Organisaties die nadenken over het aanstellen van een Data Protection Officer, stellen steevast dezelfde vragen: “Heb ik een DPO nodig?”, “Wat zijn de taken en het profiel van de DPO” en “Mag de rol van DPO gecombineerd worden met een andere rol?”. In dit artikel gaan we in op de laatste vraag, met name de onafhankelijkheid van de DPO. We kunnen deze onafhankelijkheid bekijken vanuit 3 invalshoeken: het verantwoordelijkheidsconflict, het takenconflict en het bevoegdheidsconflict. Hoe kan een DPO deze belangenconflicten nu vermijden? Hieronder bespreken we de conflictmodellen, telkens vergezeld van een voorbeeld (hoe het (niet) moet).
Het verantwoordelijkheidsconflict: de DPO baas
De Algemene Verordening Gegevensbescherming bepaalt dat de DPO andere taken mag vervullen, zolang deze andere taken en verplichtingen niet leiden tot een belangenconflict. Het Europees Comité voor gegevensbescherming vertaalt deze bepaling in haar richtlijn over DPO’s. De vuistregel is dat de functie van DPO niet kan worden gecombineerd met een rol waarbij men deelneemt aan beslissingen die rechtstreeks of onrechtstreeks betrekking hebben op het verwerken van persoonsgegevens (van medewerkers of klanten). De zogenaamde “C-level” functies zoals CEO, COO, CFO, CIO, … maar ook hoofd van de marketingafdeling of hoofd van Human Resources kunnen niet met de rol van DPO worden gecombineerd.
Voorbeeld: de Gegevensbeschermingsautoriteit was van mening dat een dergelijk belangenconflict bestond bij Proximus, waar de DPO functie gecombineerd werd met de functie van directeur audit, risk en compliance.
Het takenconflict: de rechter-en-partij DPO
De functie van DPO kan gezien worden als de rol van de lokale privacywaakhond, het verlengstuk van de toezichthoudende autoriteit. Een belangrijke taak van de DPO is om hierbij na te gaan of het bedrijf de risico’s verbonden aan het verwerken van persoonsgegevens correct heeft ingeschat (bijvoorbeeld gegevenslekken, misbruik van de persoonsgegevens) en maatregelen neemt (veiligheidsmaatregelen, afspraken over gebruik van de gegevens enz). De DPO kan bijgevolg niet zelf eerst risico’s inschatten en maatregelen vastleggen om daarna te beoordelen of deze risico-afwegingen wel correct zijn gebeurd.
Voorbeeld: Voor het in gebruik nemen van de Covid-19 app liet het Ministerie van Volksgezondheid in Nederland een risico-evaluatie maken. De analyse zelf werd opgesteld door het Ministerie. De DPO, die niet deelnam aan het opstellen van de risicoanalyse, beoordeelde het resultaat ervan. Dit is een voorbeeld waarbij rechter en partij goed gescheiden zijn.
Het bevoegdheidsconflict: De solo slim DPO
Een DPO is bevoegd om adviezen te geven, maar niet om beslissingen te nemen. Zo kan de DPO adviseren om een gegevenslek te melden aan de toezichthouder of aan de klant of werknemer. Maar op eigen houtje een besluit nemen en handelen is uit den boze. Hoewel de DPO misschien de eerste persoon is die bijvoorbeeld een incident vaststelt of beoordeelt, is hij of zij niet degene die hier meteen beslissingen aan koppelt.
Voorbeeld: De Gegevensbeschermingsautoriteit maakt melding van een ziekenhuis waar de DPO de antwoorden op vragen die een inspectiedienst aan de DPO had gesteld, eerst liet valideren door de directie van het ziekenhuis alvorens deze over te maken aan de inspectiedienst van de toezichthouder. De DPO handelt correct, door de antwoorden eerst te laten valideren door de directie.
Stappenplan om belangenconflicten te vermijden
Welke acties kan een bedrijf nemen om belangenconflicten te vermijden? Onderstaande stappen helpen een belangenconflict te vermijden:
Stap 1: Stel een lijst op van verschillende rollen en taken van de DPO
Wanneer de DPO meerdere rollen combineert, documenteer dan waarom deze rollen niet conflicteren. Indien je inschat dat er in specifieke gevallen een conflict zou kunnen ontstaan, benoem deze situatie en geef aan hoe je een conflict in rollen vermijdt.
Stap 2: Stel een lijst op van conflicterende taken
De Algemene Verordening Gegevensbescherming legt een bedrijf dat persoonsgegevens verwerkt verschillende administratieve verplichtingen op: het bedrijf dient een register van verwerkingsactiviteiten op te stellen, gegevensbeschermingseffectbeoordelingen uit te voeren, de rechten van de betrokkene correct te ondersteunen, … Voor al deze taken moet worden vastgelegd wie de taak uitvoert en wie waakt over de correcte uitvoering ervan. Bij elke taak moet worden geanalyseerd welke taak de DPO kan uitvoeren en welke niet, en wat de rol van de directie is. Een lijst van de taken van de DPO bij het invullen van alle administratieve verplichtingen vind je hier.
Stap 3: De ethische gedragscode
De DPO dient te allen tijde zelf een neutrale houding aan te nemen en integriteit hoog in het vaandel te dragen. Van zodra hij/zij ondervindt dat deze neutraliteit in het gedrang zou kunnen komen dient de DPO zelf de nodige stappen te ondernemen om deze situatie rechtstreeks bij bijvoorbeeld het interne audit departement of de CEO aan te kaarten zodat de nodige acties op tijd kunnen worden genomen. Hierover kunnen richtlijnen worden opgenomen in een gedragscode.
Bronvermelding: https://news.bloomberglaw.com/privacy-and-data-security/insight-avoiding-conflicts-of-interest-in-selecting-a-data-protection-officer