Heeft uw Data Protection Officer geen belangenconflict ?

Op 28 april 2020 heeft de Gegevensbeschermingsautoriteit (GBA) een boete van 50.000 EUR opgelegd aan een Proximus wegens verzuim aan haar verplichting om een belangenconflict in hoofde van de door haar aangestelde functionaris voor gegevensbescherming (hierna ook genoemd Data Protection Officer – DPO) te voorkomen.

De AVG stelt immers dat de verwerkingsverantwoordelijke ervoor moet zorgen dat de andere taken en plichten die gebeurlijk aan de DPO binnen de onderneming worden toegewezen, niet tot een belangenconflict met zijn functie kunnen leiden en/of zijn onafhankelijkheid in gevaar mogen brengen.

Naar aanleiding van het uitlekken van gegevens (het versturen van facturen naar de verkeerde e-mailadressen van klanten) is bij de onderneming een onderzoek uitgevoerd door de inspectiedienst van de GBA, die bij deze gelegenheid het bestaan van een belangenconflict heeft vastgesteld tussen de functies van directeur van de diensten compliance, risicomanagement en interne audit, en die van DPO, deze functies zijnde allen door dezelfde persoon uitgeoefend.

In het kader van zijn compliance- en auditfuncties had deze persoon een aanzienlijke operationele verantwoordelijkheid, die hem in staat stelde om het doel en de middelen van de verwerking van persoonsgegevens in het kader van deze functies te bepalen. Deze rol van verantwoordelijkheid voor de verwerking van gegevens in een afdeling is, volgens de GBA, onverenigbaar met deze als functionaris voor gegevensbescherming, die in staat moet zijn te allen tijde zijn taken onafhankelijk uit te voeren. In dit geval verhindert de cumulatie van functies echter elke mogelijke onafhankelijke controle. De GBA voegt hieraan toe dat deze cumulatie van functies ook kan leiden tot een onvoldoende garantie van geheimhouding en vertrouwelijkheid ten opzichte van het personeel.

Deze beslissing zou voor veel bedrijven aanleiding kunnen geven tot het veranderen van DPO’s. Er zij ook aan herinnerd dat het in het kader van de verantwoordingsplicht – die betrekking heeft op de verplichting voor ondernemingen om interne mechanismen en procedures toe te passen om de naleving van de gegevensbeschermingsregels aan te tonen – noodzakelijk is de beoordeling van de vraag of het al dan niet nodig is een functionaris voor gegevensbescherming aan te wijzen, te documenteren en, indien dat het geval is, zijn deskundigheid te waarborgen door aanbevelingen ter zake te doen.

Aarzel niet om contact op te nemen met Antoine DECLEVE (antoine.decleve@cairnlegal.be) voor meer informatie over dit onderwerp.

Met vriendelijke groeten.
Het Cairn Legal Team