Gegevensbeschermingsautoriteit (GBA) har bötfällt ett företag med 50 000 euro för att företaget inte uppfyllde kraven för utnämning av dataskyddsombud. Det var under en utredning av en personuppgiftsöverträdelse som myndigheten upptäckte att chefen för företagets compliance, riskkontroll och internrevision var utsedd till dataskyddsombud.
Genom beslutet begränsas handlingsutrymmet för ett dataskyddsombud och det uppstår en tydlig intressekonflikt och brist på oberoende där dataskyddsombudet också är ansvarig för andra frågor i verksamheten.
Av beslutet framgår vidare att ett dataskyddsombud inte får ha personalansvar i den meningen att dataskyddsombudet har inflyttande över hur en medarbetares personuppgifter behandlas då det kan föreligga en risk för att de berörda anställda inte kan ges tillräckliga garantier om konfidentialitet i enskilda ärenden. Detta omfattar även ansvar för frågor som lönesättning, omplacering, avsked m.m.