Koordynatorzy ochrony danych (artykuły od 35 do 37)
Firmy prywatne są zobowiązane do wyznaczenia koordynatora ochrony danych jeśli:
•    dokonywane przez nie przetwarzanie danych odnosi się do więcej niż 5000 podmiotów w każdym kolejnym okresie 12 miesięcy (zamiast kryterium liczby ponad 250 pracowników w danej firmie proponowanego przez Komisję) lub:
•    głównym przedmiotem działalności administratora lub podmiotu przetwarzającego dane stanowi przetwarzanie danych wiążące się z regularnym i systematycznym monitorowaniem podmiotów, których dane dotyczą lub jeśli przetwarzane są określone kategorie danych (tj. dane wrażliwe), dane dotyczące miejsca pobytu, dane dotyczące dzieci lub dane pracowników w dużych systemach archiwizacyjnych. Większość małych i średnich przedsiębiorstw będzie zatem wyłączona z obowiązku wyznaczania koordynatora ochrony danych jeśli przetwarzanie danych nie będzie stanowiło przedmiotu ich głównej działalności.
Europejska Pieczęć Ochrony Danych (artykuł 39) – administrator lub podmiot przetwarzający dane może zażądać (za opłatą) od organu nadzorującego wydania certyfikatu potwierdzającego, że przetwarzanie przez niego danych osobowych odbywa się zgodnie z zasadami określonymi w rozporządzeniu. Jest to procedura dobrowolna. Certyfikaty będą ważne przez maksimum 5 lat i zostaną ujawnione w publicznym rejestrze. Firmy, którym przyznano certyfikat, nie będą karane grzywną za uchybienia postanowieniom Rozporządzenia, chyba że uchybienie będzie zamierzone lub będzie wynikiem niedbalstwa. Ponadto firmy takie będą mogły przenosić dane do krajów trzecich pod warunkiem, że odbiorca również będzie miał nadaną Europejską Pieczęć Ochrony Danych.

Organ wiodący (art. 54)
Wmyśl projektu przetwarzające dane na terytorium Europy organizacje będą współpracowały tylko z jednym organem wiodącym. Rozporządzenie wskazuje, iż w sytuacji, gdy dane osobowe będą przetwarzane przez administratora lub edytora w więcej niż jednym państwie członkowskim, organ nadzorujący jego głównego zakładu będzie organem wiodącym, odpowiedzialnym za nadzór nad czynnościami w zakresie przetwarzania danych we wszystkich państwach członkowskich. Organ wiodący będzie zobowiązany do konsultacji z innymi kompetentnymi organami nadzorującymi, jak najpełniejszego uwzględnienia ich opinii i podjęcia wszelkich starań w celu zawarcia porozumienia przed podjęciem jakichkolwiek działań. W przypadku wątpliwości powstałych przy określeniu organu właściwego, nowoutworzona Europejska Rada ds. Ochrony Danych (EDPB) będzie mogła wskazać organ wiodący. Ponadto podmioty, których informacje dotyczą, będą miały prawo do złożenia skargi na działalność organu wiodącego do organu nadzorującego w jakimkolwiek państwie członkowskim. Organ wiodący będzie zobowiązany do współpracy z organem nadzorującym w zakresie zarzutów podnoszonych w skardze (art. 73).