De Gegevensbeschermingsautoriteit België (GBA) heeft een onderneming een boete opgelegd wegens belangenverstrengeling van de functionaris voor gegevensbescherming (FG). Het gaat om een boete van €50.000. Zo volgt uit een uitspraak van 28 april 2020.
9 mei 2020 • Nieuws
Privacytoezichthouder België legt boete op wegens belangenconflict van FG
Belangenconflict
Uit het onderzoek van de GBA volgt dat de FG naast die functie ook de functie van directeur audit, risk en compliance bij dezelfde organisatie vervult. De FG was dus ook verantwoordelijk voor compliance, risk management en interne audit binnen de organisatie waar hij verantwoordelijk was voor toezicht op naleving van de AVG.
Deze verantwoordelijkheid voor elk van deze drie departementen houdt in dat die persoon zeggenschap heeft over en verantwoordelijk is voor de verwerking van persoonsgegevens binnen deze drie departementen. Dit zou betekenen dat de FG ook het beleid dat hij heeft ontwikkeld in zijn rol als directeur zou moeten controleren. De GBA benadrukt daarnaast dat het beoordelen van het functioneren van werknemers via een interne audit op gespannen voet staat met de vertrouwensfunctie die de FG heeft binnen de organisatie. Het feit dat het slechts om een adviserende functie gaat en geen sprake is van beslissingsbevoegdheid, doet daaraan niets af.
De FG
Onder de algemene verordening gegevensbescherming (AVG) kunnen sommige organisaties verplicht zijn een FG aan te stellen. Dit geldt bijvoorbeeld voor overheidsinstanties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken, bijvoorbeeld medische gegevens, en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners.
De FG moet naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Door ervoor te zorgen dat de FG in een vroeg stadium geïnformeerd en geconsulteerd wordt, wordt de naleving van de AVG mogelijk gemaakt.
Uit de AVG volgt dat een FG ook andere taken en plichten kan vervullen. De organisatie moet er wel voor zorgen dat deze taken of plichten niet tot een belangenconflict leiden. Dit houdt met name in dat de FG binnen de organisatie geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen. In de zaak van de GBA viel de rol van verantwoordelijke van een departement niet te rijmen met de functie van FG die zijn taken onafhankelijk moet kunnen uitvoeren. Dit uitgangspunt is in lijn met de richtsnoeren van de European Data Protection Board:
Als vuistregel worden binnen de organisatie als functies met een belangenconflict beschouwd: functies in het hogere management (bv. Chief Executive, Chief Operating, Chief Financial, Chief Medical Officer, hoofd van de marketingafdeling, hoofd van Human Resources of hoofd van de IT-afdeling), maar ook lagere functies binnen de organisatiestructuur als deze personen de doelstellingen van en middelen voor de verwerking van gegevens moeten bepalen.
De Autoriteit Persoonsgegevens heeft in Nederland (nog) geen boetes heeft opgelegd voor het niet hebben van een FG of het op onjuiste wijze uitvoering geven aan de functie van FG. Sinds de AVG van toepassing is heeft de toezichthouder wel uitvoerig gecontroleerd op de aanwezigheid van de FGs, waaronder bij de overheid en in de zorg.
Lees meer op solv.nl
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
