Jokainen yritys, joka kerää henkilökohtaisia tietoja, tarvitsee tapaa hallita näitä tietoja ja varmistaa, että niitä käytetään vastuullisesti. Tällainen yritys tarvitsee myös järjestelmän, joka pitää ihmiset ajan tasalla siitä, mitä tietoja kerätään ja miten ne tallennetaan. Näiden toimien valvonnasta vastaava henkilö on tietosuojavastaava. Tietosuojavastaava eli CPO on johtaja, jonka tehtävänä on sekä tiedonhallinta että kuluttajasuhteet. Hän on vastuussa siitä, että yrityksen tietojen kerääminen ja tallentaminen on lain mukaista ja että asiakkaat tuntevat olonsa turvallisiksi jatkamalla henkilökohtaisten tietojensa jakamista yrityksen kanssa.
”Henkilötietojen” laajuus vaihtelee jatkuvasti. Useimpien maailman maiden lait ja määräykset määrittelevät henkilöllisyyden ja asettavat säännöt sen käytölle ja keräämiselle, mutta määritelmät eivät aina ole johdonmukaisia. Jotkut henkilötiedot on suojattava lähes kaikkialla, kuten sosiaaliturva tai verotunnisteet sekä terveystiedot ja tiedot. On paljon epäselvämpää, pitäisikö tietoja, kuten online -selaushistoriaa, ostotottumuksia ja taloudellisia tietoja, pitää riittävän yksityisinä suojattavaksi.
Lait, kuten Yhdysvaltojen sairausvakuutusten siirrettävyys- ja vastuuvelvollisuuslaki ja kaikissa Euroopan unionin jäsenvaltioissa pantu EU: n tietosuojadirektiivi, sisältävät joitain ohjeita asianmukaisista tietosuojakäytännöistä. Tietosuojalakeja muutetaan ja päivitetään jatkuvasti myös tekniikan muuttuessa. Tietosuojapäällikön tehtäviin kuuluu yrityksen tietosuojakäytäntöjen tunnistaminen ja sen varmistaminen, että ne täyttävät minkä tahansa lainkäyttöalueen, jossa yritys harjoittaa liiketoimintaa, lakisääteiset standardit. Koska suuri osa työstä on sääntelyä, monet yksityisyyden suojan päälliköt ovat asianajajia, mutta heidän ei tarvitse olla sitä.
Tietosuojavastaava on myös vastuussa yhteydenpidosta asiakkaiden ja asiakkaiden kanssa varmistaakseen heille, että (1) heidän tietonsa on suojattu, (2) että suoja on riittävä ja (3) heidän on jatkettava tietojen toimittamista. Internetin tulon ja sen jokapäiväiseen elämään tulon jälkeen tiedonkeruusta on tullut yhtä tärkeää kuin tietojen tallentamisesta. Alun perin yritys tarvitsi tietosuojavastaavan vain, jos se käytännössä säilytti arkaluonteisia tietoja tavallisen liiketoiminnan yhteydessä, kuten rahoituslaitos tai terveydenhuoltoyritys. Verkkomaailmassa tieto on kuitenkin usein ensisijainen valuutta.
Yritykset, joilla on Internet -yhteys, voivat seurata, kuka on käynyt heidän verkkosivuillaan ja mistä he ovat tulleet. He voivat pudottaa evästeitä kävijöiden tietokoneille nähdäkseen, mihin kävijät siirtyvät seuraavaksi, ja suunnitella Internet -mainoksia näytettäväksi tiettyjen käyttäjäominaisuuksien ja ajan mittaan yhdistettyjen tietojen perusteella. Usein yritykset voivat myös tallentaa asiakastiedostoja ja tietoja verkkoon, mikä tekee niistä haettavissa – mutta myös alttiimpia tahattomalle altistumiselle.
Yrityksen etujen mukaista on hyödyntää arkistointiohjelmia, Internet -keräystyökaluja ja online -seurantaa kilpailukyvyn säilyttämiseksi. Se on tietosuojavastaava, joka varmistaa, että yrityksen käytännöt ovat terveitä ja että niistä tiedotetaan yleisölle. Jotta yritystä voidaan suojata, sitä on valvottava ja jotta yleisö voi edelleen jakaa tietojaan, on luotettava. Tietosuojavastaavan perusedellytys on täyttää molemmat.