V prípade ak firma, spoločnosť či organizácia spracúva osobné údaje, má povinnosť vymenovať DPO – zodpovednú osobu. Legislatíva GDPR nariadila pre niektoré organizácie ako povinnosť vymenovať DPO. Povinnosť sa týka napríklad: spoločností, ktoré vo veľkom nakladajú s osobnými údajmi, škôlky, školy, orgány verejnej moci – VÚC či obce.
DPO alebo zodpovedná osoba môže byť menovaná či už interný pracovník alebo externý subjekt. DPO môžeme definovať ako poradný orgán, ktorý má za úlohu poskytovať rady a pomáhať napríklad pri sprostredkovateľských zmluvách, či pri procesoch ohľadom spracúvania osobných údajov.