Een Data Protection Officer (DPO) aanstellen  is verplicht voor de publieke sector maar ook als bij het gebruik van persoonsgegevens sprake is van op grote schaal reguliere en systematische monitoring van de betrokkenen. Of wanneer het gebruik van de gegevens hoofdzakelijk het op grote schaal verwerken van bijzondere persoonsgegevens betreft. Dit zijn gegevens over o.a. ras, gezondheid, genetische gegevens, politieke voorkeur of godsdienst. De rol van een DPO is het bijhouden van een register en daarnaast het opzetten van regels met betrekking tot de persoonsgegevens en de processen die hierbij betrokken zijn. Voor HR betekent dit dat naast alle bestaande retentie regels en richtlijnen, de processen in kaart moeten worden gebracht en beoordeeld op basis van de nieuwe wetgeving.

Besef dat er klanten, sollicitanten en oud-medewerkers zijn die daadwerkelijk en met passie geven om hun privacy-rechten en kunnen verzoeken om in te zien wat u van hen heeft aan informatie. Ze kunnen straks ook vragen om vergeten te worden. Besef ook dat er personen gaan verschijnen die met kwade zin naar mogelijkheden gaan kijken omtrent deze wet. Zijn de gegevens verwijderd uit het softwaresysteem, maar staat er nog een kast met dossiers in de kelder met persoonsinformatie? Of is er nog een digitale back-up waarop gegevens staan? Of werkt u nog steeds met netwerkschijven en folders en staat daar nog informatie? Of in de privédropbox van uw medewerker? Of bij uw archiefbeheerder?