Moet de Data Protection Officer extern zijn?

25 juni 2020
Moet de Data Protection Officer extern zijn?

Het VBO reageert fel tegen een recente beslissing van de Belgische Gegevensbeschermingsautoriteit (GBA). Die gaf een bedrijf een hoge boete omdat het zijn auditdirecteur als DPO had aangesteld.

“De GBA is van mening dat die combinatie van taken tot een belangenconflict leidt en zo indruist tegen de Algemene Verordening Gegevensbescherming (de intussen welbekende GDPR). Die beslissing dreigt nu rechtspraak te worden en een impact te hebben op de aanstelling van de DPO in verschillende ondernemingen,” schrijft Philippe Lambrecht van het VBO.

Hij gaat terug naar de originele teksten om de beslissing te kaderen. In zijn richtsnoeren zegt de werkgroep ‘Artikel 29’ dat er zo'n belangenconflict ontstaat wanneer een DPO binnen de organisatie een positie heeft “die ertoe leidt dat hij het doel van en de middelen voor het verwerken van persoonsgegevens bepaalt”. Daarom zijn functies zoals CEO, COO en hoofd marketing, HR of IT conflicterende posten.

Belangenconflict of interpretatieconflict?

In haar beslissing van 28 april 2020 gaat de GBA een stap verder. Die veroordeelde een onderneming omdat ze haar directeur Audit, Risk & Compliance had aangesteld als DPO. Voor de GBA was er duidelijk sprake van een belangenconflict. Ze besliste dan ook dat de onderneming meteen een einde moest maken aan het belangenconflict. Het bedrijf kreeg bovendien een geldboete van 50.000 euro. Dat is de hoogste boete die de GBA tot nog toe heeft opgelegd.

Die beslissing is voor discussie vatbaar. Plots lopen verschillende bedrijven en organisaties die voor een interne DPO hebben gekozen, een risico. Hoe het immers eens zijn met de GBA wanneer die meent dat er “sprake is van ernstige nalatigheid” in een bedrijf dat beslist om zijn compliance manager of juridisch verantwoordelijke aan te stellen als DPO, en ze bovendien beweert dat de combinatie van de taak als DPO met die van hoofd van eender welke dienst onderworpen aan de controle van diezelfde DPO, de onafhankelijkheid van die laatste in de weg staat? In haar beslissing gaat de GBA veel verder dan de richtsnoeren van de werkgroep ‘Artikel 29’.

Afgaande op de beslissing van de GBA, wordt het onmogelijk om de rol van DPO te combineren met eender welke andere functie. Bekleedt die DPO immers een te hoge functie, dan beslist hij of zij over de doelstellingen en middelen. Vervult de DPO daarentegen daarnaast een te operationele functie, dan is hij of zij te nauw betrokken bij de eigenlijke gegevensverwerking. Of hij is niet bij machte om rechtstreeks te rapporteren aan de directie.

Welke oplossing?

De beslissing van de GBA werd niet betwist voor het Marktenhof. Het is dus wachten op een ander gelijkaardig geval in de hoop dat de GBA haar rechtspraak aanpast.

Het komt erop neer dat bedrijven best altijd kiezen voor een externe DPO, zoals een consultant of een advocaat. Maar dat gaat voorbij aan de Europese richtsnoeren en bovendien vaak meer kosten en niet noodzakelijk efficiënter zijn.

“Kortom, de beslissing van de GBA is te dogmatisch en geeft blijk van weinig realiteitszin. Het schept bovendien een verontrustend precedent, ook al gaat het dan om een specifiek geval. De beslissing mag niet in de weg staan dat een verantwoordelijke van de juridische dienst of een compliance manager als DPO wordt aangesteld. Ze impliceert hoe dan ook, voor alle ondernemingen die beslissen om intern een DPO aan te duiden, om een waterdichte procedure in te stellen voor het behandelen van eventuele belangenconflicten. Laat ons hopen dat de GBA van gedachten verandert in een volgende beslissing. Een belangenconflict is een feitelijke kwestie. Het is niet omdat een DPO instaat voor compliance, interne audit of juridische zaken, dat die loutere combinatie van functies een belangenconflict genereert”, besluit Philippe Lambrecht.

Bron: VBO