálým auditorem, který hlídá, aby daná organizace činila vše pro uchování osobních dat v bezpečí. Obecné nařízení definuje, že takový člověk nesmí být v konfliktu zájmů (tedy nesmí kontrolovat sám sebe), a tedy jej prakticky vylučuje z činností, které daný subjekt standardně vykonává (např. ve škole nemůže tuto činnost vykonávat logicky žádný z vyučujících, ale ani třeba školník, který zadává data do přístupového systému – a tedy zpracovává osobní údaje). Lze ale tuto funkci nakupovat externě formou outsourcingu.
Jistě se shodneme na tom, že problematika ochrany osobních údajů je složitá. Avšak mnohým může připadat funkce DPO nepřináší organizaci žádný profit. Co naplat, Obecné nařízení tuto funkci požaduje. Můžeme o tom vést spory, můžeme s tím i nesouhlasit, ale to je tak vše, co proti tomu můžeme dělat. Lze k této problematice samozřejmě přistoupit formálně a jmenovat za pár korun osobu, která bude navenek vystupovat jako DPO, ale nebude vykonávat žádnou činnost (to je na zvážení vedení, co za rizika je ochotno podstoupit). U společností, které mají co do činění s opravdu reálným zpracováváním osobních údajů bych takové řešení rozhodně nedoporučoval. Pokud nechce mít společnost svého DPO v zaměstnaneckém stavu, lze činnost nakupovat a případně se i spojit s jiným subjektem a osobu pověřence sdílet.