Wat zijn de verplichtingen rondom de aanstelling van een FG?

Op 28 april heeft de Belgische Gegevensbeschermingsautoriteit (GBA) een boete opgelegd van €50.000,- aan Proximus, een Belgische Telecommaatschappij. De GBA heeft Proximus deze boete opgelegd in het kader van een belangenconflict bij haar functionaris gegevensbescherming (FG). Voordat ik inzoom op de details van deze beslissing, zullen we eerst kort de relevante verplichtingen rondom de aanstelling en de positie van een FG doornemen. Deze zijn opgenomen in artikelen 37 t/m 39 van de Algemene Verordening Gegevensbescherming (AVG). 

Verplichte aanstelling FG

De aanstelling van een FG kan verplicht zijn. Zo is het voor overheidsinstanties of overheidsorganen verplicht om een FG te benoemen, uitgezonderd rechterlijke instanties. Daarnaast kan het aanstellen van een FG verplicht zijn wanneer de verwerkingsverantwoordelijke of de verwerker regelmatige en stelselmatige observatie van betrokkenen uitvoert op een grote schaal, of wanneer een organisatie op grote schaal bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens verwerkt.

Ook als het aanstellen van een FG niet verplicht is onder de AVG kan een organisatie ervoor kiezen om een FG aan te stellen. Wel dient er rekening mee te worden gehouden dat alle verplichtingen met betrekking tot de positie en de taken van de FG in dat geval van toepassing zijn. Een FG aanstellen die enkel advies uitbrengt, maar geen toezichthoudende taken mag uitvoeren is dus niet toegestaan.

Positie van de FG binnen de organisatie

De FG dient in een vroeg stadium te worden betrokken bij alle aangelegenheden die betrekking hebben op de bescherming van persoonsgegevens en moet in staat te worden gesteld om de op hem of haar rustende verplichtingen te kunnen uitvoeren. Het is daarbij belangrijk dat de FG niet wordt geïnstrueerd over de uitvoering van zijn of haar taken, maar onafhankelijk kan en mag opereren. De FG geniet dan ook ontslagbescherming in het kader van de uitvoering van zijn of haar taken.

Veel organisaties kiezen ervoor om de functie van FG te combineren met een andere interne functie. Dit is in principe niet verboden, mits deze dubbelrol niet leidt tot een belangenconflict. Dit is benadrukt door de European Data Protection Board (EDPB), een onafhankelijk Europees orgaan dat is opgericht bij de inwerkingtreding van de AVG, in de richtlijn voor functionarissen voor gegevensbescherming. De EDPB stelt dat de FG geen functie kan bekleden waarbij deze de doelen en middelen van de verwerkingsactiviteiten vaststelt. De EDPB geeft als vuistregel dat functies in het hogere management, zoals Chief Executive, Chief Financial, hoofd marketing, etc., als functies worden beschouwd waarvan de combinatie met de rol van FG leidt tot conflicterende belangen. Dit is nu juist waar het bij Proximus fout ging, volgens de GBA.

Beoordeling GBA

Waar ging het dan precies mis bij Proximus? De Geschillenkamer van de GBA heeft vastgesteld dat de FG van Proximus ook verantwoordelijk was voor de afdelingen compliance, risk management en interne audit. Proximus heeft aangevoerd dat deze afdelingen met name adviserende functies binnen de organisatie vervullen met betrekking tot de doeleinden van de verwerkingsactiviteiten van Proximus, waardoor slechts een beperkt belangenconflict kan ontstaan. De Geschillenkamer is van oordeel dat dit niet aantoont dat de verantwoordelijke functie die deze persoon bekleedt binnen de drie afdelingen niet leidt tot het uitvoeren van taken die onverenigbaar zijn met de rol van FG.

Concluderend stelt de GBA dat het combineren van de functie van FG met een functie als hoofd van een afdeling waarop de FG toezicht dient uit te oefenen in strijd is met de AVG. Het is volgens GBA onmogelijk voor een FG om onafhankelijk toezicht te kunnen uitoefenen op de afdelingen waarvoor de FG zelf als hoofd verantwoordelijk is. Dit leidt volgens de GBA per definitie tot een belangenconflict. Daarnaast kaart de GBA aan dat een dergelijke combinatie van functies tot gevolg kan hebben dat de verplichting tot geheimhouding, welke rust op de FG, in het geding komt.

Nu veel organisaties de rol van FG combineren met een rol in het management van dezelfde organisatie, veroorzaakt deze boete van de GBA een schokgolf in de markt. Een mogelijkheid om belangenverstrengeling te voorkomen is het inhuren van een externe FG op basis van een dienstverleningsovereenkomst, die de rol van FG op onafhankelijke en deskundige wijze kan invullen. 

De positie van de FG in uw organisatie

Bent u benieuwd of de positie van de functionaris gegevensbescherming binnen uw organisatie op een juiste manier is belegd of is uw organisatie op zoek naar een deskundige externe functionaris gegevensbescherming? Neem dan contact met mij op.

Contact