Di sisi lain, untuk prosesor data diharuskan menyimpan detail nama, pemroses detail kontak, nama rincian kontak masing-masing pengontrol, kategori pemrosesan, transfer ke negara-negara non-EEA, termasuk deskripsi dari security measures yang diambil.
“Pendekatan ROPA itu bisa beda-beda. Ada perusahaan yang besar sekali, kalau dia collect satu produk itu dibikin beberapa ROPA itu challenging jadi mereka mungkin berdasarkan business stream saja. Ini kembali ke appetite perusahaan. Apakah bisa dengan DPO (Data Protection Officer) cuma satu tapi sangat masif (mengerjakan berbagai hal atau dapat diperbanyak personel DPO).”
Dengan hadirnya ROPA sekarang, menurutnya, amat terasa ketika terjadi suatu insiden di perusahaan terkait dengan data pribadi pengguna. Eksistensinya dapat memudahkan DPO ketika menelusuri insiden seperti kebocoran data pribadi pengguna misalnya. Dengan ROPA dapat lebih mudah mencari tahu siapa saja pihak yang mempunyai akses.
Sebagai contoh untuk ROPA, komponennya dapat terdiri atas proses bisnis yang mengumpulkan dan memberi proses PDP; sumber pengumpulan; tipe personal data; basis hukum; tujuan mengumpulkan dan menggunakan kategori personal data yang dikumpulkan.
Lalu, masih dalam contoh inventaris data melalui ROPA atas komponennya dapat berupa data sistem disimpan; apakah akan memberikan data ke pihak ketiga; negara dari personal data tinggal; waktu retensi dari personal data; serta pemilik bisnis sekaligus kontaknya yang khususnya akan bisa mendata siapa dan dari tim mana yang mengikuti.