Conform articolului 37 din regulamentul 679/2016 al UE fiecare unitate trebuie sa-si desemneze un responsabil cu protectia datelor (Data Protection Officer – DPO) intern sau extern, pe baza unui contract de servicii.

Conform aliniatului 6 al articolului 38, responsabilul cu protectia datelornu poate indeplini sarcini si atributii in operarea datelor cu caracter personal (nu genereaza un conflict de interese).