Pooblaščena oseba za varstvo podatkov ali krajše DPO – (ang. »DPO – Data Protection Officer«): Splošna uredba za varstvo podatkov (GDPR), ki je začela veljati 25.05.2018 od vseh subjektov javnega sektorja in tudi večjega števila zasebnih poslovnih subjektov zahteva imenovanje pooblaščene osebe za varstvo podatkov. Imenovanje pooblaščene osebe olajša skladnost z določbami GDPR, hkrati pa podjetjem zagotavlja konkurenčno prednost. Položaj DPO-ja mora biti v imenovani organizaciji/podjetju neodvisen, s čimer se zagotavlja, da ne prihaja do konflikta interesov (predvsem položaji, ki bi omogočali opredelitev namenov ali storitev obdelave osebnih podatkov). Posledično se tako zagotavlja najvišja stopnja kakovosti delovanja.

Poslovni subjekti lahko imenujejo notranjega ali zunanjega DPO. Po 37. členu GDPR so pooblaščeno za varstvo podatkov dolžni imenovati vsi javni organi in podjetja, katerih osnovne dejavnosti vključujejo obsežno, redno in sistematično spremljanje oseb, s podatki katerih razpolagajo, ali obsežno obdelavo podatkov posebnih kategorij in osebnih podatkov, povezanih s kazenskimi obsodbami ali prekrški.