Nadležni sud u Južnoj Koreji (Seoul Eastern District Court) proglasio je imenovanog službenika za zaštitu podataka u turističkoj agenciji krivim za nemar koji je rezultirao povredom osobnih podataka. Kazna je izrečena voditelj obrade (oko 280 tisuća dolara), ali i službeniku osobno (oko 8,5 tisuća dolara), temeljem nacionalnog zakona Personal Information Protection Act and the Network Act.

Na sreću, hrvatski Zakon o provedbi Opće uredbe ne predviđa osobnu odgovornost za službenika za zaštitu osobnih podataka ni drugih odgovornih osoba u društvu koje je voditelj ili izvršitelj obrade. Međutim, ovo ne znači da službenik za zaštitu osobnih podataka nema nikakvu odgovornost.

Članak 38. stavak 2. GDPR-a:

Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća.

Navedena odredba često se pogrešno tumači i zaključuje da službenik ima imunitet, te da ni pod kojim uvjetima ne može biti smijenjen, što je apsolutno pogrešno. Svatko je odgovoran za svoj posao, pa tako i DPO za pogrešan savjet, te ga se zbog toga može smijeniti kao i svakog drugog nesavjesnog ili nestručnog zaposlenika.