De Belgische privacy waakhond, De Gegevens Beschermings Autoriteit (GBA), heeft in een nogal bijzondere zaak een boete opgelegd in verband met onvoldoende onafhankelijkheid van de FG. De melding van een datalek eindigde in een boete vanwege onvoldoende onafhankelijkheid van de Functionaris Gegevensbescherming. De rol van FG die naast een andere functie werd bekleed vormde in dit geval een inbreuk op art.38.6 AVG.
Een datalek als aanleiding
Het balletje in deze zaak ging rollen door een datalek, maar mondde uiteindelijk uit in een boete wegens te weinig onafhankelijkheid van de FG.
Het datalek vond plaats naar aanleiding van een aantal uitnodigingen die door de verweerder werden verstuurd naar o.a. zelfstandigen en vrije beroepers teneinde over te schakelen van een papieren naar een elektronische factuur. Door een fout in de selectie van de e-mailadressen werden een aantal van de uitnodigingen gelinkt aan vrije beroepers en zelfstandigen (en vervolgens ook de elektronische factuur) verstuurd naar secundaire e-mailadressen die in de databanken van de verweerder verbonden werden met een klant, maar mogelijks geen directe link hebben met de betrokken klant.
De communicatie over dit datalek werd gevoerd met de zogenaamde Eerstelijnsdienst van de GBA. Dit overleg gaf aanleiding tot een nota die door de Eerstelijnsdienst werd voorgelegd aan het Directiecomité met het voorstel om het bestaan van ernstige aanwijzingen te beoordelen en het dossier vervolgens voor te leggen aan de Inspectiedienst om de aanpak van datalekken door de verweerder te laten onderzoeken. De Inspectiedienst op haar beurt maakte de zaak aanhangig bij de Geschillenkamer. De Geschillenkamer deed een uitspraak in een beslissing ten gronde.
Waarom is er geen onafhankelijkheid van de Functionaris Gegevensbescherming?
Van de 3 aangedragen punten werd alleen het derde punt gegrond verklaard. Het derde punt betrof:
“de niet-naleving van de verplichting van de verweerder om een belangenconflict in hoofde van de functionaris voor gegevensbescherming te vermijden (artikel 38.6 AVG) en het niet afdoende betrekken van de functionaris voor gegevensbescherming (artikel 38.1 AVG)”
Met betrekking tot het tweede deel van punt 3 concludeert de Geschillenkamer dat er geen inbreuk op art. 38.1 kan worden vastgesteld. De FG is in voldoende mate betrokken geweest bij het datalek.
Ten aanzien van het belangenconflict pakt het oordeel van de Geschillenkamer anders uit. De FG was naast die functie ook directeur van de afdelingen Interne Audit, Risk Management en Compliance bij dezelfde organisatie. De FG was dus ook verantwoordelijk voor compliance, risk management en interne audit binnen de organisatie waar hij verantwoordelijk was voor toezicht op naleving van de AVG.
De organisatie benadrukte dat
- alle 3 de afdelingen een onafhankelijke en adviserende rol hebben
- de Directeur geen beslissingsbevoegdheid heeft met betrekking tot de verwerkingsactiviteiten.
De Geschillenkamer gaat hier niet in mee want oordeelt dat daarmee niet is aangetoond dat de FG die deel uitmaakt van de 3 afdelingen geen taken uitvoert die onverenigbaar zijn met zijn rol als FG. “De onafhankelijkheid en adviserende rol van de afdelingen mag niet zonder meer doorgetrokken worden naar de persoon die de rol van FG bekleedt en verantwoordelijk is voor de afdelingen”.
De verantwoordelijkheid voor de drie afdelingen houdt in dat die persoon zeggenschap heeft over en verantwoordelijk is voor de verwerking van persoonsgegevens binnen deze drie afdelingen. Dit zou betekenen dat de FG ook het beleid dat hij heeft ontwikkeld in zijn rol als directeur zou moeten controleren. De GBA benadrukt daarnaast dat het beoordelen van het functioneren van werknemers via een interne audit op gespannen voet staat met de vertrouwensfunctie die de FG heeft binnen de organisatie. Het feit dat het slechts om een adviserende functie gaat en geen sprake is van beslissingsbevoegdheid, doet daaraan niets af.
In haar beslissing verwijst de Geschillenkamer naar de Richtlijnen voor functionarissen gegevensbescherming van de WP 29, de voorganger van de European Data Protection Board (EDPB). In deze richtlijn merkt de WP 29 op dat de FG geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen.
De Geschillenkamer beslist derhalve op basis van bovenstaande dat er in dit specifieke geval sprake is van een inbreuk op art.38.6 AVG, op de onafhankelijkheid van de Functionaris Gegevensbescherming. “De organisatie moet de verwerking in overeenstemming brengen met art. 38.6 AVG en er aldus voor zorgen dat deze taken of plichten niet tot een belangenconflict leiden”. Daarnaast wordt een administratieve boete van EURO 50.000 opgelegd.
Waar ging het mis?
Op zich is het toegestaan dat de FG andere taken in de organisatie heeft. Om onafhankelijkheid van de Functionaris Gegevensbescherming te waarborgen bepaalt art. 38.6 AVG dat de organisatie er voor moet zorgen dat die andere taken of plichten niet tot een belangenconflict leidt. De WP29 geeft in haar Richtlijn uit 2016 nadere invulling aan dit open begrip:
- Het uitblijven van een belangenconflict hangt nauw samen met de vereiste om autonoom te handelen.
- De andere taken en plichten mogen geen aanleiding geven tot enig belangenconflict.
- De FG kan daarom geen functie bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen.
- Gezien de specifieke organisatiestructuur van elke organisatie moet dit geval per geval worden
De WP 19 geeft de volgende vuistregel voor functies met een belangenconflict:
- functies in het hogere management (bv. Chief Executive, Chief Operating, Chief Financial, Chief Medical Officer, hoofd van de marketingafdeling, hoofd van Human Resources of hoofd van de IT-afdeling),
- lagere functies binnen de organisatiestructuur als deze personen de doelstellingen van en middelen voor de verwerking van gegevens moeten bepalen.
Op zich kan ik me de constructie, zelfs met inachtneming van bovenstaande vuistregels, die de organisatie heeft gekozen wel voorstellen. De rol van FG is niet in de core business van de organisatie geplaatst maar bij stafachtige afdelingen Compliance, Risk management, Interne Audits. Afdelingen die allemaal activiteiten ontplooien die vaak ook terug komen in de functie van FG. Ook hebben alle afdelingen net als een FG een onafhankelijke, adviserende rol.
Waar het mis ging is dat de rol van FG neergelegd was bij de directeur van de afdelingen. De onafhankelijkheid van de Functionaris Gegevensbescherming was daardoor onvoldoende gewaarborgd omdat deze ook het doel en de middelen van de verwerking van persoonsgegevens binnen de afdeling bepaalt.
Meer lezen?
Download dan de Whitepaper De FG, een merkwaardig figuur.