Disable Preloader
advies & nieuws

Wanneer heeft een interne DPO een belangenconflict?

Samenvatting van de beslissing

Op 28 april heeft de geschillenkamer van de gegevensbeschermingsautoriteit ( hierna: ‘DPA’[1]) een opvallende beslissing genomen.

De DPA heeft namelijk een boete van 50.000 euro – de hoogste administratieve boete tot nu toe door de Belgische DPA - opgelegd aan een onderneming die haar hoofd van compliance, audit en risico had aangesteld als gegevensbeschermer (hierna: ‘DPO’[2]). Volgens de DPA zou de invulling van beide functies door dezelfde persoon een belangenconflict veroorzaken. Meer specifiek vormt dit een inbreuk op artikel 38.6 van de algemene verordening van gegevensbescherming:

“De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”

Belangenconflict?

Het invullen van de functie DPO in het kader van de GDPR heeft veel ondernemingen doen zweten. De wet verbindt namelijk zeer hoge eisen en verwachtingen aan die functie. Voor veel ondernemingen was het dan ook een ware – quasi onmogelijke - zoektocht om een geschikte kandidaat te vinden. Bijgevolg werd dan ook vaak gekozen om iemand binnen de onderneming aan te duiden als DPO.

Dè vraag is uiteraard wat er onder ‘belangenconflict’ moet begrepen worden.  Volgens bepaalde richtsnoeren zal er hiervan sprake zijn wanneer iemand een functie bekleedt binnen de organisatie met als invulling: de doelstellingen en de middelen van de verwerking van persoonsgegevens mee bepalen.

Hierover moet telkens in concreto worden geoordeeld, behalve wanneer het gaat om volgende functies: CEO, COO, Head of Marketing, Head of HR en Head of IT. In dergelijke gevallen zal er sowieso sprake zijn van een belangenconflict.

Het valt dan ook niet te verwonderen dat binnen verscheidene organisaties het hoofd van compliance of het hoofd van de juridische afdeling werd aangeduid als DPO.

Beslissing Belgische DPA

Volgens de DPA heeft de compliance officer een eindverantwoordelijkheid omtrent de verwerking van de persoonsgegevens zodoende zou die persoon niet meer capabel zijn om op onafhankelijke wijze toezicht uit te oefenen op die verwerkingsactiviteiten.

Kritische blik

De Belgische DPA heeft het concept van belangenconflict in casu op zeer strikte wijze geïnterpreteerd. Het loutere feit dat de DPO ook het hoofd is van een afdeling waarover de DPO toezicht moet uitoefenen, was voor de DPA voldoende.

De DPA zag geen middenweg en maakt het met deze beslissing quasi onmogelijk om een DPO aan te duiden binnen de onderneming. Enerzijds zou een DPO die hoger in rang staat een te grote invloed hebben op de aan te wenden middelen en anderzijds zou een DPO lager in rang dan weer te nauw betrokken zijn bij de operationele activiteiten.

Tot slot was er in casu niet eens echt sprake van een belangenconflict. De feiten die namelijk aanleiding hebben gegeven tot deze zaak – een data lek – hadden geen betrekking op de verwerking van data door de compliance officer.

Gevolg voor andere ondernemingen?

De beslissing van de DPA is niet bindend. De beslissing legt dus geen verbod op aan ondernemingen om de functie van DPO te combineren met de functie van head of compliance. Echter, het schept wel een precedent.

Idealiter zou u als onderneming-  naast het combineren van de functie van DPO  met andere functies – een back-up DPO kunnen voorzien in geval van een zogenaamd belangenconflict.

Uiteraard is dit veel minder vanzelfsprekend voor de kleine onderneming.

[1] Data protection authority

[2] Data protection officer

Contact info
Social nieuws

Copyright © 2017 Webregion. All Rights Reserved

Accepteer Cookies & Privacy Policy?
Onze website gebruikt cookies om u te onderscheiden van andere gebruikers, om een betere ervaring te bieden wanneer u onze website bezoekt en om de prestaties en het nut van onze site te verbeteren. . Daarnaast maken wij ook gebruik van essentiƫle en functionele cookies die noodzakelijk zijn voor de correcte werking van de website. Door op "Cookies aanvaarden" te klikken, aanvaardt u alle cookies. Indien u uw voorkeuren wilt aanpassen, klikt u op "Voorkeuren instellen".
Cookies aanvaarden
Meer informatie
Selecteer welke cookies u wenst te accepteren.
Essentiƫle en functionele
Deze zijn essentieel voor de werking van de site.
Voorkeuren instellen
Cookies gerelateerd aan website bezoeken, browser types, ed.