50.000 euro boete voor DPO met dubbele pet

06/05/2020

FourFive

avg, DPO, GDPR

GDPR

0

DPO ALERT !

In een nogal ontluisterende beslissing van eind april heeft de Belgische Gegevensbeschermingsautoriteit (“GBA”) een onderneming een boete van maar liefst 50.000 EUR opgelegd omdat haar data protection officer (“DPO”) daarnaast ook hoofd was van de afdelingen Audit, Risk en Compliance.

Ter opfrissing, de Algemene Verordening Gegevensbescherming (“AVG”) verplicht ondernemingen om een DPO te benoemen indien:

  • ze verwerkingen uitvoeren die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; en/of
  • ze hoofdzakelijk belast zijn met de grootschalige verwerking van bijzondere categorieën van gegevens (bv. gegevens inzake de gezondheid, politieke opvattingen, strafrechtelijke veroordelingen, etc.).

Ook ondernemingen die hiertoe niet wettelijk verplicht zijn, mogen vrijwillig een DPO aanstellen. Let wel, eenmaal een onderneming vrijwillig een DPO heeft aangesteld, dient zij te voldoen aan de strikte regels inzake DPO’s, waaronder ook de regels inzake belangenconflicten.

De DPO, die zowel een werknemer of externe consultant kan zijn, vervult een informerende en adviserende taak omtrent alle aangelegenheden die verband houden met de bescherming van persoonsgegevens, waaronder de melding van gegevensinbreuken.

Een DPO mag binnen de onderneming ook nog andere taken opnemen, voor zover dit niet resulteert in een belangenconflict. Uit eerdere officiële aanbevelingen blijkt dat een belangconflict zich onder meer voordoet indien de DPO in het kader van zijn/haar andere functie(s) de doelstellingen van en de middelen voor de verwerking van persoonsgegevens zou bepalen. Zo wordt de functie van DPO doorgaans onverenigbaar geacht met leidinggevende functies zoals CEO, COO, CFO, hoofd van de afdeling marketing, HR en IT.

Volgens de GBA is de functie van DPO echter evenmin verenigbaar met de functie van hoofd van Audit, Risk en Compliance.

De GBA lijkt ervan uit te gaan dat het loutere feit dat men leiding geeft aan een departement “onmiskenbaar” inhoudt dat men ook de “doelstellingen en de middelen voor de verwerking van persoonsgegevens” binnen dat departement bepaalt.

De GBA legt ondernemingen bovendien een erg hoge (negatieve) bewijslast op. Het bedrijf in kwestie had reeds een DPO-charter ingevoerd om het risico op belangenconflicten te vermijden en had opgeworpen dat de DPO in zijn andere functies geen individuele beslissingen neemt omtrent werknemers en dat zijn departementen ten aanzien van de overige afdelingen van het bedrijf slechts een adviserende rol spelen en geen beslissingsbevoegdheid hebben met betrekking tot verwerkingsactiviteiten. Hiermee is volgens de GBA echter  “niet […] aangetoond dat de functionaris voor gegevensbescherming die deel uitmaakt van elk van deze departementen en daarin een verantwoordelijke positie bekleedt geen taken uitvoert die onverenigbaar zijn met zijn positie als functionaris voor gegevensbescherming”.

De GBA besluit in algemene bewoordingen dat: “er geen twijfel [bestaat] dat het cumuleren van de functie van functionaris voor gegevensbescherming met een functie als hoofd van een departement waarop de functionaris voor gegevensbescherming toezicht moet uitoefenen, niet kan gebeuren op een onafhankelijke wijze”.

De beslissing van de Belgische GBA heeft verregaande gevolgen voor tal van ondernemingen, in het bijzonder voor KMO’s, aangezien zij doorgaans geen voltijdse DPO aanstellen maar de functie van DPO vaak combineren met deze Compliance Officer of Legal Officer.

Het is duidelijk dat de aanstelling van een DPO een delicate evenwichtsoefening is. We raden bedrijven aan om na te gaan of hun DPO voldoende garanties geniet m.b.t. (zelfs louter hypothetische) belangenconflicten. In bepaalde gevallen kan een externe dienstverlener een oplossing bieden.

Aarzel niet om de auteurs van deze blog te contacteren indien u hierover vragen heeft.

De volledige beslissing kan via volgende link teruggevonden worden: https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf.

Voor de volledigheid merken we op dat de onderneming nog beroep kan aantekenen tegen deze beslissing bij het Marktenhof.

 Auteurs: Noémie Haesaerts & Mathieu Le Boudec

Comments are closed.