Aanbeveling 04/2017 van 24 mei 2017 van de CBPL : veiligheidsconsulent als DPO ?
Aangezien het voor vele ondernemingen niet duidelijk is of die functie cumuleerbaar is met die van veiligheidsconsulent, heeft de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (verder CBPL) op 24 mei 2017 een, echter niet alomvattende, aanbeveling 04/2017 uitgebracht.
De nieuwe algemene verordening gegevensbescherming (verder AVG), die op 25 mei 2018 in werking zal treden, bepaalt de gevallen waarin u een functionaris voor gegevensbescherming (DPO: data protection officer, verder zo aangeduid) dient aan te duiden.
We hebben het belang van het vermijden van belangenconflicten bij de aanstelling van de DPO reeds aangehaald.
Het is belangrijk dat u erop let dat de gekozen DPO kan voldoen aan alle wettelijke vereisten. Hij moet zijn opdracht volledig, correct en onafhankelijk kunnen uitvoeren, dit eventueel in combinatie met een eerdere aangenomen functie.
Het antwoord is volgens de aanbeveling echter noch zwart, noch wit. De taken en het profiel van de DPO en de veiligheidsconsulent worden verder geduid evenals op bepaalde punten met elkaar vergeleken en omtrent hun verzoenbaarheid getoetst.
De CBPL herneemt en omschrijft daarnaast de criteria uit de AVG ter waarborging van de nodige onafhankelijkheid (p.17/21-18/21, n° 48). Zo dient u bijvoorbeeld het risico op belangenvermenging in het kader van andere “conflicterende functies/posities” te vermijden.
Tenslotte nodigt de CBPL u uit om geval per geval te onderzoeken of er belangenconflicten bestaan. U dient daarbij te noteren dat de CBPL van oordeel is dat de latere functie van adviesverlening en controle uiteraard niet verenigd kan worden met het eerdere zelf bepalen van de verwerkingsmiddelen en –wijzen.
Geen goedkeuring door de CBPL
De CBPL benadrukt dat de verwerkingsverantwoordelijken en verwerkers uiteindelijk zelf instaan voor de keuze van wie zij aanstellen als DPO. De CBPL is als toezichthoudende overheid niet bevoegd om die keuze goed te keuren. Zij moet onafhankelijk kunnen blijven bij latere controles. Er wordt u dan ook aangeraden om de uiteindelijke keuze van DPO en de verantwoording daarvan te documenteren. Zo kan u zich later verantwoorden (accountability-principe).
Ons advies:
De AVG treedt reeds over een goede 8 maanden in werking.
Zoals ook de CBPL het stelt, kan de DPO gelet op het belang van zijn functie en takenpakket een werkelijk competitiviteitsinstrument worden voor ondernemingen.
Daarnaast kan u ingevolge enige inbreuk inzake de verplichtingen voor de DPO belangrijke administratieve geldboeten oplopen, dit tot een bedrag van wel 10.000.000 EUR of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, zo dat cijfer hoger is.
Informeer u dus tijdig om de geschikte persoon aan te duiden.
Zo geen enkel intern profiel aangepast zou zijn, mag u beroep doen op een externe functionaris teneinde de taak van DPO waar te nemen.
Zo u bijkomende informatie wenst aangaande wie aan te stellen als DPO, kan u aanstaande 5 oktober 2017 te Brussel gratis, doch mits verplichte inschrijving deelnemen aan het ontbijtdebat EARLEGAL dat specifiek toegewijd zal zijn aan de functie van de DPO. Later kan u de samenvattende video van voormeld ontbijtdebat raadplegen via deze link. Voor verdere bijkomende informatie kan u uiteraard ook steeds beroep doen op ons departement Creactivity, gespecialiseerd in gegevensbescherming en privacy.