De kernprincipes rond de aanstelling van een DPO zijn in de AVG duidelijk gedefinieerd. Toch zien we vaak nog dat het bij deze basale principes fout gaat bij organisaties. In dit artikel overlopen we nog eens de principes van onafhankelijkheid, betrokkenheid, en kwaliteit van de DPO.

Een DPO moet onafhankelijk zijn

Onafhankelijk betekent voor DPO’s voornamelijk dat die geen belangenconflicten mogen hebben bij het uitoefenen van hun functie. Zo’n belangenconflict is zeker niet ondenkbaar, de AVG voorziet immers duidelijk dat een DPO nog andere verantwoordelijkheden mag hebben naast de rol van DPO. Waar ligt dan de grens?

Het Hof voor Justitie in de Europese Unie (HvJEU) zocht deze grens op in zaak C-453/21 en concludeerde dat het een probleem wordt wanneer andere taken of verantwoordelijkheden inhouden dat de DPO mee bepaalt hoe en waarom (doel en middelen) persoonsgegevens verwerkt worden binnen een organisatie. Op dat moment ontstaat immers een positie waarin de DPO moet gaan adviseren of toezichthouden op zaken waar men zelf mee aan de knoppen zat.

Concreet zijn daarom rollen waarin de DPO een belangrijke leidinggevende positie bekleedt of mee beslissingen neemt binnen de organisatie geen acceptabele combinatie met de rol van DPO.

Onafhankelijkheid mag dus van een DPO verwacht worden, maar dan moet een DPO ook een bepaalde bescherming genieten: DPO’s mogen niet ontslagen worden vanwege de uitoefening van hun taken. Ook hier sprak het HvJEU zich al eens over uit en kennen we zelfs een zaak bij de Franstalige arbeidsrechtbank waar een ontslagen DPO zelfs een schadevergoeding ontving.

De DPO moet betrokken zijn en gepast kunnen rapporteren

De onafhankelijkheid betekent echter niet dat de DPO in een vacuum moet opereren. Integendeel, een DPO moet actief betrokken worden als het gaat over de verwerking van persoonsgegevens. Adviseren of toezicht houden kan immers niet vanuit de klassieke “Ivoren Toren”. Die verantwoordelijkheid rust overigens niet enkel op de DPO, intern zal men de rol van de DPO zo moeten integreren dat de DPO toegang heeft tot alle relevante informatie. Iets waar de GBA in eerdere beslissingen reeds aandacht voor vroeg, bijvoorbeeld rond het informeren van de DPO over incidenten die plaatsvinden of het proactief inwinnen van advies van de DPO.

Nu heeft betrokken zijn weinig nut als de DPO vervolgens niet op een gepast niveau kan adviseren. Projecten of activiteiten waarbij veel of gevoelige persoonsgegevens worden verwerkt zijn vaak strategisch belangrijk of raken aan belangrijke processen binnen een organisatie. Dan is het niet gepast om aan om het even welke leidinggevende verslag uit te brengen. Het is ook daarom dat de DPO, wettelijk voorzien, moet rapporteren aan het hoogst leidinggevende orgaan binnen een organisatie. De GBA interpreteerde dit in het verleden strikt, zoals in een zaak waarbij rapportage aan louter de algemeen directeur van een gemeente niet werd aanzien als het hoogst leidinggevende niveau maar wel het College van Burgemeester en Schepenen.

De DPO moet voldoende kennis hebben

Adviseren over en toezicht houden op de verwerking van persoonsgegevens vereist specifieke expertise. De wetgever was zich hiervan bewust bij het opstellen van de AVG en stelt zeer specifiek dat de DPO dient te beschikken over de nodige professionele kwaliteiten om de rol goed in te vullen. In een eerdere beslissing besloot de GBA dan ook dat de aanstelling van de DPO niet louter een vormvereiste is maar dat de organisatie moet kunnen aantonen dat de DPO die zij aanstelt voldoet aan de voorwaarden rond kennis en kwaliteit.

Een belangrijk middel om aan te geven dat de DPO over de vereiste kennis beschikt, zijn relevante opleidingen op het gebied van gegevensbescherming. Een vacature voor een DPO waarin wordt aangegeven dat “kennis van de AVG een pluspunt is” werd door de GBA dan ook niet voldoende bevonden: dit lijkt te insinueren dat men geen kennis moet hebben, enkel dat het een bijkomstigheid is. De GBA was het daar uiteraard niet mee eens.

 


Meer weten over de rol van DPO?

De kennis opdoen om zelf de rol van DPO in te vullen? Het Data Protection Institute helpt je graag! De komende periode is er ook nog eens een speciaal combinatie-aanbod bij onze opleidingen: volg de DPO certificatietraining en ontvang een vol jaar Stay Tuned er gratis bij!

De komende periode is er ook nog eens een speciaal combinatie-aanbod bij onze opleidingen: volg de DPO certificatietraining en ontvang een vol jaar Stay Tuned er gratis bij.

Inschrijven kan via deze link.

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in