De onafhankelijke positie van de functionaris voor gegevensbescherming

Share
De-onafhankelijke-positie-van-de-functionaris-voor-gegevensbescherming

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) is het voor verwerkingsverantwoordelijken en verwerkers in een aantal gevallen verplicht om een functionaris gegevensbescherming (FG) aan te wijzen. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. De Belgische toezichthouder, de Gegevensbeschermingsautoriteit, heeft op 28 april 2020 een boete opgelegd wegens een belangenconflict van een FG. Hoewel de Nederlandse toezichthouder (nog) geen boetes heeft opgelegd voor het op onjuiste wijze uitvoering geven aan de functie van de FG, is deze uitspraak onverkort van belang voor Nederlandse organisaties en instellingen.

Artikel 38 AVG

In het geding was artikel 38 van de AVG. Dit artikel betreft de positie van de FG. In het eerste lid is bepaald dat ervoor moet worden gezorgd dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Wat moet worden verstaan onder ‘naar behoren en tijdig’ wordt niet in de AVG toegelicht, maar volgens richtlijnen van het Europees Comité voor gegevensbescherming (het Comité) is het cruciaal dat de FG zo vroeg mogelijk wordt betrokken.

Voorts bepaalt het zesde lid van artikel 38 van de AVG dat de FG andere taken en plichten kan vervullen, maar dat ervoor moet worden gezorgd dat deze taken of plichten niet tot een belangenconflict leiden. Dit houdt volgens het Comité met name in dat de FG binnen de organisatie geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen. Daarbij is van belang dat de FG op grond van het vijfde lid van artikel 38 tot geheimhouding en vertrouwelijkheid is gehouden met betrekking tot de uitvoering van zijn taken.

De uitspraak

De aanleiding voor het onderzoek door de Gegevensbeschermingsautoriteit (GBA) was een datalek wegens het versturen van e-mails naar de verkeerde ontvangers door het grootste telecommunicatiebedrijf van België: Proximus. De Inspectiedienst van de GBA had daarbij verslag gedaan van een FG die onvoldoende werd betrokken bij de discussies over inbreuken in verband met persoonsgegevens doordat de FG louter achteraf werd geïnformeerd over een beslissing. De Geschillenkamer van de GBA stelde uiteindelijk geen inbreuk vast op artikel 38, eerste lid, van de AVG, maar heeft wel benadrukt dat naleving van de AVG mogelijk wordt gemaakt door ervoor te zorgen dat de FG vanaf de start wordt geïnformeerd en, nog belangrijker, geconsulteerd.

De Geschillenkamer van de GBA was wel van oordeel dat een inbreuk op artikel 38, zesde lid, van de AVG was bewezen. De FG had namelijk tevens een functie als directeur van de afdelingen audit, risk én compliance. Deze functie als directeur houdt volgens de Geschillenkamer onmiskenbaar in dat die persoon de doelstellingen van en de middelen voor de verwerking van persoonsgegevens binnen deze drie afdelingen bepaalt en dus verantwoordelijk is voor de gegevensverwerkingsprocessen. De Geschillenkamer concludeerde dan ook het volgende: ‘door het cumuleren in hoofde van eenzelfde fysieke persoon van de functie van verantwoordelijke voor elk van de drie betreffende departementen afzonderlijk enerzijds en de functie van functionaris voor gegevensbescherming anderzijds, ontbreekt voor elk van deze drie departementen enig mogelijk onafhankelijk toezicht vanwege de functionaris voor gegevensbescherming. Bovendien kan het cumuleren van deze functies ertoe leiden dat de geheimhouding en vertrouwelijkheid jegens personeelsleden overeenkomstig artikel 38.5 AVG in onvoldoende mate kan worden gegarandeerd.’ Het feit dat het slechts om een adviserende functie ging en geen sprake was van een beslissingsbevoegdheid met betrekking tot de verwerkingsactiviteiten, deed daar niets aan af.

Boete

De GBA heeft voor de inbreuk een boete opgelegd van 50.000 euro. Dit is de hoogste boete die sinds de invoering van de AVG is opgelegd in België. Bij het bepalen van de hoogte van de boete is benadrukt dat er geen twijfel kan bestaan dat het cumuleren van de functies niet kan gebeuren op een onafhankelijke wijze, mede gelet op het feit dat het concept van een FG niet nieuw is en reeds lang bestaat in veel lidstaten en organisaties. Van een grote organisatie als Proximus mocht derhalve worden verwacht dat zij zich op zorgvuldige wijze zou hebben voorbereid op de invoering van de AVG en nu dat niet is gebeurd, moet in beschouwing worden genomen dat de inbreuk duurt sinds de invoering van de AVG op 25 mei 2018. Tot slot is het boetebedrag gebaseerd op het feit dat Proximus op zeer grote schaal persoonsgegevens verwerkt, waaronder persoonsgegevens die een grote mate van gevoeligheid kunnen hebben voor betrokkenen. Telecomdata zijn immers verkeers- en locatiegegevens, waarmee Proximus over veel gevoelige informatie beschikt over haar klanten. Dat Proximus een klantenbestand heeft van miljoenen mensen, maakt dat een FG die niet voldoet aan de vereiste van onafhankelijkheid en dus niet vrij van enig belangenconflict kan optreden, een potentiële impact heeft op miljoenen betrokkenen.

Robin Creuels

Robin Creuels

Robin Creuels is werkzaam als AVG & Cybersecurity jurist bij The Privacy Factory. Zij is in het bezit van een master ICT- en Privacyrecht.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.