Op 28 april 2020 heeft de Gegevensbeschermingsautoriteit België (GBA) een uitspraak gedaan, waarin de GBA een boete van EUR 50.000 heeft opgelegd wegens belangenverstrengeling van de Functionaris van de Gegevensbescherming (FG) binnen de organisatie. Voor zover ons bekend, is dit de eerste keer dat een privacy toezichthouder hierover uitspraak doet en ook een boete hiervoor oplegt.
De uitspraak heeft betrekking op een telecommunicatie- en ICT-bedrijf met activiteiten in België en op de internationale markten. Dit bedrijf is op basis van de AVG verplicht om een FG aan te stellen. Aanleiding voor het onderzoek van de GBA was een datalekmelding van de organisatie. Wegens de aard van het datalek, besloot de GBA een onderzoek te starten naar het beleid omtrent datalekken en de rol van de FG binnen de organisatie. Inzake het datalek heeft de GBA geen overtreding van de AVG geconstateerd. Wel heeft de GBA geconcludeerd dat de organisatie de AVG heeft overtreden door de manier waarop de functie van de FG is vormgegeven.
De belangrijkste punten uit de beslissing zijn:
- Andere functies uitoefenen naast functie van FG: De AVG schrijft voor dat de FG ook andere taken en plichten kan vervullen naast deze die voortkomen uit de functie van FG. Deze taken of plichten mogen echter niet tot een belangenconflict leiden. In deze zaak vervulde een en dezelfde persoon zowel de functie van FG als de functie van directeur van de departementen audit, risk en compliance.
- Achteraf informeren FG is onvoldoende: De FG louter achteraf informeren over een beslissing omtrent gegevensverwerking is niet voldoende om de functie van FG volledig te respecteren. Het is van cruciaal belang dat de FG bij de start van de verwerkingsactiviteiten wordt geïnformeerd en geconsulteerd en niet enkel achteraf wordt geïnformeerd.
- Belangenconflict: De FG in deze zaak had als directeur de verantwoordelijkheid voor drie departementen en bekleedde daarnaast de functie van FG. In de hoedanigheid van directeur bepaalde deze persoon de doelstellingen van en de middelen voor de verwerking van persoonsgegevens. Deze persoon was daarmee verantwoordelijk voor de gegevensverwerkingsprocessen die vallen onder de drie departementen. Aangezien de FG, onder andere, als taak heeft om toe te zien op naleving van de AVG, kan deze functie niet worden gecombineerd met functie als directeur van het departement dat door de FG gecontroleerd moet worden. Het feit dat beide functies alleen adviserend van aard zijn, doet hier niets aan af.
Boetebedrag hoger door op grote schaal verwerken van persoonsgegevens
De GBA legt een administratieve boete op van EUR 50.000. Dit boetebedrag is gebaseerd op het feit dat de organisatie als kernactiviteit het op grote schaal verwerken van persoonsgegevens heeft. Daarom is het volgens de GBA gerechtvaardigd om van een organisatie zoals deze, te verwachten een gedegen kennis van de AVG te hebben. Aangezien de FG een sleutelrol vervult binnen de AVG, heeft de organisatie des te meer de plicht om te zorgen dat de uitoefening van de functie van FG voldoet aan de eisen die de AVG aan deze functie stelt. Daarnaast stelt de GBA dat doordat de organisatie persoonsgegevens van miljoenen betrokkenen verwerkt, schending van de AVG zorgt voor benadeling van miljoenen betrokkenen waarvan persoonsgegevens verwerkt worden. Dit is des te meer van belang, omdat de persoonsgegevens een grote mate van gevoeligheid kunnen hebben en regelmatige en stelselmatige observatie mogelijk maken.
De uitspraak geeft inzicht in hoe organisaties de functie van FG moeten invullen. Ook maakt deze beslissing duidelijk dat de rol van de FG binnen een organisatie voor privacy autoriteiten een indicatie kan zijn voor hoe de AVG wordt nageleefd. Wij adviseren om de positie van de FG ook mee te nemen in het AVG compliance plan.
Wilt u meer informatie over het aanstellen van een FG of de positie van de FG binnen uw organisatie? Neem dan contact op met Elisabeth Thole.