Podľa článku 35 ods. 1 je úlohou prevádzkovateľa, nie zodpovednej osoby, vykonať, ak je to potrebné, posúdenie vplyvu na ochranu údajov („data protection impact assessment – DPIA“).
Zodpovedná osoba však môže poskytnutím asistencie prevádzkovateľovi zohrávať v tomto procese veľmi podstatnú a užitočnú úlohu. Sledujúc zásadu špeciálne navrhnutej ochrany údajov (data protection by design) článok 35 ods. 2 osobitne vyžaduje, aby sa prevádzkovateľ počas vykonávania posúdenia vplyvu na ochranu údajov „radil so zodpovednou osobou“. Na druhej strane, článok 39 ods. 1 písm. ukladá zodpovednej osobe povinnosť „poskytovať poradenstvo na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania.“
Skupina WP29 odporúča, aby sa prevádzkovateľ radil so zodpovednou osobou, okrem iného v týchto záležitostiach:
- či vykonať alebo nevykonať posúdenie vplyvu na ochranu údajov (DPIA)
- akú metodológiu pri posúdení vplyvu použiť
- či posúdenie vplyvu vykonať interne alebo externe prostredníctvom sprostredkovateľa služby
- aké záruky (vrátane technických a organizačných opatrení) prijať na zmiernenie rizík pre práva a záujmy dotknutých osôb
- či posúdenie vplyvu bolo alebo nebolo správne vykonané a či sú jeho závery (t. j. či pristúpiť alebo nie k spracúvaniu a o tom, aké záruky sa majú prijať) v súlade s nariadením.
Ak prevádzkovateľ nesúhlasí so stanoviskom zodpovednej osoby, záznamy o posúdení vplyvov na ochranu údajov by mali obsahovať aj zdôvodnenie, prečo sa nezohľadnilo stanovisko zodpovednej osoby.
Skupina WP29 ďalej odporúča, aby prevádzkovateľ jasne vymedzil, napríklad v zmluve so zodpovednou osobou, ale aj v oznámení zamestnancom, vedeniu (a tam, kde je to vhodné, aj ďalším zainteresovaným stranám), úlohy zodpovednej osoby a rozsah jej pôsobnosti najmä vo vzťahu k vykonávaniu posúdenia vplyvu na ochranu údajov.