De DPO met een dubbele pet

The Times kopt op 17 april met het volgende bericht: “Data protection officer ‘compromised’”. Volgens The Times overtreedt het Ierse Department of Employment Affairs and Social Protection de AVG met de aanstelling van haar nieuwe Data Protection Officer (DPO). In januari is de oude DPO vervangen door een collega. Deze collega leidt naast haar werk als DPO ook de Business Information Security Unit (BISU). De BISU is aangewezen als de verwerkingsverantwoordelijke voor het departement, blijkt uit het privacy statement van december 2018. The Times stelt dat hier sprake is van een ongeoorloofd belangenconflict. Het departement ontkent dit. Kort na het bericht van The Times heeft het departement het privacy statement ook aangepast. Het departement zelf wordt nu aangewezen als verwerkingsverantwoordelijke.

Belangenconflict

Mocht blijken uit het lopende onderzoek van de Ierse toezichthouder dat de BISU in de praktijk toch de doelen en middelen bepaalt over de persoonsgegevens van meer dan vier miljoen Ierse burgers, dan zou hier wel degelijk sprake kunnen zijn van een belangenconflict. Het departement van Sociale Zaken is een van de grootste gegevensverwerkers van Ierland. Daar komt bij dat het departement verantwoordelijk is voor de verwerking van zeer gevoelige persoonsgegevens. De interne toezichthouder houdt in dat geval toezicht op gegevensverwerkingen waar hij of zij zelf verantwoordelijk voor is. De onafhankelijke positie van de DPO komt hierdoor in gevaar.

Een stap verder

De Duitse toezichthouder is in 2016 nog een stap verder gegaan. Daar heeft een bedrijf een boete gekregen, omdat de IT-manager tegelijkertijd de DPO van de organisatie was. De Duitse toezichthouder concludeerde dat een DPO zijn taken niet onafhankelijk kan vervullen als hij ook aanzienlijke operationele verantwoordelijkheid heeft voor gegevensverwerking. De DPO moet volgens de Duitse toezichthouder vrij zijn van alle externe krachten om zijn toezichthoudende taak effectief uit te kunnen voeren.

Kan de DPO dan nog een andere rol vervullen?

In artikel 38 (6) AVG is vastgelegd dat het in principe is toegestaan dat de DPO ook andere taken en plichten mag vervullen. De verwerkingsverantwoordelijke moet er wel voor zorgdragen dat deze taken of plichten niet tot een belangenconflict leiden. De DPO heeft in de basis namelijk een toezichthoudende en adviserende rol binnen de organisatie. De DPO heeft dus duidelijk een tweedelijnsfunctie. Deze rol kan de DPO niet naar behoren vervullen als de DPO daarnaast nog een eerstelijnsfunctie bekleed waarbij de DPO verantwoordelijk is voor de verwerking van persoonsgegevens.

Wat zegt de EDPB hierover?

Volgens de European Data Protection Board - het samenwerkingsorgaan van de Europese toezichthouders – kan de DPO in elk geval geen taken vervullen die met zich meebrengen dat hij of zij mede de doeleinden en middelen van de gegevensverwerkingen bepaalt. Daarmee zijn senior managementposities, zoals CEO, CTO, CFO, Hoofd IT en Hoofd HR, in beginsel uitgesloten.

Advies

Het wegblijven van zo’n belangenconflict hangt nauw samen met het vereiste om autonoom te handelen. Daarom adviseren wij organisaties om:

• De functies te identificeren die onverenigbaar kunnen zijn met de functie van functionaris voor gegevensbescherming;

• Interne regels daartoe op te stellen om belangenconflicten te vermijden;

• Een meer algemene uitleg over belangenconflicten op te nemen;

• Naar buiten toe en intern te verklaren dat de DPO geen belangenconflict heeft in zijn functie als DPO;

• In de dienstverlenings- en/of arbeidsovereenkomst de positie van de DPO in detail te beschrijven, om belangenconflicten te voorkomen. 

Heeft u vragen over de positie van de DPO binnen uw organisatie? Neem dan gerust contact met ons op.