GBA beslist: afdelingshoofd mag functie niet combineren met DPO-rol
De beslissing van de GBA
Achtergrond
De zaak waar de GBA in haar beslissing van 28 april 2020 een uitspraak over doet, werd aanhangig gemaakt naar aanleiding van een gegevenslek bij de verweerder: een reeks uitnodigingen om over te schakelen van een papieren factuur naar een elektronische factuur belandden niet bij de correcte klant maar bij administratieve of technische contactpersonen voor deze klant. Wanneer de GBA hiervan op de hoogte wordt gebracht, beslist zij om de aanpak van gegevenslekken door de verweerder verder te laten onderzoeken. De Geschillenkamer van de GBA onderzoekt in deze beslissing vier mogelijke inbreuken, maar moet voor drie van de vier vaststellen dat er geen sprake is van een inbreuk.
Belangenconflict DPO
De laatste vermeende inbreuk die door de Inspectiedienst wordt opgeworpen is echter erg relevant en betreft de positie van de DPO (art. 38 AVG). De DPO van de verweerder is naast DPO ook hoofd van meerdere departementen binnen de onderneming.
Artikle 38 (6) GDPR. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden. |
Richtlijnen belangenconflict
De Geschillenkamer verwijst in haar beoordeling naar de Richtlijnen van de WP29 voor functionarissen voor gegevensbescherming die stellen dat de DPO binnen de organisatie geen functie kan bekleden waarbij hij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen.
DPO’s kunnen binnen een organisatie andere taken op zich kunnen nemen dan louter de (wettelijke) taken van de DPO. De organisatie moet er echter voor zorgen dat deze taken of plichten niet tot een belangenconflict leiden. Dit is iets dat geval per geval moet worden beoordeeld. Als vuistregel worden bepaalde functies als een belangenconflict beschouwd, zoals de functies in het hoger management (CEO, CFO, head of HR, head of IT). Maar ook andere functies binnen de organisatie kunnen functies met een belangenconflict zijn wanneer deze de doelstellingen en de middelen voor de verwerking van gegevens bepalen.
Boete
De Geschillenkamer besloot in deze zaak dat er sprake is van een “wezenlijk belangenconflict” omdat “de rol van verantwoordelijke van een departement niet valt te rijmen met de functie van functionaris voor gegevensbescherming die zijn taken onafhankelijk moet kunnen uitvoeren.”
Door het samenvoegen van de functie van afdelingshoofd en de functie van DPO, wat in deze zaak het geval was, ontbreekt volgens de Geschillenkamer voor de desbetreffende departementen elk mogelijk onafhankelijk toezicht door de DPO. De Geschillenkamer besluit dan ook dat er sprake is van een belangenconflict en dat de inbreuk op art. 38.6 AVG is bewezen. De GBA legt hiervoor een administratieve geldboete van €50 000 op.
De verweerder kan tegen deze uitspraak nog in hoger beroep gaan, dus het valt nog af te wachten of deze erg strikte interpretatie van de GBA zal standhouden.
Wat nu met de functie van DPO?
Strikte interpretatie
Dat bepaalde functies uitdrukkelijk worden bestempeld als zijnde niet-verenigbaar met de rol van DPO, heeft ertoe geleid dat vele organisaties die niet van plan waren om een fulltime DPO aan te nemen, het head of compliance/legal aanstelden als DPO, aangezien deze functie niet expliciet werd uitgesloten. De keuze voor het head of compliance/legal als DPO is ook niet zo’n vreemde keuze: het is meestal iemand die wordt geraadpleegd maar geen finale beslissingen neemt m.b.t. de belangrijkste verwerkingsactiviteiten zoals de verwerking van personeelsdata of klantendata. Daarnaast is het ook iemand die, indien deze nog niet volledig vertrouwd was met de wetgeving over gegevensbescherming, zich hier waarschijnlijk wel snel in kan inwerken.
Deze uitspraak van de GBA zet de wettelijkheid hiervan op losse schroeven en zorgt ervoor dat vele organisaties hoge boetes riskeren en “ernstige nalatigheid” kan worden verweten. De GBA lijkt deze uitspraak verder te gaan dan wat wordt bepaald in de richtlijnen van de WP29, door te stellen dat de functie van afdelingshoofd van eender welke afdeling in geen enkel geval te verenigen valt met de functie van DPO. De term belangenconflict wordt heel erg strikt geïnterpreteerd door de GBA met verregaande consequenties.
KMO: Beter geen DPO?
Het is wel duidelijk dat er zich pas een probleem stelt wanneer een DPO officieel is aangesteld als DPO en dus zijn aanstelling ook is medegedeeld aan de GBA. Wanneer men als organisatie niet verplicht is om een DPO aan te stellen maar dit wel doet, valt men binnen het toepassingsgebied en moet men de regels respecteren (o.m. artikel 38 GDPR m.b.t. positie van die DPO).
Kleine ondernemingen en organisaties die niet verplicht zijn om een DPO aan te stellen en dit enerzijds wel willen maar anderzijds moeite hebben om binnen de organisatie iemand te vinden om de functie uit te oefenen die geen C-level functie heeft of geen afdelingshoofd is, kunnen er dus goed aan doen om geen officiële interne DPO te benoemen. Een externe DPO behoort wel nog steeds tot de mogelijkheden.
Wat betekent dit voor uw organisatie?
Betekent dit dat u meteen op zoek moet naar een nieuwe DPO wanneer uw afdelingshoofd de functie van DPO uitoefent? Volgens ons niet. Maar er zijn wel enkele zaken die u best op orde brengt, zoals de opmaak van een beleid of procedure over belangenconflicten en hoe deze te vermijden. Ook kunt u ervoor kiezen om een back-up DPO aan te stellen die de zaken even overneemt wanneer er sprake zou zijn van een belangenconflict.
De WP29 geeft in haar richtlijnen voor DPO’s nog enkele concrete tips mee om belangenconflicten te vermijden en we raden dan ook aan deze zeker in dit beleid op te nemen:
- Identificeer de posities die incompatibel kunnen zijn met de functie van DPO;
- Verklaar t.o.v. de hele organisatie dat de DPO geen belangenconflict heeft in zijn functie als DPO om op deze manier alle medewerkers voor deze vereiste te sensibiliseren;
- Zorg ervoor dat de functieomschrijving van de DPO voldoende gepreciseerd en gedetailleerd is, ook wanneer er hiervoor een (interne) vacature zou worden uitgeschreven.
Heeft u nog vragen over mogelijke onverenigbaarheden met de functie van DPO of met betrekking tot een correct beleid om belangenconflicten te vermijden? Contacteer ons.