Naar aanleiding van een datalek heeft de GBA een uitleg gegeven over de positie van de FG. Indien deze meerdere rollen of functies vervult is het goed om je af te vragen of deze rollen en functies niet leiden tot een probleem m.b.t. de positie van de FG conform de regels van de AVG. In dit blog wordt ingegaan op de functies en taken van de FG: belangenconflicten.
Als onderdeel van het onderzoek heeft de GBA de naleving door de verwerkingsverantwoordelijke van de verplichtingen onder de AVG beoordeeld. Eén van de onderdelen van dit onderzoek betrof de positie van de FG in het kader van artikel 38 lid 6 AVG. Dit artikellid luidt als volgt:
Art. 38 lid 6 AVG: "De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden."
In de onderneming van de verweerder vervulde de FG tevens de functie/rol van Hoofd voor compliance, risk management en interne audit.
De GBA stelt vast dat de verantwoordelijkheid voor elk van deze drie departementen onmiskenbaar inhoudt dat die persoon in die hoedanigheid de doelstellingen van en de middelen voor de verwerking van persoonsgegevens binnen deze drie departementen bepaalt en dus verantwoordelijk is voor de gegevensverwerkingsprocessen die vallen onder het domein compliance, risk management en interne audit.
De Richtlijnen van de WP29 leggen uit dat de functionaris voor gegevensbescherming binnen de organisatie geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen. Dit is aldus een wezenlijk belangenconflict. De rol van verantwoordelijke van een departement valt aldus niet te rijmen met de functie van functionaris voor gegevensbescherming die zijn taken onafhankelijk moet kunnen uitvoeren. Bovendien kan het cumuleren van deze functies ertoe leiden dat de geheimhouding en vertrouwelijkheid jegens personeelsleden overeenkomstig artikel 38 lid 5 AVG in onvoldoende mate kan worden gegarandeerd. De GBA is van oordeel dat de inbreuk op artikel 38 lid 6 AVG is bewezen.
De GBA gaat over tot het opleggen van een 1) corrigerende maatregel: namelijk het in overeenstemming brengen van de verwerking met artikel 38 lid 6 AVG, en 2) een administratieve geldboete van € 50.000,-. De GBA overweegt hierbij dat er geen sprake is van een opzettelijke inbreuk. Wel kan van een onderneming als die van verweerder worden verwacht dat deze vanaf 25 mei 2018 in overeenstemming met de AVG handelt, hetgeen niet is gebeurd.
Allereerst is het belangrijk dat de FG onafhankelijk is en geen instructies ontvangt over de wijze waarop hij zijn functie als FG uitvoert.
Tevens wordt duidelijk dat de FG naar behoren en tijdig moet worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Door ervoor te zorgen dat de FG in een vroeg stadium wordt betrokken wordt de naleving van de AVG mogelijk gemaakt.
Voorts mag er bij de rol en positie van de FG geen sprake zijn van een belangenconflict. De FG mag dus niet het doel en de middelen bepalen van de gegevensverwerking. De WP29 (EDPB) geeft daarnaast in de richtsnoeren aan dat functies als (algemeen) directeur, directeur operaties, financieel directeur, medisch directeur, hoofd marketing, hoofd HRM of hoofd ICT, maar ook lagere functies binnen de organisatiestructuur, voorzover deze personen doelen en middelen van de verwerking bepalen, onverenigbaar zijn met die van FG.
Om een belangenconflict te voorkomen kan een verwerkingsverantwoordelijke natuurlijk ook een externe FG benoemen.
Ook hier geldt dat er geen sprake mag zijn van een belangenconflict. Dit zal over het algemeen minder snel het geval zijn als bij een interne FG.
Het uitblijven van een belangenconflict hangt nauw samen met het vereiste om autonoom (onafhankelijk) te handelen.
Daarenboven kan een belangenconflict zich bijvoorbeeld ook voordoen wanneer aan een externe functionaris voor gegevensbescherming wordt gevraagd om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in de rechtbank bij rechtszaken over problemen met de gegevensbescherming. Het verenigen van de functie van FG en advocaat ligt dus niet voor de hand.
Afhankelijk van de activiteiten, de grootte en de structuur van de organisatie kan het voor verwerkingsverantwoordelijken of verwerkers een goede praktijk zijn om:
de posities te identificeren die incompatibel kunnen zijn met de functie van FG;
interne regels daartoe op te stellen om belangenconflicten te vermijden (bijvoorbeeld een FG-Statuut, of FG-Charter);
een meer algemene uitleg over belangenconflicten op te nemen;
te verklaren dat de FG geen belangenconflict heeft in zijn functie als FG;
in het huisreglement van de organisatie waarborgen op te nemen en ervoor te zorgen dat de vacature voor de positie van FG of de dienstverleningsovereenkomst voldoende gepreciseerd en gedetailleerd is om belangenconflicten te vermijden. In dit verband moeten we rekening houden met het feit dat belangenconflicten diverse vormen kunnen aannemen, afhankelijk van het feit of de FG intern of extern is gerekruteerd.
Zie ook: Belgische privacytoezichthouder over de verantwoordingsplicht: wat betekent deze uitleg voor beveiligingsincidenten?
Zie ook: Proximus ontvangt recordboete voor schenden AVG
Meer artikelen van PrivacyTeam
Dit artikel is ook te vinden in het dossier Verantwoordingsplicht
