Den tyska dataskyddskonferensen (DSK), en styrgrupp som består av Tysklands samtliga dataskyddsmyndigheter, har beslutat om möjligheten att inte tillämpa tekniska och organisatoriska åtgärder enligt artikel 32 i dataskyddsförordningen (GDPR) efter en uttrycklig begäran av registrerade.
I beslutet konstateras att den personuppgiftsansvariges skyldighet att genomföra tekniska och organisatoriska åtgärder i enlighet med artikel 32 GDPR grundar sig på en objektiv rättslig skyldighet som de berörda parterna inte kan avstå från. En personuppgiftsansvarig kan inte heller avstå ifrån att vidta tekniska och organisatoriska åtgärder eller att sänka den lagstadgade standarden på grundval av ett samtycke från registrerade enligt artikel 6.1 (a) GDPR.
I beslutet anges att med hänsyn till registrerades rätt till självbestämmande och andra registrerades rättigheter kan det i enskilda fall, som måste dokumenteras, vara möjligt för den personuppgiftsansvarige att i rimlig utsträckning inte tillämpa vissa tekniska och organisatoriska åtgärder när registrerade har tagit initiativ till att uttryckligen begära detta.