GDPR-boete van 50.000 euro wegens belangenconflict van de interne DPO

De Gegevensbeschermingsautoriteit is van oordeel dat de functie interne functionaris gegevensbescherming (DPO) in combinatie met een functie hoofd van Interne Audit, Compliance Management en Risk Management een belangenconflict uitmaakt. Proximus werd veroordeeld tot een boete van 50.000 euro en heeft zich neergelegd bij deze beslissing.



Wat is een DPO?


De Data Protection Officer (hierna DPO) ofwel functionaris gegevensbescherming fungeert als een onafhankelijk adviesorgaan van een onderneming of overheidsinstantie. Hij ziet toe op de naleving van de GDPR-richtlijn binnen de onderneming. De DPO draagt bij tot de verantwoordingsplicht en is de contactpersoon ten aanzien van de toezichthoudende autoriteit en de betrokkenen.


Wil je meer lezen over wat een DPO precies is en waarom een DPO aanstellen een goed idee is? Neem dan zeker eens een kijkje op de pagina's door op de links te klikken!


Wanneer moet ik een DPO aanstellen?


Het is verplicht om een DPO aan te stellen in volgende gevallen: – Voor overheidsinstanties en dienstverleners van overheidsinstanties die voor de overheden persoonsgegevens verwerken – Indien er op regelmatige en stelselmatige manier een observatie op grote schaal gebeurt van betrokkenen – Indien er op grote schaal gevoelige persoonsgegevens worden verwerkt (bvb gezondheidsgegevens, strafrechtelijke gegevens, gegevens die betrekking hebben op geloofsovertuiging, sexuele geaardheid, lidmaatschap bij vakbond,…)


Zodra er veel persoonsgegevens verwerkt worden in het kader van de hoofdactiviteit (onderneming met een webshop, IT onderneming, software-ontwikkelaar), in het kader van marketingcampagnes, of er gevoelige persoonsgegevens verwerkt worden (ook al gebeurt deze verwerking niet op grote schaal), is het nuttig om een DPO aan te stellen die een onderneming kan bijstaan in het voldoen aan haar verplichtingen tegenover de GDPR.


Op deze pagina vind je meer informatie over wanneer ondernemingen een DPO moeten aanstellen.


Wie kan als DPO aangesteld worden?


Vooreerst moet een DPO worden aangeduid op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming, alsook zijn vermogen om wettelijke taken te vervullen. Een DPO kan zowel een interne als een externe persoon zijn binnen een onderneming.


Een DPO moet onafhankelijk zijn. In geen geval mag er een belangenconflict bestaan tussen de verwerkingsverantwoordelijke en de DPO. De Groep 29 (adviesorgaan met alle 29 EU- lidstaten inzake GDPR) heeft in haar richtlijn voor functionarissen van gegevensbescherming bepaald dat de DPO geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen.

Iemand met beslissingsbevoegdheid binnen een (afdeling van een) onderneming kan geen DPO zijn

Het is aldus uitgesloten om als zaakvoerder of aandeelhouder de functie van DPO uit te voeren binnen een onderneming. Ook kan het hoofd IT of juridische dienst deze functie niet uitvoeren.


De beslissing van de GBA gaat thans verder en stelt dat een hoofd van een departement binnen een onderneming geen functie van DPO kan uitvoeren. Zodra een persoon beslissingsmacht heeft binnen de onderneming of binnen een departement van de onderneming is er sprake van een belangenconflict.


In haar verdediging haalt Proximus aan dat er zich geen probleem van verenigbaarheid stelt daar de Audit, Compliance en Risk rollen die de DPO eveneens uitvoert slechts beperkte risico’s van belangenconflicten inhouden, omdat zij “adviserende” functies hebben en geen beslissingsbevoegdheid hebben met betrekking tot verwerkingsactiviteiten.


De GBA volgt deze redenering niet en stelt dat door het cumuleren in hoofde van eenzelfde fysieke persoon van de functie van verantwoordelijke voor elk van de drie betreffende departementen afzonderlijk enerzijds en de functie van DPO anderzijds, ontbreekt voor elk van deze drie departementen enig mogelijk onafhankelijk toezicht vanwege de functionaris voor gegevensbescherming.


Conclusie


Veel ondernemingen hebben een DPO aangeduid die eveneens andere functies uitvoert binnen deze onderneming. Daar het reeds duidelijk was dat niet de zaakvoerder of een lid van de juridische dienst of IT-dienst kon aangeduid worden als DPO, werd bij een interne invulling veelal de rol toebedeeld aan de persoon die instaat voor compliance en veiligheid binnen de onderneming.


Dit kan dus niet volgens de GBA en maakt eveneens een belangenconflict uit dat kan leiden tot GDPR-boetes.


Wat kan Mr.Franklin voor jou betekenen?


Wil je na het lezen van dit artikel een data protection officer aanstellen? Informatie rond DPO as a service en onze diensten kun je op deze pagina terugvinden. Mr.Franklin staat je graag bij als DPO-expert.


#DPO #GDPR