Data Protection Officer mag geen dubbele pet op hebben

In Duitsland is een bedrijf door de Duitse privacy toezichthouder op de vingers getikt omdat de Data Protection Officer  (“DPO”) ook de IT-manager van het bedrijf is. Volgens de Duitse privacywet is een bedrijf waarin tenminste 10 personen betrokken zijn met de verwerking van persoonsgegevens verplicht om een DPO aan te stellen. Een bedrijf mag een werknemer tot DPO aanstellen of een externe DPO aannemen. De Duitse privacy toezichthouder heeft nu geoordeeld dat een DPO bij een bedrijf niet ook nog een andere functie kan hebben, zoals bijvoorbeeld de functie van IT-manager. Volgens de toezichthouder zijn de functies onverenigbaar omdat de DPO in deze constructie zichzelf moet beoordelen en monitoren. Dit is onwerkbaar.

De beslissing van de Duitse privacy toezichthouder is interessant in de aanloop naar de Algemene Verordening Gegevensbescherming (“AVG”). Op basis van de AVG worden bepaalde bedrijven[1] straks verplicht een DPO aan te stellen. Met de beslissing van de Duitse privacy toezichthouder in het achterhoofd en op basis van de AVG [2]moeten dergelijke organisaties straks goed nagaan wie de functie van DPO krijgt omdat de wetgeving vereist dat de taken en plichten van de DPO niet kunnen leiden tot belangenverstrengeling.

Bedrijven moeten er dus rekening mee houden dat de Autoriteit Persoonsgegevens, net als haar Duitse equivalent, op de onafhankelijkheid van de DPO gaat toezien en mogelijk ook boetes kan gaan uitdelen indien in de ogen van de AP sprake is van mogelijke belangenverstrengeling. Let dus goed op wie je als DPO aanstelt.

Binnen het kader van de AVG zal ik met mijn collega Robert Span een lezing geven over dit onderwerp. Klik hier voor meer informatie.

[1] Overheidsinstellingen en  organisaties die op grotere schaal persoonsgegevens verwerken, mensen monitoren of organisaties die privacygevoelige gegevens vastleggen zoals gezondheids- of geloofsgegevens.

[2] Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, ongeacht of zij in dienst zijn van de (verwerkings)verantwoordelijke.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.