DPO je zkratka anglického termínu Data Protection Officer. V českém překladu se používá termín pověřenec pro ochranu osobních údajů a pro Českou republiku je tato funkce novinkou, kterou přináší GDPR.

Pověřenec je specifická osoba, kterou bude muset jmenovat část správců a zpracovatelů:

• orgán veřejné moci či veřejný subjekt (v ČR se jedná o orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu), s výjimkou soudů jednajících v rámci svých soudních pravomocí;
• hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů (např. bezpečnostní agentura, která provozuje kamerové systémy ve velkých obchodních centrech);
• hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování tzv. citlivých údajů - podle GDPR zvláštní kategorie osobních údajů a osobní údaje týkající se rozsudků v trestních věcech a trestných činů (např. nemocnice).

Pověřencem může být jak vlastní zaměstnanec společnosti pod podmínkou, že nedojde ke střetu zájmů (např. pověřencem nemůže být člen vrcholového vedení), tak externí poskytovatel služeb (fyzická i právnická osoba) na základě smlouvy o poskytování služeb.

Mezi hlavní úkoly pověřence patří:

• poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle GDPR a dalších předpisů v oblasti ochrany údajů;
• monitorování souladu zpracování osobních údajů s GDPR, dalšími předpisy v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
• poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů (nová povinnost u vysoce rizikových operací s osobními údaji) a monitorování jeho uplatnění;
• spolupráce s dozorovým úřadem a
• působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování a pro subjekty údajů.

Přestože pověřenec poskytuje správcům a zpracovatelům poradenství ohledně dosažení a udržení zpracování osobních údajů v souladu s GDPR, nenese za prováděná zpracování odpovědnost. Odpovědnost za ochranu osobních údajů bude vždy ležet na správcích, případně i zpracovatelích.