Laut der italienischen Datenschutzbehörde kann ein Datenschutzbeauftragter nicht gleichzeitig die Rolle des Datenverarbeiters übernehmen.
Die italienische Datenschutzbehörde, bekannt als „Garante“, hat eine bedeutende Entscheidung erlassen, die weitreichende Auswirkungen auf die Ernennung von Datenschutzbeauftragten (DPOs) innerhalb einer Organisation hat und die Bedeutung der Vermeidung von Interessenkonflikten unterstreicht.
Der Garante hat sich gegen die Benennung einer Person als Datenschutzbeauftragter ausgesprochen, wenn dieselbe Person gleichzeitig eine Autoritätsposition innerhalb eines Unternehmens innehat, das für die Verarbeitung personenbezogener Daten im Namen der Stelle verantwortlich ist, für die sie als Datenschutzbeauftragte (in diesem Fall eine Gemeinde) gehandelt hat. Diese Praxis wirft Bedenken hinsichtlich potenzieller Interessenkonflikte auf, die der Garant für unvereinbar mit der Rolle eines DPO hält.
Die DSGVO skizziert die Verantwortlichkeiten der Datenverarbeiter. Es betont auch die Bedeutung der Unabhängigkeit und die Vermeidung von Interessenkonflikten. Gemäß den Richtlinien des EDPB für Datenschutzbeauftragte können Datenschutzbeauftragte zusätzliche Funktionen übernehmen, sofern sie nicht zu Interessenkonflikten führen. Diese Einschränkung beinhaltet den Verzicht auf Rollen innerhalb der Organisation, die die Definition der Zwecke oder Methoden der Verarbeitung personenbezogener Daten beinhalten.
Quelle: https://www.gamingtechlaw.com/2023/10/dpo-cannot-data-processor-italian-privacy-authority/
#eudsgvo #dsb #datenschutzbeauftragter
See english below 🇬🇧:
A data protection officer may not at the same time act as a data processor for the Italian data protection authority
According to the Italian data protection authority, a data protection officer cannot assume the role of data processor at the same time.
The Italian data protection authority, known as the „Garante“, has issued a significant decision that has far-reaching implications for the appointment of data protection officers (DPOs) within an organisation and highlights the importance of avoiding conflicts of interest.
The Garante has ruled against the appointment of a person as a DPO if the same person simultaneously holds a position of authority within an organisation responsible for the processing of personal data on behalf of the entity for which he or she acted as DPO (in this case, a municipality). This practice raises concerns about potential conflicts of interest, which the guarantor considers incompatible with the role of a DPO.
The GDPR outlines the responsibilities of data processors. It also emphasises the importance of independence and the avoidance of conflicts of interest. According to the EDPB’s Guidelines for DPOs, DPOs may take on additional functions provided they do not lead to conflicts of interest. This restriction includes refraining from roles within the organisation that involve defining the purposes or methods of processing personal data.
Source: https://www.gamingtechlaw.com/2023/10/dpo-cannot-data-processor-italian-privacy-authority/
#eugdpr #dpo #dataprotectionofficer