Článok 38 ods. 3 tiež stanovuje, že prevádzkovateľ alebo sprostredkovateľ zodpovedné osoby „nesmú odvolať alebo postihovať za výkon /ich/ úloh“. Táto požiadavka posilňuje autonómiu zodpovedných osôb a pomáha zaistiť, že budú konať nezávisle a mať dostatočnú mieru ochrany pri vykonávaní svojich úloh v súvislosti s ochranou osobných údajov.

Postihy sú nariadením zakázané len pre prípady, ak sa ukladajú za výkon úloh zodpovednej osoby. Napr. zodpovedná osoba je toho názoru, že určité spracovanie pravdepodobne povedie k vysokému riziku a odporučí prevádzkovateľovi alebo sprostredkovateľovi, aby vykonal posúdenie vplyvu, avšak prevádzkovateľ alebo sprostredkovateľ s týmto hodnotením zodpovednej osoby nesúhlasí. Tu nemožno odvolať zodpovednú osobu zato, že poskytla takéto poradenstvo.

Postihy môžu mať rôzne formy, môžu byť priame alebo nepriame. Mohlo by to byť napríklad nepovýšenie alebo oddialenie povýšenia, znemožnenie kariérneho postupu, neposkytnutie zamestnaneckých benefitov, ktoré iní zamestnanci čerpajú. Nie je nevyhnutné, aby boli tieto postihy aj zrealizované, postačuje aj hrozba, ak sa použijú nato, aby postihli zodpovednú osobu za výkon jej činnosti ako zodpovednej osoby.

Zodpovednú osobu však možno stále odvolať na základe rozhodnutia vedenia a za predpokladu, že by sa tak postupovalo aj pri iných zamestnancoch alebo zmluvných partneroch a za podmienok stanovených platným vnútroštátnym zmluvným, pracovným alebo trestným právom z iných dôvodov než za výkon úloh zodpovednej osoby (napríklad v prípade krádeže, fyzického, psychického alebo sexuálneho obťažovania alebo podobne závažného pochybenia).

V tomto kontexte si je dobré všimnúť, že nariadenie neupravuje, ako a kedy možno zodpovednú osobu odvolať a nahradiť niekým iným. Na druhej strane, čím viac má zmluva so zodpovednou osobou trvalý charakter, o to viac garancií sa poskytuje pred jej odvolaním a je o to viac pravdepodobné, že bude môcť postupovať nezávisle. Preto by skupina WP29 uvítala, ak by sa organizácie snažili postupovať v tomto zmysle.