Boete wegens cumulatie functies DPO en afdelingshoofd – Samenvatting en aandachtspunten

Boete wegens cumulatie functies DPO en afdelingshoofd – Samenvatting en aandachtspunten
May 7, 2020 Blogger

Op 28 april 2020 oordeelde de Belgische gegevensbeschermingsautoriteit (hierna “GBA”) dat de cumulatie van de functie van Data Protection Officer (“DPO” of “functionaris voor de gegevensbescherming”) met een functie als afdelingshoofd onder toezicht van de DPO niet onafhankelijk kan gebeuren. De GBA beschouwt dit als een ernstige nalatigheid en legt de betrokken onderneming een administratieve boete op van 50.000 euro en een bevel om de verwerking met de AVG in overeenstemming te brengen.

Hieronder vatten we de beslissing voor u samen en geven we enkele concrete aandachtspunten mee.

Op 11 juli 2019 werd de zaak aanhangig gemaakt bij de Inspectiedienst van de GBA. De aanleiding hiervoor was een inbreuk in verband met persoonsgegevens (hierna “gegevenslek”) bij de verweerder, een onderneming die op zeer grote schaal potentieel gevoelige persoonsgegevens (meer specifiek telecommunicatiegegevens) verwerkt die een regelmatige en stelselmatige observatie van miljoenen personen mogelijk maken.         Zo had de verweerder een aantal uitnodigingen naar een foutieve selectie van e-mailadressen gestuurd waardoor de verkeerde ontvangers toegang kregen tot bepaalde persoonsgegevens van klanten.

Belangenconflict in hoofde van de DPO

In het kader van het onderzoek door de GBA bleek evenwel ook dat de DPO van de verweerder tegelijk de functie van directeur audit, risk en compliance bij de verweerder vervulde.  Door het cumuleren in hoofde van eenzelfde fysieke persoon van de functie van verantwoordelijke voor elk van de drie betreffende departementen afzonderlijk enerzijds en de functie van DPO anderzijds, ontbreekt volgens de GBA voor elk van deze drie departementen mogelijks een onafhankelijk toezicht door de DPO. De vereiste onafhankelijkheid van de DPO is nochtans een basisvereiste onder de Algemene Verordening Gegevensbescherming (“AVG”) en de verweerder had zich hier sinds de inwerkingtreding in mei 2016 grondig op moeten voorbereiden.

Het bestaan van een dergelijk belangenconflict, bij gebrek aan onafhankelijkheid, is volgens de GBA niet beperkt tot de gevallen waar een persoon intern “het doel en de middelen” van de verwerking bepaalt. Belangenconflicten moeten steeds geval per geval worden beoordeeld. Zo voert de persoon in kwestie, bovenop zijn (louter) adviserende rol als directeur van audit, risk en compliance volgens de GBA immers ook taken uit die een “aanzienlijke operationele verantwoordelijkheid inhouden voor gegevensverwerkingsprocessen” binnen de domeinen audit, risk en compliance. De verweerder bleek bovendien onvoldoende interne maatregelen te hebben genomen om dit belangenconflict in de praktijk te vermijden.

Uitholling DPO functie ter discussie

Daarnaast onderzocht de GBA of de DPO voldoende werd betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens (zoals opgelegd door artikel 38, lid1 AVG), waaronder inbreuken in verband met persoonsgegevens. De interpretatie van de “betrokkenheid” van de DPO door de verweerder wees er volgens de GBA op dat hij enkel werd ‘geïnformeerd’ en niet ‘geconsulteerd’. Door de betrokkenheid van de DPO te herleiden tot hem louter (achteraf) informeren over een beslissing, wordt zijn functie volgens de GBA uitgehold. In de praktijk bleek evenwel dat de DPO toch voldoende werd betrokken en dat de AVG op dit punt niet geschonden was.

Concrete aandachtspunten voor uw onderneming:

  • Vraag deskundige kennis – Bij het aanwerven van een functionaris voor gegevensbescherming moet gevraagd worden naar de kennis van het gegevensbeschermingsrecht van de betrokken kandidaat, zelfs wanneer u met een DPO-bureau werkt.

 

  • Zekerheid van de expertise van de (beste) kandidaat – Indien u er niet zeker van bent dat de expertise van de (beste) kandidaat aanwezig is, vergelijk dan het risico in uw geval van i) de zoektocht voort te zetten of (ii) hem/ haar in dienst te nemen en de DPO te dwingen die expertise op korte/ middellange termijn te verbeteren.

 

  • Zorg dat uw DPO voldoende betrokken is – De DPO moet naar behoren en tijdig worden betrokken (dwz. Worden geïnformeerd én geconsulteerd) bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens, waaronder het risicobeoordelingsproces bij gegevenslekken, of er “waarschijnlijk sprake is van een hoog risico voor de rechten en vrijheden van de betrokkenen” waardoor de melding conform de AVG vereist is (artikel 34 1. AVG). De DPO moet evenwel enkel worden geïnformeerd over het resultaat van de risicobeoordeling, bv. of het gegevenslek daadwerkelijk gemeld wordt door de vertegenwoordigers binnen het team of departement dat verantwoordelijk is voor de geaffecteerde diensten of klanten.

 

  • Vermijd belangenconflicten: zorg dat uw DPO autonoom kan handelen – De DPO kan wel degelijk andere interne taken en plichten vervullen zo lang de verwerkingsverantwoordelijke of de verwerker ervoor zorgt dat deze taken of plichten niet tot een “belangenconflict” leiden, hetgeen nauw samenhangt met het feit dat de DPO “autonoom” moet kunnen handelen:
    • Zo mag de DPO binnen zijn organisatie geen functie bekleden waarbij hij ook het doel en de middelen voor de verwerking van persoonsgegevens bepaalt, bijvoorbeeld wanneer hij tevens, in zijn hoedanigheid van “head of marketing”, beslist welke persoonsgegevens verzamelt en gelinkt worden met oog op profilering.
    • Belangenconflicten in hoofde van de DPO kunnen echter ook in andere gevallen ontstaan, bijvoorbeeld de vertrouwensfunctie van de DPO in het gedrang komt doordat hij op grond van zijn interne auditfunctie tevens het functioneren van werknemers moet beoordelen.

 

  • Pas volgende best practices toe – Afhankelijk van de activiteiten, de grootte en de structuur van de organisatie kunnen volgende zaken voor verwerkingsverantwoordelijken of verwerkers een goede praktijk zijn:
    • Identificeer concreet de interne posities die incompatibel kunnen zijn met de functie van DPO.

De GBA hanteert de vuistregel dat binnen de organisatie als functies met een belangenconflict worden beschouwd: functies in het hogere management (bv. Chief Executive, Chief Operating, Chief Financial, Chief Medical Officer, hoofd van de marketingafdeling, hoofd van Human Resources of hoofd van de IT-afdeling), maar ook lagere functies binnen de organisatiestructuur als deze personen de doelstellingen van en middelen voor de verwerking van gegevens moeten bepalen.

    • Stel interne policies op (en pas ze ook toe) om belangenconflicten te vermijden.
    • Zorg ervoor dat de vacature voor de positie van DPO of de dienstverleningsovereenkomst voldoende gepreciseerd, gedetailleerd en afgelijnd is van eventueel andere interne posities.

 

  • Overweeg een externe DPO – Uit bovenstaande overwegingen leiden we af dat een interne DPO wel degelijk mogelijk en haalbaar blijft, maar dat dit goed overwogen en gedocumenteerd moet worden. Daarnaast moeten ook “de nodige waarborgen” geboden worden om een belangenconflict in de praktijk te vermijden (een zuiver theoretische policy is onvoldoende).

De GBA is bovendien zeer “ruim” in haar stelling (die overigens letterlijk door haar voorzitter werd geciteerd bij aankondiging van de beslissing) dat de rol van verantwoordelijke van een departement niet te rijmen valt (volgens deze bewoording dus in elk geval) met de functie van een DPO die zijn taken onafhankelijk moet kunnen uitvoeren.

Deze ruime stellingname door de GBA, de vaak complexe afweging en vereiste praktische maatregelen om een belangenconflict in de praktijk te vermijden, brengen ongetwijfeld veel ondernemingen met interne DPO’s in een onzekere en riskante positie. De aanstelling van externe DPO’s biedt in veel gevallen dus meer zekerheid en verdient dan ook de aanbeveling.