DPO (Data Protection Officer), másnéven adatvédelmi tisztviselő kijelölése jogszabály által meghatározott esetekben – pl. egészségügyi adatok kezelésekor - kötelező. Javasolt azonban más esetekben is adatvédelemben jártas szakember megbízása a személyes adatok kezelésére.
Az adatvédelmi tisztviselő főbb feladatkörei:
- tájékoztat és szakmai tanácsot ad az adatkezelő, az adatfeldolgozó, illetve az adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
- ellenőrzi a GDPR-nak, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben résztvevő személyek tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
- kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- együttműködik és kapcsolattartó pontként szolgál a felügyeleti hatóság felé.