De Gegevensbeschermingsautoriteit heeft recent een beslissing genomen over de functie van de Data protection officer (DPO) en mogelijke belangenconflicten.
Volgens Europese richtlijnen kan een DPO niet tegelijk een functie bekleden waarbij hij of zij “de doelstellingen van en de middelen voor de verwerking van persoonsgegevens” bepaalt. Hieronder wordt verstaan zowel functies in het hogere management (bv. CEO, Chief Operating, CFO, hoofd van de marketingafdeling, hoofd van HR of hoofd IT…) als lagere functies binnen de organisatiestructuur.
Art. 38, 6 van de GDPR voorziet dat een DPO enkel andere taken mag opnemen indien hieruit geen belangenconflict ontstaat.
In de beslissing van 28 april 2020 heeft de Gegevensbeschermingsautoriteit de onafhankelijkheid van de DPO en het vermijden van belangenconflicten benadrukt. In de betrokken onderneming was de interne DPO ook directeur audit, risk en compliance.
De gegevensbeschermingsautoriteit verduidelijkt dat het bestaan van een belangenconflict niet beperkt is tot de gevallen waar een persoon het doel en de middelen van de verwerking bepaalt. Belangenconflicten moeten steeds geval per geval worden beoordeeld. Uit het schrijven van de onderneming blijkt dat de DPO meer doet dan intern adviseren aangezien die persoon conflicterende taken uitvoert die een aanzienlijke operationele verantwoordelijkheid inhouden voor gegevensverwerkingsprocessen die vallen onder het domein audit, risk en compliance. Naar het oordeel van de Geschillenkamer bestaat er geen twijfel dat het cumuleren van de functie van DPO met een functie als hoofd van een departement waarop de DPO toezicht moet uitoefenen, niet kan gebeuren op een onafhankelijke wijze.
Hierdoor is er sprake van een belangenconflict. Als sanctie werd er een boete van 50.000 euro opgelegd aan de betrokken onderneming. Hierbij werd rekening gehouden met het feit dat de verwerking van persoonsgegevens op grote schaal de kernactiviteit is van de onderneming alsook de duur van de inbreuk.
Bron: Gegevensbeschermingsautoriteit, Geschillenkamer, Beslissing ten gronde 18/2020 van 28 april 2020, dossiernr. AH-2019-0013.