Alla företag som samlar in personlig information behöver ett sätt att hantera den informationen och se till att den används på ett ansvarsfullt sätt. Ett sådant företag behöver också ett system för att hålla människor informerade om vilken data som samlas in och hur den lagras. Den person som ansvarar för att övervaka dessa ansträngningar är chefsskyddsombudet. Chief Privacy Officer, eller CPO, är en chef som är ansvarig för både datahantering och konsumentrelationer. Han eller hon ansvarar för att företagets datainsamling och lagring följer lagen, och att kunderna känner sig trygga med att fortsätta dela med sig av sina personuppgifter till företaget.
Omfattningen av vad som anses vara ”personlig information” är i konstant förändring. Lagar och förordningar i nästan alla länder i världen definierar personlig identifiering och sätter regler för dess användning och insamling, men definitionerna är inte alltid konsekventa. Vissa personliga uppgifter måste skyddas nästan överallt, till exempel socialförsäkrings- eller skatteregistreringsnummer och hälsojournaler och information. Huruvida data som surfhistorik på nätet, köpmönster och finansiell information ska anses vara tillräckligt privat för att skyddas är mycket mer tvetydigt.
Lagar som Health Insurance Portability and Accountability Act i USA och EU:s dataskyddsdirektiv som har implementerats i alla EU:s medlemsländer anger vissa riktlinjer med avseende på lämplig praxis för dataskydd. Dataskyddslagar ändras och uppdateras också ständigt i takt med att tekniken förändras. Jobbet som Chief Privacy Officer innebär att identifiera företagets dataskyddspraxis och säkerställa att de uppfyller de juridiska standarderna i alla jurisdiktioner där företaget bedriver verksamhet. Eftersom mycket av jobbet är reglerande är många chief privacy officers jurister, men det behöver de inte vara.
Chief Privacy Officer är också ansvarig för gränssnittet med kunder och kunder för att försäkra dem om att (1) deras data skyddas, (2) att skyddet är adekvat och (3) att de bör fortsätta tillhandahålla data. Sedan Internets tillkomst och dess inträngning i vardagen har datainsamling blivit lika viktig som datalagring. Ursprungligen behövde ett företag bara en chief privacy officer om det var praxis att lagra känslig information i samband med vanlig verksamhet, som en finansinstitution eller ett hälsovårdsföretag skulle vara. I onlinevärlden är information dock ofta den primära valutan.
Företag med internetnärvaro kan spåra vem som har besökt deras webbplatser och var de kommer ifrån. De kan släppa cookies på besökarnas datorer för att se vart besökarna går härnäst, och kan designa internetannonser för visning baserat på vissa användaregenskaper och data sammanslagna över tiden. Ofta kan företag också lagra klientfiler och information online, vilket gör dem sökbara – men också lättare att bli utsatta för oavsiktlig exponering.
Det ligger i allmänhet i ett företags bästa intresse att använda arkiveringsprogram, verktyg för insamling på Internet och onlinespårning för att förbli konkurrenskraftig. Det är integritetsombudet som ser till att företagets praxis är sund och väl kommunicerad till allmänheten. För att ett företag ska skyddas måste det finnas tillsyn, och för att allmänheten ska fortsätta ta del av dess data måste det finnas förtroende. En grundläggande plikt för integritetsombudet är att tillgodose båda.