In een beslissing van 28 april 2020 legt de (Belgische) Gegevensbeschermingsautoriteit (GBA) een boete op van 50.000 euro aan een onderneming omdat niet is voldaan aan de vereiste onafhankelijkheid van haar Data Protection Officer (DPO).
Een inbreuk op artikel 38.6 GDPR, zo oordeelt de GBA. Dit wetsartikel verplicht ondernemingen om ervoor te zorgen dat de bijkomende taken of plichten van de Data Protection Officer (DPO) niet tot een belangenconflict kunnen leiden. Een DPO moet immers een autonoom en onafhankelijk statuut hebben binnen de onderneming. Hij mag geen functies vervullen waarbij hij/zij het doel en de middelen van de verwerkingsactiviteiten zou bepalen.
Omdat de DPO van de onderneming in kwestie tegelijk aan het hoofd staat van drie departementen ontbreekt volgens de GBA enig mogelijk onafhankelijk toezicht vanwege de DPO. Het cumuleren van de verschillende functies kan ertoe leiden dat de geheimhouding en vertrouwelijkheid t.o.v. personeelsleden onvoldoende kan worden gegarandeerd, zo stelt de GBA.
De GBA legt een corrigerende maatregel op (nl. het in overeenstemming brengen van de situatie met artikel 38.6 GDPR) alsook een boete van 50.000 euro. De hoogste boete tot nu toe opgelegd door de (Belgische) GBA.
De volledige beslissing ten gronde kan u lezen op: https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL.pdf.
Een DPO moet volgens de GDPR worden aangewezen op grond van zijn/haar professionele kwaliteiten en, in het bijzonder, zijn/haar deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.
Portelio treedt op als extern DPO voor cliƫnten die niet over de vereiste interne expertise of middelen beschikken. Mr. Sander Vanderheyde is hiervoor gecertificeerd.
Meer weten? Contacteer Portelio.