DPO dalam menjalankan fungsi independennya, dapat melakukan asesmen kepatuhan hingga investigasi pascapelanggaran.
DPO juga harus memastikan penerapan aturan internal korporasi terkait privasi secara obyektif. Hasilnya tentu untuk dilaporkan kepada pimpinan tertinggi korporasi.
Uraian tugas DPO untuk kepastian, secara detail perlu diatur dalam regulasi internal korporasi. Idealnya juga dituangkan dalam DPO Charter.
Hal ini sekaligus menjadi bukti bahwa korporasi telah memposisikan DPO secara independen dan bebas konflik kepentingan jika suatu saat ada yang menyoal.
Mengingat regulasi juga memungkinkan korporasi menunjuk DPO eksternal, maka jika itu yang dipilih, perlu penekanan peran spesifik dalam kontrak, antara korporasi dengan DPO secara detail dan eksplisit.
Sebagai pendukung tugasnya, DPO juga harus memiliki sumber daya yang sesuai dan memadai. Termasuk untuk menggunakan jasa konsultan hukum eksternal jika diperlukan.
Mengingat sanksi denda privasi yang spektakuler, maka menjadi relevan dalam melaksanakan tugasnya, DPO bertanggung jawab dan memiliki akses langsung ke manajemen tertinggi.
Hal ini dimaksudkan agar rekomendasi bisa langsung diterima, diantisipasi, dan ditindaklanjuti oleh pimpinan tertinggi korporasi, terutama dalam keadaan darurat seperti isu kebocoran data.
Untuk efisiensi, dalam praktik korporasi global unit DPO bisa beririsan dengan tugas organisasi lainnya dengan syarat harus tetap independen dan bebas dari konflik kepentingan.
Pasal 38 (6) GDPR menyatakan bahwa DPO dapat melaksanakan tugas dan kewajiban lainnya. Pengendali atau prosesor data, harus memastikan bahwa tugas dan kewajiban tersebut tidak menimbulkan konflik kepentingan.
Dilansir European Commision bahwa kelompok ahli Uni Eropa telah mengeluarkan pedoman atau Guidelines yang menegaskan bahwa DPO tidak dapat memegang posisi dalam organisasi yang mengarahkannya untuk menentukan tujuan dan cara pemrosesan data pribadi.
Dalam Guidelines disebutkan posisi-posisi yang yang cenderung bertentangan dengan peran DPO, yaitu senior management positions, chief executive, chief operating, chief financial, chief medical officer, head of the marketing department, head of Human Resources, head of the IT department, atau posisi lain yang berhubungan dengan penetapan tujuan dan cara pemrosesan data pribadi.
Referensi lain juga menyebut, meskipun DPO memerlukan seorang yang berpengetahuan hukum, tetapi dalam struktur tidak dapat beririsan dengan tugas Legal Department.
Di Indonesia, keberadaan DPO diatur pada Pasal 53 jo. 54 UU PDP. Hal ini telah saya tulis di kolom Kompas.com dengan judul “CDO, CPO, DPO, dan Masa Transisi Perlindungan Data Pribadi Korporasi” sehingga tidak perlu saya uraikan lagi.
Pemerintah saat ini tengah mempersiapkan RPP PDP. Khusus terkait DPO, RPP yang telah dipublikasikan untuk konsultasi publik, menekankan pengaturan tentang DPO dalam pasal 165 sampai dengan pasal 169.