Samenvatting van de beslissing
Op 28 april heeft de geschillenkamer van de gegevensbeschermingsautoriteit ( hierna: ‘DPA’[1]) een opvallende beslissing genomen.
De DPA heeft namelijk een boete van 50.000 euro – de hoogste administratieve boete tot nu toe door de Belgische DPA - opgelegd aan een onderneming die haar hoofd van compliance, audit en risico had aangesteld als gegevensbeschermer (hierna: ‘DPO’[2]). Volgens de DPA zou de invulling van beide functies door dezelfde persoon een belangenconflict veroorzaken. Meer specifiek vormt dit een inbreuk op artikel 38.6 van de algemene verordening van gegevensbescherming:
“De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”
Belangenconflict?
Het invullen van de functie DPO in het kader van de GDPR heeft veel ondernemingen doen zweten. De wet verbindt namelijk zeer hoge eisen en verwachtingen aan die functie. Voor veel ondernemingen was het dan ook een ware – quasi onmogelijke - zoektocht om een geschikte kandidaat te vinden. Bijgevolg werd dan ook vaak gekozen om iemand binnen de onderneming aan te duiden als DPO.
Dè vraag is uiteraard wat er onder ‘belangenconflict’ moet begrepen worden. Volgens bepaalde richtsnoeren zal er hiervan sprake zijn wanneer iemand een functie bekleedt binnen de organisatie met als invulling: de doelstellingen en de middelen van de verwerking van persoonsgegevens mee bepalen.
Hierover moet telkens in concreto worden geoordeeld, behalve wanneer het gaat om volgende functies: CEO, COO, Head of Marketing, Head of HR en Head of IT. In dergelijke gevallen zal er sowieso sprake zijn van een belangenconflict.
Het valt dan ook niet te verwonderen dat binnen verscheidene organisaties het hoofd van compliance of het hoofd van de juridische afdeling werd aangeduid als DPO.
Beslissing Belgische DPA
Volgens de DPA heeft de compliance officer een eindverantwoordelijkheid omtrent de verwerking van de persoonsgegevens zodoende zou die persoon niet meer capabel zijn om op onafhankelijke wijze toezicht uit te oefenen op die verwerkingsactiviteiten.
Kritische blik
De Belgische DPA heeft het concept van belangenconflict in casu op zeer strikte wijze geïnterpreteerd. Het loutere feit dat de DPO ook het hoofd is van een afdeling waarover de DPO toezicht moet uitoefenen, was voor de DPA voldoende.
De DPA zag geen middenweg en maakt het met deze beslissing quasi onmogelijk om een DPO aan te duiden binnen de onderneming. Enerzijds zou een DPO die hoger in rang staat een te grote invloed hebben op de aan te wenden middelen en anderzijds zou een DPO lager in rang dan weer te nauw betrokken zijn bij de operationele activiteiten.
Tot slot was er in casu niet eens echt sprake van een belangenconflict. De feiten die namelijk aanleiding hebben gegeven tot deze zaak – een data lek – hadden geen betrekking op de verwerking van data door de compliance officer.
Gevolg voor andere ondernemingen?
De beslissing van de DPA is niet bindend. De beslissing legt dus geen verbod op aan ondernemingen om de functie van DPO te combineren met de functie van head of compliance. Echter, het schept wel een precedent.
Idealiter zou u als onderneming- naast het combineren van de functie van DPO met andere functies – een back-up DPO kunnen voorzien in geval van een zogenaamd belangenconflict.
Uiteraard is dit veel minder vanzelfsprekend voor de kleine onderneming.
[1] Data protection authority
[2] Data protection officer