Niekiedy jest ona porównywana do dotychczasowej funkcji Administratora Bezpieczeństwa Informacji (ABI), jednak wyznaczenie IOD jest w wybranych sytuacjach obowiązkiem Administratora Danych Osobowych (ADO). Dzieje się tak kiedy dane są przetwarzane przez podmioty z sektora publicznego, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, a także gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.
Funkcja IOD w swym założeniu miała pozostać w pełni niezależna od ADO w zakresie wypełniania swoich zadań. Ustawodawca wprowadził zatem w samym RODO pewne gwarancje mające na celu zapewnienie owej niezależności.
I tak ADO został zobligowany do wspierania IOD przy wykonywaniu jego zadań oraz do zaniechania wyciągania negatywnych konsekwencji z tytułu wypełniania swojej funkcji. IOD przy wykonywaniu swojej pracy musi mieć umożliwiony dostęp do wszelkich zasobów danych osobowych podmiotu, który je przetwarza. ADO winien także dążyć do pogłębiania, a co najmniej utrzymania wysokiego poziomu wiedzy fachowej IOD.
IOD nie może być instruowany przez ADO co do sposobu wykonywania swoich zadań. Administrator oraz podmiot przetwarzający dane muszą zapewnić, że IOD nie będzie otrzymywał instrukcji dotyczących wykonywania zadań, nie może on być także odwołany, czy ponosić w tym zakresie odpowiedzialności. Odpowiada on jednak za niewykonywanie lub nienależyte wykonywanie swoich zadań. Zgodnie z przepisem art. 38 RODO IOD ma być niezwłocznie włączany we wszelkie sprawy dotyczące ochrony danych osobowych, co więcej nie ma tu znaczenia waga spraw z punktu widzenia ADO. Art. 29 wskazuje, że IOD ma być włączany w działania na jak najwcześniejszym ich etapie. W opinii Grupy Roboczej Art 29:
1) IOD powinien brać regularny udział w spotkaniach kadry zarządzającej;
2) IOD powinien brać udział we wszystkich etapach, na których podejmowane są działania związane z odo. Powinien być informowany na tyle wcześnie, by być w stanie zarekomendować odpowiednie rozwiązania;
3) IOD powinien być niezwłocznie informowany o naruszeniach do
4) w przypadku niezgodności działań placówki z IOD warto stworzyć dokument motywujący podjęcie innych niż rekomendowane rozwiązań.
Należy pamiętać o obowiązkach informacyjnych nałożonych na IOD w zakresie informowania administratora, podmiotu przetwarzające dane oraz pracowników o obowiązkach spoczywających na nich i wynikających z RODO oraz innych przepisów i doradzanie w tym zakresie. IOD staje się więc także podmiotem doradczym, który winien być dyspozycyjny dla podmiotu przetwarzającego dane osobowe w sytuacjach wymagających jego udziału.
