ตามมาตรา ๔๒ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) มีหน้าที่คือ
- ให้คำแนะนำแก่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล เกี่ยวกับการปฎิบัติตาม พ.ร.บ.
- ตรวจสอบการดำเนินงานขององค์กรให้เป็นไปตาม พ.ร.บ.
- ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีมีปัญหา
กรรมการหรือผู้จัดการหรือบุคคลที่มีความรับผิดชอบในฐานะผู้สั่งการ
องค์กรสามารถแต่งตั้ง DPO เป็นคณะได้ ซึ่งคณะกรรมการควรประกอบไปด้วยผู้ที่มีหน้าที่ในตำแหน่งเกี่ยวกับการดูแลข้อมูลส่วนบุคคล เช่น IT HR เป็นต้น