Data Protection Officer: onverenigbaar met andere functies in een onderneming? (VBO)

Privacy & Gegevensbescherming | 11 juli 2020

Auteur: Philippe Lambrecht (VBO)

Publicatiedatum: 24/06/2020

In haar beslissing van 28 april 2020 (*) heeft de Belgische Gegevensbeschermingsautoriteit (GBA) een boete van 50.000 euro opgelegd aan een onderneming die haar directeur Audit, Risk & Compliance aangesteld heeft als Data Protection Officer (DPO). De GBA is van mening dat die combinatie van taken tot een belangenconflict leidt en zo indruist tegen de Algemene Verordening Gegevensbescherming (de intussen welbekende GDPR). Die beslissing dreigt nu rechtspraak te worden en een impact te hebben op de aanstelling van de DPO in verschillende ondernemingen.

Even een kleine opfrissing: in het kader van de implementering van de GPDR werd ook de DPO in het leven geroepen. Die vervult een sleutelrol in het hele gegevensbeheer. Zijn takenpakket en vereiste kwaliteiten en vaardigheden worden uiteengezet in de verordening, maar ook verduidelijkt aan de hand van richtsnoeren uitgevaardigd door de Europese werkgroep ‘Artikel 29’.

Vóór de komst van de GPDR bestond de functie van DPO in heel wat lidstaten – waaronder België – gewoonweg niet. Voor veel bedrijven was de aanstelling van een DPO een complexe klus, gezien de werklast en de hoge expertisevereisten, maar ook door de verwachtingen op het vlak van beschikbaarheid en onafhankelijkheid die in de richtsnoeren beschreven staan.

Sommige onder hen hebben dan ook gekozen voor een externe DPO. Heel wat andere ondernemingen besloten om intern een DPO aan te stellen. Vaak opteerden ze voor hun compliance manager of juridisch verantwoordelijke, aangezien hun functie het best leek aan te leunen bij de job als DPO vanwege hun knowhow en aandacht voor dataveiligheid. Bovendien laat de GDPR bedrijven en organisaties uitdrukkelijk toe om intern een DPO aan te duiden die ook andere taken en functies vervult, op voorwaarde dat daardoor geen belangenconflict ontstaat.

In zijn richtsnoeren zegt de werkgroep ‘Artikel 29’ dat er zo’n belangenconflict ontstaat wanneer een DPO binnen de organisatie een positie heeft “die ertoe leidt dat hij het doel van en de middelen voor het verwerken van persoonsgegevens bepaalt”. Derhalve zijn functies zoals CEO, COO en hoofd marketing, HR of IT conflicterende posten.

Belangenconflict of interpretatieconflict?

In haar beslissing van 28 april 2020 gaat de GBA een stap verder. De onderneming werd veroordeeld omdat ze haar directeur Audit, Risk & Compliance had aangesteld als DPO. Voor de GBA was er duidelijk sprake van een belangenconflict. Ze besliste dan ook dat de onderneming meteen een einde moest maken aan het belangenconflict, en bovendien werd ze veroordeeld tot een geldboete van 50.000 euro. Dat is de hoogste boete die de GBA totnogtoe heeft opgelegd.

Die beslissing is voor discussie vatbaar, omdat nu plots verschillende bedrijven en organisaties die voor een interne DPO hebben gekozen, een risico lopen. Hoe het immers eens zijn met de GBA wanneer die meent dat er “sprake is van ernstige nalatigheid” in een bedrijf dat beslist om zijn compliance manager of juridisch verantwoordelijke aan te stellen als DPO, en ze bovendien beweert dat de combinatie van de taak als DPO met die van hoofd van eender welke dienst onderworpen aan de controle van diezelfde DPO, de onafhankelijkheid van die laatste in de weg staat? In haar beslissing gaat de GBA veel verder dan de richtsnoeren van de werkgroep ‘Artikel 29’.

Afgaande op de beslissing van de GBA, wordt het onmogelijk om de rol van DPO te combineren met bepaalde andere functies binnen een organisatie. Bekleedt die DPO immers een te hoge functie, dan bestaat het risico dat men gaat oordelen dat hij of zij eveneens beslist over de doelstellingen en middelen. Vervult de DPO daarentegen daarnaast een te operationele functie, dan is hij of zij te nauw betrokken bij de eigenlijke gegevensverwerking of niet bij machte om rechtstreeks te rapporteren aan de directie.

Welke oplossing?

Aangezien de beslissing van de GBA niet werd betwist voor het Marktenhof, is het wachten op een ander gelijkaardig geval in de hoop dat de GBA haar rechtspraak aanpast.

Het komt erop neer dat bedrijven, afgaande op de beslissing van de GBA, best altijd kiezen voor een externe DPO, zoals een consultant of een advocaat. Dat zou voorbijgaan aan de Europese richtsnoeren en bovendien vaak meer kosten en niet noodzakelijk efficiënter zijn.

Kortom, de beslissing van de GBA is te dogmatisch en geeft blijk van weinig realiteitszin. Ze schept bovendien een verontrustend precedent, ook al gaat het dan om een specifiek geval. Ze mag niet in de weg staan dat een verantwoordelijke van de juridische dienst of een compliance manager als DPO wordt aangesteld. Ze impliceert hoe dan ook, voor alle ondernemingen die beslissen om intern een DPO aan te duiden, om een waterdichte procedure in te stellen voor het behandelen van eventuele belangenconflicten. Laat ons hopen dat de GBA van gedachten verandert in een volgende beslissing. Een belangenconflict is een feitelijke kwestie. Het is niet omdat een DPO instaat voor compliance, interne audit of juridische zaken, dat die loutere combinatie van functies een belangenconflict genereert.