This is an HTML version of an attachment to the Freedom of Information request 'Data Protection Officer + conflict of interest'.

Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF 
T. 0303 123 1113   F. 01625 524510 
10 November 2020 
J Roberts 
Dear J 
Case Reference IC-59229-Y8B6 

Thank you for your email of 11 September 2020.  
Within your email you made a request for information. This has been handled by 
the ICO’s Information Access Team under the provisions of the Freedom of 
Information Act 2000 (the FOIA). This legislation entitles a requester to recorded 
information held by a public authority, unless an appropriate exemption applies. I 
apologise for the delay in responding to this request. 
In your email you asked for: 
“…1.  If you have investigated any public authority because of suspected conflict 
of interest with the role of the DPO, please provide the number of authorities 
2.  If you have fined any public authority because its DPO was not sufficiently 

free from conflict of interest, please provide the number of authorities fined and 
the size of the fines. 
3.  If you have created any information to assist public authorities protect against 

a conflict of interest with the role of DPO, please provide.” 
We have handled your request under the Freedom of Information Act 2000 (the 
FOIA). This entitles a requester to recorded information held by a public 
Information Commissioner’s Office (Head Office) 
Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF 
T. 0303 123 1113   F. 01625 524510 

authority, unless an appropriate exemption applies.   
In response to parts 1 and 2 of your request, we can neither confirm nor deny 
that we hold information described in your request. This is in accordance with the 
provisions of section 30(3) of FOIA. I will explain a little further about the 
application of section 30 of FOIA: 
Section 30(1) states that: 
“Information held by a public authority is exempt information if it has at any time 
been held by the authority for the purposes of-  
(a)  any investigation which the public authority has a duty to conduct with a 

view to it being ascertained-   
whether a person should be charged with an offence, or  
(ii)  whether a person charged with an offence is guilty of it,  
(b)  any investigation which is conducted by the authority and in the 

circumstances may lead to a decision by the authority to institute criminal 
proceedings which the authority has power to conduct, or  
(c)  any criminal proceedings which the authority has power to conduct.” 

Furthermore, section 30(3) provides that: 
“The duty to confirm or deny does not arise in relation to information which is (or 
if it were held by the public authority would be) exempt information by virtue of 
subsection (1) or (2).” 
It is likely that, if proven, an offence under the DPA may have been committed. 
Consequently, any information held by the ICO would satisfy at least the 
requirement at section 30(1)(a)(i) and (ii), and 30(1)(b) as it would be held for 
the purposes of an investigation to ascertain whether a person should be 
prosecuted for an offence under the DPA. 
It then fol ows that the duty to confirm or deny that this information is held does 
not arise, by virtue of the provisions of section 30(3). 
Section 30 is not an absolute exemption, however, and the duty to confirm or 
deny depends on the balance of the public interest. It is our view that the 

balance of the public interest supports the use of the provision to neither confirm 
nor deny that the requested information is held. This is because disclosure under 
FOIA is disclosure to the wider world, and if the ICO were to reveal that it was 
conducting an investigation about a named organisation, that might alert the 
organisation and enable it to take steps to frustrate the ICO’s investigations.  
It is also necessary to adopt a consistent approach to our response to requests 
for information about such matters, in the public interest, because any 
inconsistency could lead to inferences being made about that response, but also 
could inadvertently lead to conclusions being drawn about other ‘neither confirm 
nor deny’ (NCND) responses. 
In simple terms, if the ICO adopted a general policy of neither confirming nor 
denying that it held information in the same or similar circumstances to those in 
this case, then if it occasionally departed from that policy and denied that it held 
information, this might enable parties to infer that in previous NCND responses, 
the information was more likely to have been held. Furthermore, the occasional 
confirmation that information was held could enable conclusions to be drawn 
about other NCND responses, for example where the information was of a 
broadly similar nature and, if held for one, would have been likely to be held for 
the other. 
The risk is that a confirmation or denial which in itself appears benign, could 
enable somebody to deduce whether information was in fact held or not in other 
circumstances, where an NCND response had been given, and where that 
deduction could itself prejudice the investigations and proceedings undertaken by 
the ICO. 
Unfortunately, therefore, it is our view that, irrespective of the specific public 
interest in transparency in any individual case, the importance of maintaining the 
integrity of the NCND responses, past and present, is of the greater public 
interest. Combine this with the public interest which applies to the present 
circumstances and I trust it wil  be clear why our response in the present case 
must be to neither confirm nor deny that the information you have requested is 
held by the ICO. 
For the avoidance of doubt, therefore, nothing in the above should be taken as 
being either confirmation or denial that the ICO holds information about the 
organisations you describe in your request. 
In respect of part 3 of your request, I can confirm that I have consulted with 
relevant col eagues around the organisation and there is no information held. 

This concludes our response to your request. 
Next steps 
If you are dissatisfied with our under the FOIA or wish to complain about how 
your request has been handled please write to the Information Access Team at 
the address below or email 
A request for internal review should be submitted to us within 40 working days of 
receipt by you of this response. Any such request received after this time wil  
only be considered at the discretion of the Commissioner.   
If having exhausted the review process you are not content that your request or 
review has been dealt with correctly, you have a further right of appeal to this 
office in our capacity as the statutory complaint handler under the legislation. To 
make such an application, please write to our FOI Complaints & Appeals 
Department at the address below or visit our website if you wish to make a 
complaint under the Freedom of Information Act. 
A copy of our review procedure can be accessed from our website 
Your rights 
Our privacy notice explains what we do with the personal data you provide to us 
and what your rights are, with a specific entry, for example, for an information 
requester. Our retention policy can be found here.  
Yours sincerely 
Jessica Lalor 
Senior Information Access Officer 
Risk and Governance Department 
Corporate Strategy and Planning Service 
T. 0330 414 6497 F. 01625 524510