GDPR-boete van 50.000 euro wegens belangenconflict van de interne DPO

De Gegevensbeschermingsautoriteit is van oordeel dat de functie interne DPO in combinatie met een functie hoofd van Interne Audit, Compliance Management en Risk Management een belangenconflict uitmaakt. Proximus werd veroordeeld tot een boete van 50.000 euro en heeft zich neergelegd bij deze beslissing.


Wat is een DPO?

De Data Protection Officer (hierna DPO) ofwel functionaris gegevensbescherming fungeert als een onafhankelijk adviesorgaan van een onderneming of overheidsinstantie. Hij ziet toe op de naleving van de GDPR binnen de onderneming. De DPO draagt bij tot de verantwoordingsplicht en is de contactpersoon ten aanzien van de toezichthoudende autoriteit en de betrokkenen.


Wanneer moet ik een DPO aanstellen?

Het is verplicht om een DPO aan te stellen in volgende gevallen: – Voor overheidsinstanties en dienstverleners van overheidsinstanties die voor de overheden persoonsgegevens verwerken – Indien er op regelmatige en stelselmatige manier een observatie op grote schaal gebeurt van betrokkenen – Indien er op grote schaal gevoelige persoonsgegevens worden verwerkt (bvb gezondheidsgegevens, strafrechtelijke gegevens, gegevens die betrekking hebben op geloofsovertuiging, sexuele geaardheid, lidmaatschap bij vakbond,…)

Zodra er veel persoonsgegevens verwerkt worden in het kader van de hoofdactiviteit (onderneming met een webshop, IT onderneming, software-ontwikkelaar), in het kader van marketingcampagnes, of er gevoelige persoonsgegevens verwerkt worden (ook al gebeurt deze verwerking niet op grote schaal), is het nuttig om een DPO aan te stellen die een onderneming kan bijstaan in het voldoen aan haar verplichtingen tegenover de GDPR.


Wie kan als DPO aangesteld worden?


Vooreerst moet een DPO worden aangeduid op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming, alsook zijn vermogen om wettelijke taken te vervullen.

Een DPO kan zowel een interne als een externe persoon zijn binnen een onderneming.

Een DPO moet onafhankelijk zijn. In geen geval mag er een belangenconflict bestaan tussen de verwerkingsverantwoordelijke en de DPO. De Groep 29 (adviesorgaan met alle 29 EU- lidstaten inzake GDPR) heeft in haar richtlijn voor functionarissen van gegevensbescherming bepaald dat de DPO geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen.

Iemand met beslissingsbevoegdheid binnen een (afdeling van een) onderneming kan geen DPO zijn

Het is aldus uitgesloten om als zaakvoerder of aandeelhouder de functie van DPO uit te voeren binnen een onderneming. Ook kan het hoofd IT of juridische dienst deze functie niet uitvoeren.


De beslissing van de GBA gaat thans verder en stelt dat een hoofd van een departiment binnen een onderneming geen functie van DPO kan uitvoeren. Zodra een persoon beslissingsmacht heeft binnen de onderneming of binnen een departement van de onderneming is er sprake van een belangenconflict.


In haar verdediging haalt Proximus aan dat er zich geen probleem van verenigbaarheid stelt daar de Audit, Compliance en Risk rollen die de DPO eveneens uitvoert slechts beperkte risico’s van belangenconflicten inhouden, omdat zij “adviserende” functies hebben en geen beslissingsbevoegdheid hebben met betrekking tot verwerkingsactiviteiten.


De GBA volgt deze redenering niet en stelt dat door het cumuleren in hoofde van eenzelfde fysieke persoon van de functie van verantwoordelijke voor elk van de drie betreffende departementen afzonderlijk enerzijds en de functie van DPO anderzijds, ontbreekt voor elk van deze drie departementen enig mogelijk onafhankelijk toezicht vanwege de functionaris voor gegevensbescherming.


Conclusie


Veel ondernemingen hebben een DPO aangeduid die eveneens andere functies uitvoert binnen deze onderneming. Daar het reeds duidelijk was dat niet de zaakvoerder of een lid van de juridische dienst of IT-dienst kon aangeduid worden als DPO, werd bij een interne invulling veelal de rol toebedeeld aan de persoon die instaat voor compliance en veiligheid binnen de onderneming.


Dit kan dus niet volgens de GBA en maakt eveneens een belangenconflict uit dat kan leiden tot een boete.


Meer informatie over onze externe DPO-diensten kan u hier vinden of maak vrijblijvend een afspraak.

#DPO #GDPR