Perlu diakui bahwa Subjek Data Pribadi memiliki peran yang terbatas di dalam melakukan pelindungan Data Pribadi tentang miliknya karena Subjek Data telah menyerahkan Data Pribadi tentang dirinya kepada Pengendali Data Pribadi. Di era digital saat ini, Data Pribadi menjadi sebuah identitas yang harus dijaga kerahasiaannya, tidak boleh dipergunakan ataupun diakses ataupun ditransfer tanpa Persetujuan dari Subjek Data Pribadi Subjek Data Pribadi dapat memilih Pengendali Data Pribadi yang memiliki kriteria tertentu agar Subjek Data dapat meminimalisir dan terhindar dari risiko terjadinya penyalahgunaan Data Pribadi yang dapat berujung pada kebocoran Data Pribadi.
Di dalam UU PDP terdapat kewajiban dan tugas yang harus dipenuhi Pengendali Data Pribadi dan Prosesor Data Pribadi. Berikut ini adalah beberapa kriteria di dalam memilih Pengendali Data Pribadi yang merupakan best practice international dalam rangka melakukan pelindungan terhadap Data Pribadi tentang Subjek Data Pribadi.
- Memilih Data Controller atau Pengendali Data Pribadi yang memiliki kredibilitas yang baik di dalam dunia Pelindungan Data Pribadi,
- Memiliki PPDP (Petugas/Pejabat yang melaksanakan fungsi Pelindungan Data Pribadi) atau DPO (Data Protection Officer) yang tidak hanya mendapatkan Pelatihan Profesi DPO atau PPDP , tetapi juga memiliki Sertifikasi Profesi bidang Pelindungan Data Pribadi di Indonesia dengan materi yang komprehensif dan dilengkapi dengan Pendampingan,
- Memiliki Privacy Policy (Informasi) yang secara jelas dan transparan menerangkan tentang bagaimana pemrosesan Data Pribadi dilakukan, apa peruntukan Data Pribadi yang mereka kumpulkan, bagaimana mereka melakukan Pelindungan Data Pribadi yang mereka proses, dan yang terakhir adalah bagaimana tanggung jawab dan pemulihan hak-hak Subjek Data apabila terjadi hal-hal yang tidak diinginkan seperti kebocoran Data Pribadi dan penyalahgunaan Data Pribadi,
- Memiliki tingkat Pelindungan Data Pribadi yang tinggi baik dari segi teknikal (IT) dan dari segi organisasional. Subjek Data dapat mengetahui tentang tingkat Pelindungan Data Pribadi di dalam Privacy Policy atau Informasi. Subjek Data Pribadi diharapkan dapat mengetahui bagaimana mekanisme dan siapa saja vendor-vendor keamanan IT yang mereka gunakan.