Een FG aanstellen in een wereld van toenemende moderne privacywetgeving

20/09/2023 - Tegen eind 2024, voorspelt Gartner, zal 75% van de persoonsgegevens van de wereldbevolking onder moderne privacyregelgeving vallen. Privacyregelgeving neemt wereldwijd toe en bestaande wetgeving verandert snel. In een wereld die gedreven wordt door gegevens is een betere bescherming van individuele rechten op mondiaal niveau welkom. Naarmate er meer nieuwe privacywetten verschijnen, bestaat echter het risico dat het wereldwijde juridische landschap gefragmenteerd raakt. In de context van de Algemene Verordening Gegevensbescherming (‘AVG’) was een van de voordelen van een geharmoniseerd wettelijk kader de mogelijkheid om één functionaris voor gegevensbescherming (‘FG’) aan te stellen die namens de hele groep kon optreden. Nieuwe FG-vereisten - of in het geval van het Verenigd Koninkrijk: de mogelijke afschaffing van de FG-vereiste - roepen vragen op over de mogelijkheid voor internationale organisaties om één FG aan te stellen namens de groep. Sinds Brexit is deze vraag met name relevant geworden voor organisaties die zowel in de EU als in het VK actief zijn en die nu moeten voldoen aan zowel de AVG, de UK General Data Protection Regulation (UK GDPR) en, in de niet al te verre toekomst, aan de UK Data Protection and Digital information (No 2) Bill ('UK Bill').

Ben je nieuwsgierig naar de implicaties die deze wereldwijde juridische ontwikkelingen kunnen hebben op het aanstellen van een groeps-FG? In deze blog zal ik onderzoeken of FG’s die zijn aangesteld onder de AVG kunnen optreden als FG's onder de UK GDPR, welke implicaties het voorgestelde wetsvoorstel in het VK kan hebben op de rol van de FG en welke andere wereldwijde ontwikkelingen een rol spelen.

Kan een FG die is aangesteld onder de AVG optreden als FG onder de UK GDPR?

De vereisten voor het aanstellen van een FG staan beschreven in artikelen 37-39 van de UK GDPR. Deze vereisten zijn een kopie van de vereisten die zijn vastgelegd in de artikelen 37-39 van de AVG. De Britse gegevensbeschermingsautoriteit, de Information Commissioner Office ("ICO"), vat deze vereisten als volgt samen (zie hier): 

• De UK GDPR introduceert de verplichting voor u om een FG aan te stellen als u een overheidsinstantie of -orgaan bent, of als u bepaalde soorten verwerkingsactiviteiten uitvoert.
• FG's helpen u bij het bewaken van de interne naleving, informeren en adviseren u over uw verplichtingen op het gebied van gegevensbescherming, geven advies over Data Protection Impact Assessments (DPIA's) en fungeren als contactpunt voor betrokkenen en de ICO.
• De FG moet onafhankelijk zijn, een expert op het gebied van gegevensbescherming, over voldoende middelen beschikken en rapporteren aan het hoogste managementniveau.
• Een FG kan een bestaande werknemer zijn of extern worden aangesteld.
• In sommige gevallen kunnen meerdere organisaties samen één FG aanstellen.
• FG's kunnen u helpen bij het aantonen van naleving en maken deel uit van de versterkte focus op verantwoordingsplicht.

De UK GDPR en ICO gaan niet specifiek in op de mogelijkheid voor bedrijven in het Verenigd Koninkrijk om een FG aan te stellen die in de EU is gevestigd. In plaats daarvan is het van belang of er wordt voldaan aan de FG-vereisten zoals uiteengezet in artikelen 37-39 van de UK GDPR.

Vereiste kennis

De UK GDPR zegt dat een FG moet worden aangesteld op basis van professionele kwaliteiten, en in het bijzonder ervaring en deskundige kennis van de wetgeving inzake gegevensbescherming. Er wordt niet gespecificeerd over welke kwalificaties een FG precies moeten beschikken. Er staat wel dat deze in verhouding moeten staan tot het type verwerking dat wordt uitgevoerd, rekening houdend met het beschermingsniveau dat de persoonsgegevens vereisen (zie hier).

Als de aangestelde FG dus kennis heeft van de UK GDPR, dan is aan dit vereiste voldaan. Op dit moment zal elke FG die kennis heeft van de AVG ook kennis hebben van de UK GDPR, aangezien de UK GDPR een kopie is van de AVG. Bovendien zou een FG met expertise in de AVG ook goed gepositioneerd zijn om veranderingen in de UK GDPR te monitoren, begrijpen en adviseren, mocht het VK besluiten om af te wijken van de huidige positie in het wetsvoorstel (zie subparagraaf hieronder).

Toegankelijkheid vereiste

De ICO bevestigt ook op hun website dat organisaties in het Verenigd Koninkrijk één FG kunnen aanstellen om op te treden voor een groep bedrijven (zie hier). Als een FG meerdere organisaties omvat, moet hij nog steeds in staat zijn om zijn taken effectief uit te voeren, rekening houdend met de structuur en grootte van die organisaties en moet hij gemakkelijk toegankelijk zijn, dus hun contactgegevens moeten gemakkelijk beschikbaar zijn voor de ICO, werknemers en andere mensen van wie u persoonsgegevens verwerkt. Nogmaals, er is geen reden waarom een FG die in de EU is gevestigd maar toegankelijk is voor het bedrijf in het VK niet aan deze eis kan voldoen. Wat een relevante factor kan zijn in deze situatie is of de FG die in een ander land is gevestigd effectief kan communiceren door de gesproken taal te spreken van de organisatie die hij adviseert. Als bijvoorbeeld een FG in de EU professioneel in het Engels kan werken, zou dit geen probleem zijn. Dit is niet anders dan de huidige vereiste onder de AVG die een FG in een EU-lidstaat toestaat om diensten te verlenen aan een organisatie in een andere lidstaat.

Conclusie

In de praktijk zal dit betekenen dat een FG met expertise op het gebied van de AVG, welke daarnaast toegankelijk is voor bedrijven in het Verenigd Koninkrijk, goed gepositioneerd zijn om FG-diensten te blijven leveren namens de groep.

Betekent de UK Data Protection and Digital Information Bill het einde van de FG-functie in het Verenigd Koninkrijk? 

Iedereen die het wetsvoorstel omtrent gegevensbescherming van de Britse overheid volgt weet dat een van de grootste veranderingen het besluit betreft om de wettelijke verplichting om een FG aan te stellen af te schaffen en in plaats daarvan een nieuwe verplichting in te stellen om een Senior Responsible Individual ('SRI') aan te stellen.

Wat is het verschil?

Het cruciale verschil tussen de twee rollen is dat de FG een onafhankelijke adviseur moet zijn met toegang tot het senior management, terwijl de SRI een officieel lid van het senior management moet zijn. Van de SRI wordt verwacht dat hij verantwoordelijkheid neemt voor de naleving van de gegevensbeschermingsregels en een actieve rol speelt bij het beoordelen van risico’s en daarmee samenhangende beslissingen. Dit zijn verantwoordelijkheden die meer vergelijkbaar zijn met die van een Chief Privacy Officer (CPO) die de FG niet kan vervullen zonder een belangenconflict te creëren. Daarom is het niet gepast dat een groeps-FG de nieuwe verantwoordelijkheden van de SRI op zich neemt.

Kunnen de twee rollen naast elkaar bestaan?

Ondanks het schrappen van de specifieke verplichting om een FG aan te stellen, zullen organisaties nog steeds moeten zorgen voor de naleving van alle andere privacyverplichtingen (zoals privacybeginselen, ROPA's voor hoge risico's, gegevensverwerkingsovereenkomsten, doorgiften naar derde landen, etc.). Daarom zal de SRI waarschijnlijk de steun nodig hebben van privacyprofessionals om toezicht te houden op de naleving, maatregelen te ontwikkelen en te implementeren, opleidingen te organiseren en te geven en klachten en datalekken te beheren. In de praktijk wordt verwacht dat organisaties een bestaande senior manager (bijv. CPO) zullen aanstellen als de SRI, die op zijn beurt ondersteuning kan zoeken bij de FG en Privacy Officers (zie eerdere blog over de verschillende rollen). Net zoals Chief Financial Officers (‘CFO’s’) de steun van de interne auditor nodig hebben, zullen groeps-FG’s een enorme aanwinst zijn voor de SRI om toezicht te houden op en te rapporteren over naleving.

Conclusie

Ondanks de mogelijke afschaffing van de formele verplichting om een FG aan te stellen, zullen FG's waarschijnlijk een belangrijke rol blijven spelen in het toekomstige privacylandschap in het Verenigd Koninkrijk.  In de praktijk zal dit betekenen dat een FG met expertise op het gebied van de AVG, welke daarnaast toegankelijk is voor bedrijven in het Verenigd Koninkrijk, goed gepositioneerd zijn om FG-diensten te blijven leveren namens de groep.

Andere wereldwijde ontwikkelingen?

Op 27 november 2021 werd het federale wetsdecreet nr. 45 van 2021 betreffende de bescherming van persoonsgegevens ('PDPL') gepubliceerd door het Cabinet Office van de Verenigde Arabische Emiraten ('VAE'). De PDPL voert de verplichting in om een FG aan te stellen die over voldoende vaardigheden en kennis op het gebied van gegevensbescherming beschikt om toezicht te houden op de naleving (artikelen 10 en 11 van de PDPL). 

De PDPL bevestigt op constructieve wijze dat de FG een werknemer van het bedrijf kan zijn of een externe partij die binnen of buiten de VAE gevestigd kan zijn (artikel 10, lid 2, van de PDPL). Als zodanig kunnen organisaties op die FG's hebben aangesteld onder de AVG dezelfde persoon gebruiken om een vergelijkbare rol te vervullen met betrekking tot de VAE, als die persoon kennis en ondersteuning heeft met betrekking tot de vereisten van de VAE.

Net als bij de huidige UK GDPR , is een FG met expertise over de AVG die toegankelijk is voor bedrijven in de VAE goed gepositioneerd om FG-diensten te blijven leveren namens de groep vanuit de EU. 

Moet ik een wereldwijde FG aanstellen?

Naarmate de wereld meer wetten voor gegevensbescherming invoert doet de situatie die ontstaat denken aan de ‘pre-AVG' dagen in Europa, waarin elke EU-lidstaat zijn eigen gelijksoortige maar verschillende varianten van de Richtlijn Gegevensbescherming implementeerde. De oplossing was toen om de strengste standaard te identificeren en een Privacy Governance Framework (PGF) te ontwerpen dat aan die standaard voldeed. Het PGF voldeed niet alleen aan alle wettelijke vereisten, maar maakte ook een geharmoniseerde aanpak mogelijk waarmee privacyprogramma's echt operationeel konden worden uitgevoerd.

Als we kijken naar de golf van nieuwe privacywet- en regelgeving die binnenkomt, is er misschien een les in de geschiedenis die ons vertelt dat wereldwijde organisaties die worstelen met nieuwe wettelijke kaders voor privacy, opnieuw de hoogste wereldwijde standaard moeten identificeren en hun PGF in overeenstemming met die basislijn moeten ontwerpen. Deze standaard is vandaag de dag nog steeds aantoonbaar de AVG, waarbij een FG die is aangesteld onder de AVG een sterke en overtuigende kandidaat is om op te treden als een wereldwijde groeps-FG.