Za sporné bylo do této doby označováno především spojení funkce pověřence s pozicí vedoucího IT nebo HR oddělení. V tomto případě byl shledán střet zájmů v tom, že jmenovaný pověřenec, byl současně ve společnosti zaměstnán na řídící pozici pro oblasti dodržování předpisů, řízení rizik a auditů. Situace, která není úplně neobvyklá. U společností, které oddělením nazývaným compliance disponují, v řadě případů pověřují vedoucí tohoto oddělení také výkonem činnosti pověřence. Nyní na tomto případu posuzovaném belgickou dozorovou autoritou se ukazuje, že takové řešení nebude obvykle správné.
Dalším pochybením, které vedlo k udělení pokuty, bylo nedostatečné zapojení pověřence do činnosti společnosti a rozhodovacích procesů relevantních pro oblast zpracování osobních údajů. V tomto ohledu byla za rozhodující označena okolnost, že pověřenec byl v rámci zpracování osobních údajů pouze „informován“, a nikoli „konzultován“. Argument, že požadavek na zapojení pověřence ex ante GDPR explicitně neuvádí, byl vyvrácen konstatováním, že pokud se zapojení pověřence omezí na pouhé (ex post) informování o již učiněném rozhodnutí, jedná se o zjevné narušení možnosti výkonu jeho funkce. Tento argument zároveň logicky podporuje dodržování přístupu k ochraně údajů již od návrhu, jak je stanoveno v čl. 25 GDPR (tzv. záměrná a standardní ochrana osobních údajů).
Při rozhodování byla zohledněna také okolnost, že pokutovaná společnost neměla formalizovaná pravidla pro zapojení pověřence do činností společnosti, ani politiku předcházení střetu zájmů.
Obecně lze konstatovat, že vše výše popsané představuje standardní rizika spojená se jmenováním pověřence z řad zaměstnanců. To, co je v případě externího pověřence běžně a důsledně ošetřeno smluvně ještě před jeho jmenováním, bývá u pověřence interního řešeno často nedostatečně a v mnoha případech na vymezení jeho přesného postavení v rámci společnosti a konkrétních rolí vůbec nedojde.
