ella
In haar beslissing van 28 april 2020 legde de Gegevensbeschermingsautoriteit (GBA) een hoge boete op aan een onderneming die haar directeur Audit, Risk & Compliance had aangesteld als Data Protection Officer (DPO of functionaris voor gegevensbescherming).
De GBA is van mening dat die combinatie van taken aanleiding geeft tot een belangenconflict en zo indruist tegen de Algemene Verordening Gegevensbescherming (AVG of GDPR).
Door de cumulatie van de functie van verantwoordelijke voor de drie departementen Audit, Risk & Compliance enerzijds en de functie van DPO anderzijds, ontbrak volgens de GBA voor deze afdelingen een onafhankelijk toezicht door de DPO.
Deze ruime interpretatie van de GBA brengt ondernemingen met een interne DPO in een onzekere positie. De uitspraak van de GBA maakt in elk geval duidelijk dat het aanduiden van een interne DPO weloverwogen moet gebeuren en dat de onderneming dit goed moet documenteren.
Juridische inhoud
1. Ter herinnering
De Algemene Verordening Gegevensbescherming (AVG) heeft de functie van Data Protection Officer (DPO) in het leven geroepen.
De DPO vervult een sleutelrol in het gegevensbeheer. Hij ziet toe op de gegevensverwerkingen binnen de onderneming.
De Europese werkgroep ‘Artikel 29’ heeft de taken en vereiste kwaliteiten van een DPO verder verduidelijkt in richtlijnen. Deze kan u hier raadplegen.
Een DPO moet onafhankelijk zijn en kan zowel een externe als interne persoon zijn binnen een onderneming.
De AVG laat uitdrukkelijk toe om intern een DPO aan te duiden die ook andere taken en functies vervult. Maar enkel op voorwaarde dat daardoor geen belangenconflict ontstaat.
De richtlijnen verduidelijken dat een DPO binnen de onderneming geen positie mag hebben waarin hij de doelstellingen en de middelen voor het verwerken van persoonsgegevens moet bepalen.
Voorbeelden van functies met een belangenconflict zijn volgens de werkgroep onder meer de zaakvoerder en het hoofd van de IT-afdeling.
2. Uitspraak van de GBA: belangenconflict
In haar beslissing van 28 april 2020 veroordeelde de Gegevensbeschermingsautoriteit (GBA) een onderneming die haar directeur Audit, Risk & Compliance had aangesteld als DPO.
De GBA oordeelde dat er sprake was van een belangenconflict en dat men in de onderneming onvoldoende interne maatregelen genomen had om dit belangenconflict in de praktijk te vermijden.
Door de cumul van de functie van verantwoordelijke voor deze drie departementen enerzijds en de functie van DPO anderzijds ontbrak volgens de GBA voor deze afdelingen een onafhankelijk toezicht door de DPO.
Door zijn compliance- en auditfuncties had deze persoon bovenop zijn adviserende rol als directeur een aanzienlijke operationele verantwoordelijkheid binnen de drie departementen.
Hierdoor kon hij het doel en de middelen van de verwerking van persoonsgegevens in het kader van deze functies bepalen.
Volgens de GBA is dit onverenigbaar met de functie van DPO. Deze moet te allen tijde in staat zijn om zijn taken onafhankelijk uit te voeren.
De GBA voegt hieraan toe dat deze cumulatie van functies ook kan leiden tot onvoldoende garantie van geheimhouding en vertrouwelijkheid ten aanzien van het personeel.
3. Strategisch Plan 2020-2025: aandacht voor rol DPO
In haar Strategisch Plan 2020-2025 kondigde de GBA al aan dat ze de komende jaren wil inzetten op drie specifieke domeinen, waaronder de rol van de DPO.
Ze wil de entiteiten identificeren die een DPO hebben aangewezen, maar deze persoon niet de mogelijkheid bieden te handelen in overeenstemming met het wettelijk kader.
4. Conclusie
De GBA gaat in deze beslissing verder dan de richtlijnen van de ‘Artikel 29’ werkgroep. Ze oordeelt dat de rol van departementsverantwoordelijke niet te combineren is met de functie van een DPO. Deze laatste moet zijn taken onafhankelijk kunnen uitvoeren.
Deze ruime interpretatie van de GBA brengt ondernemingen met een interne DPO in een onzekere positie.
De verweerder heeft deze beslissing van de GBA niet verder betwist. Het is dus wachten op een ander gelijkaardig geval waar de partij de beslissing wel zou aanvechten.
Op basis van de beslissing van de GBA lijkt het voor een onderneming het veiligst om te kiezen voor een externe DPO. Maar dit zou voorbijgaan aan de Europese richtlijnen van de werkgroep ‘Artikel 29’ en de AVG zelf.
Deze uitspraak van de GBA betekent in elk geval dat ondernemingen die intern een DPO aanduiden dit weloverwogen moeten doen en goed moeten documenteren.
De DPO mag binnen de onderneming geen functie bekleden waarbij hij ook het doel en de middelen voor de verwerking van persoonsgegevens bepaalt.
Maar belangenconflicten kunnen ook in andere gevallen ontstaan. Zo kan bijvoorbeeld de vertrouwensfunctie van de DPO in het gedrang komen wanneer hij door zijn interne auditfunctie ook het functioneren van werknemers moet beoordelen.
De werkgroep adviseert in haar richtlijnen dat het een goede praktijk kan zijn om:
de posities te identificeren die niet compatibel kunnen zijn met de functie van DPO;
interne regels op te stellen om belangenconflicten te vermijden;
een meer algemene uitleg over belangenconflicten op te nemen;
te verklaren dat de DPO geen belangenconflict heeft in zijn functie, om zo anderen voor deze vereiste te sensibiliseren;
in het huisreglement waarborgen op te nemen en ervoor te zorgen dat de vacature voor de positie DPO of de dienstverleningsovereenkomst voldoende gepreciseerd en gedetailleerd is om belangenconflicten te vermijden.
