DPO met belangenconflict? Dat is dan € 50.000 …

De GDPR is intussen bijna twee jaar in werking.  Een jammere vaststelling blijft dat héél wat bedrijven nog niet of niet voldoende compliant zijn.
Bij bedrijven die wél al het nodige gedaan hebben, is één van de maatregelen vaak geweest het aanstellen van een DPO, of Data Protection Officer of ook nog in mooi Nederlands de Functionaris voor Gegevensbescherming. Het is precies rond die rol van DPO dat er nog heel wat onduidelijkheid bestaat bij bedrijven.  Een nog zeer recente beslissing van de Gegevensbeschermingsautoriteit brengt alvast wat verduidelijking nu. Let vooral op dat je interne DPO geen belangenconflict heeft! 

dpo_belangenconflict

Interne of externe DPO?

De GDPR voorziet de mogelijkheid om een DPO zowel intern binnen je bedrijf als via een externe consultant aan te stellen. Vele ondernemingen kiezen voor de interne versie en duiden een van hun personeelsleden aan om een DPO-opleiding te gaan volgen, bijvoorbeeld bij Data Protection Institute, waar de advocaten van Sirius Legal geregeld ook als lesgever fungeren. Die DPO-klassen zijn vaak een kleurrijk allegaartje van personen uit verschillende sectoren met verschillende professionele achtergronden en iedereen heeft zijn reden om zo’n opleiding te volgen: instructies van de werkgever, bijkomende verantwoordelijkheid als security en/of risk manager, gezonde nieuwsgierigheid of als zelfstandige nakijken wat je zelf in orde moet brengen, dan wel welke nieuwe opportuniteiten in het verschiet liggen.

Het voordeel van een eigen DPO binnen je bedrijf, is natuurlijk in de eerste plaats de doorgedreven kennis van de organisatie zelf.   De keuze om iemand intern aan te duiden is dan ook vaak snel gemaakt.  Er lijken op het eerste zicht immers niet veel bijkomende vereisten te zijn. Er bestaan -voorlopig althans- geen officiële diploma’s en de facto kan iedereen deze functie op zich nemen zolang deze persoon aan een aantal minimale vereisten voldoet (kennis van nationale en Europese wetten en praktijken op het gebied van gegevensbescherming, kennis van het bedrijf of van bedrijfsprocessen en voldoende onafhankelijkheid ten aanzien van het bedrijf en ten aanzien van de gegevensverwerking binnen het bedrijf zijn de belangrijkste).

Maar is het altijd een goede beslissing om een van je personeelsleden aan te duiden als DPO of zijn er toch redenen om een externe professional in te huren?   

Iedereen DPO…?

In een beslissing van 28 april 2020 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit de onafhankelijkheid en de essentiële rol van de DPO nog eens op scherp gesteld. De beslissing helpt ons om beter in te schatten wat de rol, de taken en de verantwoordelijkheden van een DPO precies zijn.

In de betrokken organisatie bekleedt de aangestelde interne DPO ook een verantwoordelijke positie in het Compliance departement, het Risk departement en het Interne Audit departement. Aangezien hij hoofd was van Interne Audit had hij in die hoedanigheid ook beslissingsrecht. Volgens de Geschillenkamer was hier sprake van een belangenconflict, waarbij zij benadrukt dat er een verschil is tussen louter processen analyseren en via interne audit het functioneren van werknemers beoordelen,  hetwelk op gespannen voet staat met de vertrouwensfunctie die de functionaris voor gegevensbescherming heeft binnen de onderneming

De DPO bepaalt met andere woorden vanuit zijn andere functies (mee) “de doelstellingen van en de middelen voor de verwerking van persoonsgegevens”. Op die manier kan hij als DPO onmogelijk onafhankelijk toezicht uitoefenen op de omgang met persoonsgegevens en zijn bovendien de geheimhouding en de vertrouwelijkheid ten aanzien van de personeelsleden onvoldoende gegarandeerd.

De onafhankelijkheid van de DPO en het absoluut vermijden van belangenconflicten wordt met deze beslissing nog eens herhaald met de verwijzing naar de richtsnoeren van de WP29  (het vroegere Europese adviesorgaan rond gegevensbescherming) waar letterlijk staat dat de DPO geen functie mag bekleden die de doelstellingen van en de middelen voor de verwerking van persoonsgegevens kan bepalen. Als  vuistregel  worden  binnen  de  organisatie  als  functies  met  een  belangenconflict  beschouwd: functies  in  het  hogere  management  (bv.  Chief  Executive,  Chief  Operating,  Chief  Financial,  Chief  Medical  Officer,  hoofd  van  de  marketingafdeling,  hoofd van Human Resources of hoofd van de IT-afdeling), maar ook lagere functies binnen de organisatiestructuur als deze personen  de  doelstellingen  van  en  middelen  voor  de  verwerking  van  gegevens  moeten  bepalen.  

De WP29 stelt als goede praktijk dat elke organisatie afhankelijk van haar activiteiten, haar grootte en haar structuur om:

  • de functies die een belangenconflict opleveren, te identificeren;
  • daartoe interne regels op te stellen;
  • een meer algemene uitleg over belangenconflicten op te nemen;
  • te verklaren dat hun DPO geen belangenconflict heeft, als een manier om anderen voor deze vereiste van onafhankelijkheid te sensibiliseren;
  • in het intern reglement waarborgen op te nemen en ervoor te zorgen dat de vacature voor de positie van functionaris voor gegevensbescherming of de dienstverleningsovereenkomst voldoende gepreciseerd en gedetailleerd is om belangenconflicten te vermijden.

De prijs van een DPO belangenconflict: sanctie door de GBA

Aangezien de betrokken DPO wel degelijk een belangenconflict had, werd de organisatie naast de corrigerende maatregel om zich terug in regel te stellen met de GDPR, ook een administratieve geldboete opgelegd van 50.000 Euro

De Geschillenkamer hield bij de begroting van de geldboete rekening met de verwerking van persoonsgegevens als kernactiviteit op zeer grote schaal, waaronder persoonsgegevens die een grote mate van gevoeligheid kunnen hebben voor betrokkenen, onder meer omdat ze een regelmatige en stelselmatige observatie mogelijk maken. Ook werd rekening gehouden met de duur van de inbreuk die minstens liep sedert de inwerkingtreding tot 14 februari 2020 (datum hoorzitting).

Dan maar een externe aanstelling?

De aanstelling van een interne DPO kan zeer nuttig zijn vanuit organisatorisch en financieel vlak, maar is niet zonder risico. In een interne verhouding is het niet eenvoudig om te kunnen spreken van voldoende onafhankelijkheid, zij het de uitsluiting van een belangenconflict. Stel je een werknemer in dienstverband aan, dan blijft hoe dan ook de gezagsverhouding werkgever-werknemer spelen. Een loutere ‘papieren’ DPO is strijdig met de GDPR, gelet op de essentiële taken die de DPO moet kunnen uitoefenen. Een onafhankelijke DPO daarentegen die radicaal tegen de beleidslijnen van de werkgever durft ingaan, riskeert op termijn sancties zoals het mislopen van promoties of zelfs ontslag. Er geldt weliswaar een sociale bescherming voor dit ontslag, maar het is nooit uitgesloten dat daar in realiteit op creatieve wijze rondgefietst wordt. Gaat het anderzijds om de aanstelling van een interne DPO die niet meer onder de gezagsrelatie valt, dan komt men bij de gebruikelijke functies al snel in het vaarwater van het kunnen bepalen van de doelstellingen van en middelen voor de persoonsgegevens.

Om die reden is het een goede overweging om een externe DPO of op zijn minst een externe ondersteunende DPO-dienst aan te stellen. De onafhankelijkheid wordt beter gewaarborgd en het risico op belangenconflicten kan tot een minimum worden herleid. Bovendien heb je de mogelijkheid om profielen aan te spreken die aan alle criteria voor een DPO voldoen, namelijk:

  • Niveau van deskundigheid afhankelijk van de gevoeligheid en complexiteit van de gegevens 
  • Professionele kwaliteiten: grondige kennis van de wetgeving en praktijken met betrekking tot databescherming. Dit vraagt om een sterk juridisch profiel voor een correcte analyse
  • Vermogen om zijn taken te vervullen: tonen van integriteit en professionele ethiek

De DPO-advocaat als absolute garantie

Niet ontoevallig hebben ook advocaten de mogelijkheid om (enkel) op te treden als extern DPO. De beroepsvereisten van een DPO liggen volledig in lijn met de deontologische verplichtingen die een advocaat moet volgen. Art. 1 van de Codex deontologie zegt letterlijk: ‘De advocaat oefent zijn beroep op deskundige wijze uit met eerbiediging van het beroepsgeheim, van de essentiële plichten van onafhankelijkheid en partijdigheid, en met het vermijden van belangenconflicten. Hij eerbiedigt de beginselen van waardigheid, rechtschapenheid en kiesheid, die aan het beroep ten grondslag liggen.’

Laat dat nu net de DPO-beginselen van deskundigheid, integriteit, vertrouwelijkheid, onafhankelijkheid en het vermijden van belangenconflicten zijn die bovendien tuchtrechtelijk gegarandeerd worden. De Codex voorziet expliciet dat de tuchtregels van toepassing blijven wanneer de advocaat als DPO optreedt. De DPO-advocaat is dus onderworpen aan een eigen toezichtsorgaan.

Bovendien zijn advocaten verplicht verzekerd voor hun aansprakelijkheid, ook wanneer zij als DPO optreden. 

Sirius Legal als DPO?

Ook bij Sirius Legal treden we al sinds de inwerkingtreding van de AVG op als extern DPO voor onze cliënten.

Sirius Legal verzamelt advocaten die reeds jarenlang op deskundige wijze omgaan met databescherming, waarbij zij zowel optreden als extern DPO als ondersteuning bieden aan interne DPO’s bij het uitschrijven van onafhankelijke en onderbouwde adviezen. 

Ons team bestaat uit verschillende opgeleide DPO’s en wij geven zélf sinds ruim 2 jaar les aan toekomstige DPO’s via Data Protection Institute.
Neem gerust eens een kijkje op onze DPO services pagina

Naast DPO-opdrachten en ad hoc bijstand aan interne DPO’s kan je bij Sirius Legal overigens terecht voor allerlei specifieke diensten inzake databescherming:

  • Crisishulp bij datalekken
  • Data Protection Impact Assessments op nieuwe software of nieuwe verwerkingen
  • Volledige GDPR compliance trajecten
  • Specifieke GDPR compliance oefeningen voor marketing- of HR-departementen of voor webshops en webplatformen
  • Hulp bij gegevensuitwisseling en data-export
  • Vaste vertegenwoordiger in de EU voor niet-EU verantwoordelijken

Wil je meer weten over de mogelijkheden, neem dan gerust even vrijblijvend contact op met roeland@siriuslegal.be