De rol van de Functionaris Gegevensbescherming (FG)

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

Naast de effectbeoordeling is de functionaris voor gegevensbescherming (FG) de tweede emblematische creatie van de AVG. In Frankrijk vervangt deze logischerwijs de functionaris voor gegevensbescherming (FG) en de functionaris voor gegevensbescherming (FG). Opgemerkt dient echter te worden dat de Europese Unie de aanstelling van een FG al lang aanbeveelt in grote administratieve en economische structuren, en dat sommige deze aanbeveling hebben gevolgd.

De G29 heeft gewerkt aan de rol van de DPO en een aantal "richtlijnen" aangenomen, die op 5 april 2017 zijn afgerond. Deze details helpen ons de contouren en inhoud van deze sleutelpositie te schetsen.

De aanwijzing van een FG is verplicht voor (art. 37-1):

– overheidsinstanties;

– organisaties waarvan de kernactiviteiten vereisen dat zij op grote schaal regelmatig en systematisch personen monitoren. De G29 maakt onderscheid tussen ondersteunende activiteiten, zoals salarisadministratie of IT, en kernactiviteiten die betrekking hebben op de kernactiviteiten van de organisatie (bijvoorbeeld gezondheidsgegevens voor een ziekenhuis). Evenzo hanteert de G29 een zeer brede opvatting van het concept "regelmatige en systematische monitoring", dat niet beperkt is tot de online omgeving;

– organisaties waarvan de kerntaken ertoe leiden dat zij op grote schaal ‘gevoelige’ gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerken (G29 biedt belangrijke elementen voor het bepalen van wat onder ‘grote schaal’ wordt verstaan).

Een groep bedrijven, of een groep overheidsinstanties, mag één DPO aanstellen (art. 37-2 en 37-3). Uiteraard wordt de aanstelling van een DPO sterk aanbevolen door de G29, ook hier als goede praktijk.

De functionaris voor gegevensbescherming wordt door de verwerkingsverantwoordelijke, en in voorkomend geval de verwerker, aangesteld op basis van zijn of haar professionele kwaliteiten, "met name zijn of haar specialistische kennis van de wetgeving en de praktijk inzake gegevensbescherming, en zijn of haar vermogen om zijn of haar taken uit te voeren" (art. 37-5). Hoe complexer de verwerkingen, hoe hoger de verwachte vaardigheden.

De FG kan intern of extern aan de organisatie werkzaam zijn en in het laatste geval zijn/haar taak op contractbasis uitvoeren. Indien de dienstverlener een team vormt, moeten de taken van elk lid worden gespecificeerd en moet een teamleider worden aangewezen. De WP29 beveelt aan dat de FG gemakkelijk bereikbaar is en daarom in de Europese Unie gevestigd is. Echter, met name wanneer de verwerkingsverantwoordelijke of de verwerker buiten de Europese Unie gevestigd is, is het acceptabel dat de FG buiten de EU gevestigd is, indien hij/zij op die manier effectiever kan optreden.

De FG vervult niet slechts een symbolische rol. Hij moet door de verwerkingsverantwoordelijke en de verwerker worden betrokken "bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens" (art. 38-1). Hij kan worden gecontacteerd door iedereen van wie persoonsgegevens worden verwerkt (art. 38-4). Hij beschikt over de "noodzakelijke middelen" om zijn taken uit te voeren, hij heeft toegang tot de gegevens en verwerkingen, en hij moet zelfs "zijn gespecialiseerde kennis kunnen onderhouden" (art. 38-2). Met "noodzakelijke middelen" bedoelt de G29 ook ondersteuning door middel van toezicht, voldoende tijd, materiële omstandigheden en opleiding. De FG is in zekere zin geheiligd.

Temeer daar zijn onafhankelijkheid gewaarborgd is. Hij kan immers geen "instructies ontvangen met betrekking tot de uitoefening van de opdrachten" (art. 38-3). De verwerkingsverantwoordelijke en de onderaannemer hebben geen enkele macht over hem (ze hebben wel de bevoegdheid hem aan te stellen), die enkel verantwoording verschuldigd is aan het "hoogste niveau" van hun management. Hij is bovendien onderworpen aan het beroepsgeheim en de geheimhoudingsplicht (art. 38-5).

Ondanks hun status is de FG niet aansprakelijk voor niet-naleving van de AVG door de organisatie die hen inhuurt. Alleen de verwerkingsverantwoordelijke en/of de verwerker zijn aansprakelijk. Strafrechtelijke aansprakelijkheid kan alleen worden opgelegd in geval van medeplichtigheid aan een opzettelijke schending.

De functionaris voor gegevensbescherming kan andere taken en bevoegdheden uitoefenen, die geen belangenconflicten met zich mee mogen brengen (art. 38-6). Het is daarom onmogelijk voor hem om functies uit te oefenen die hem ertoe zouden brengen te beslissen over de doeleinden en middelen van de verwerking van persoonsgegevens. Een functionaris voor gegevensbescherming kan daarom nauwelijks managementfuncties binnen de organisatie uitoefenen of werken binnen de afdeling die verantwoordelijk is voor gegevensbeheer. In 2015 voerde de CNIL een onderzoek uit om de profielen van functionarissen voor gegevensbescherming te bepalen; daaruit bleek dat er geen typisch profiel was: 47 % hadden een technisch profiel, 19 % een juridisch profiel en 10 % een administratief profiel. Het is waarschijnlijk dat deze afwezigheid van een typisch profiel, althans in eerste instantie, bij functionaris voor gegevensbescherming zal voorkomen.

Artikel 39 van de AVG somt de taken van de gedelegeerde op:

– de verwerkingsverantwoordelijke, de verwerker en de werknemers die de verwerking uitvoeren, informeren en adviseren over hun verplichtingen met betrekking tot de regels inzake de verwerking van persoonsgegevens;

– toezicht houden op de naleving van de regelgeving, maar ook bewustwording creëren en het personeel dat betrokken is bij de verwerkingsprocessen opleiden;

– desgevraagd advies geven over de impactbeoordeling. De richtlijnen van WP29 geven de DPO duidelijk een belangrijke rol in deze beoordeling. Hij of zij moet worden geraadpleegd over de actualiteit, methodologie en inhoud, en vervolgens de kwaliteit ervan beoordelen;

– samenwerken met de toezichthoudende autoriteit en het aanspreekpunt voor deze autoriteit zijn. Op het moment van schrijven is de CNIL bezig met het ontwikkelen van een formulier voor het aanwijzen van de FG.

Het staat niet in het artikel, maar de G29 voegt een extra, optionele, taak toe aan de DPO: "Niets belet de verwerkingsverantwoordelijke of de verwerker om de DPO te belasten met de taak om een register bij te houden van de verwerkingsoperaties die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker worden uitgevoerd." Is dit wellicht een suggestie om de informatiestroom tussen de verschillende actoren te vergemakkelijken?

Dit zou niet nutteloos zijn. Want na de analyse van deze functie stellen we vast dat het niet gemakkelijk zal zijn om, zelfs niet in een groot bedrijf, iemand te vinden die competent is om deze belangrijke rol te vervullen en die bovendien niet verantwoordelijk is voor de verwerking van gegevens om belangenconflicten te voorkomen. Het is immers niet gemakkelijk om op de hoogte te zijn van de bepalingen van een verordening, en vooral niet van de gevolgen ervan, wanneer men ze niet zelf hoeft toe te passen in het kader van zijn werk.

Op dit punt is de probleemstelling voor het benoemen van uw DPO eenvoudig, ook al zijn het eigenlijk drie afzonderlijke stellingen:

Bij een interne benoeming moeten meerdere obstakels worden overwonnen, zoals het sociale aspect en de heronderhandeling van de arbeidsovereenkomst. In dit geval is het dan ook een veilige gok dat de reikwijdte van deze nieuwe missie niet bekend was bij de initiële ondertekening van het contract. Als we het begrip risico, de directe en exclusieve ondergeschiktheid aan de governance van het bedrijf en niets anders, toevoegen, is het een substantiële wijziging van het contract, het is dus een nieuwe arbeidsovereenkomst. En wie zal het intern beoordelen en controleren? En wie zal zijn of haar werk doen, aangezien zij niet langer rechter en arbiter kunnen zijn...

Neem hem aan en de vraag stijgt enorm. Het profiel is zo gewild bij grote en middelgrote bedrijven dat er sprake is van een ware inflatie, door een tekort. En het probleem blijft: wie gaat hem beoordelen en monitoren?

Waarom zouden we deze FG-functie dan niet delegeren aan een beëdigd professional, die zijn of haar rol kan uitoefenen met een bekwaamheid en onafhankelijkheid die intern moeilijk te verenigen is? De verordening zegt niets over deze mogelijkheid, en het zal in de praktijk moeten blijken of dit denkbaar en wenselijk is (niets belet ons om de CNIL hierover te ondervragen). Hoe dan ook, het lijkt ons interessant, een garantie voor een goede relatie tussen de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming.

Tot slot kunnen wij er ook voor kiezen om geen DPO aan te stellen, omdat u daartoe niet strikt verplicht bent.