Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (‘AVG’) spelen functionarissen voor gegevensbescherming een centrale rol bij de naleving van de bepalingen van de AVG en bij de bescherming van de persoonsgegevens binnen organisaties. In bepaalde situaties is het hebben van een functionaris voor gegevensbescherming (‘FG’) voor organisaties zelfs verplicht. Hoewel het concept van de FG niet nieuw is en in verschillende lidstaten gewoonte is om een FG aan te stellen, levert de uitvoering nog weleens problemen en onduidelijkheden op. In een poging deze moeilijkheden weg te nemen en de beroepsgroep verder te professionaliseren heeft de Autoriteit Persoonsgegevens (‘AP’) recentelijk uitgangspunten gepubliceerd voor het inrichten van sterk intern toezicht.
In deze blog zal een samenvatting worden geven over de positionering van de FG binnen een organisatie.
Wat zijn de rollen van de functionaris gegevensbescherming?
Binnen een organisatie vervult de FG de rol van adviseur, toezichthouder en informatieknooppunt.
1. De FG als adviseur:
- Binnen zijn rol als adviseur informeert en adviseert de FG de verwerkingsverantwoordelijke of de verwerker en werknemers die verwerken over hun verplichtingen zo volgt uit de AVG. De AP verduidelijkt nu dat dit inhoudt dat de FG een interne en onafhankelijke privacyfunctionaris is die toeziet op de naleving van het door de organisatie opgestelde privacybeleid en adviseert over de risico’s hiervan.
- Bij specialistische casussen kan de FG (juridisch) advies inwinnen bij externe partijen voordat advies wordt gegeven aan de organisatie. Hiervoor kan de FG echter niet de AP raadplegen.
- Wanneer nieuwe producten of diensten worden ontwikkeld adviseert de FG over hoe verwerkingen rechtmatig, behoorlijk en transparant kan plaatsvinden. Hierbij geldt dat de FG niet verantwoordelijk is voor het opvolgen van zijn adviezen maar wel stimuleert om de organisatie zich bewust te laten worden van privacyrisico’s die zich voordoen. Dit kan enkel bereikt worden indien de FG goed zichtbaar is binnen de organisatie en direct benaderbaar is voor zowel personen binnen de organisatie als daarbuiten.
2. In het verlengde van de adviserende rol van de FG ligt zijn rol als toezichthouder:
- De FG ziet toe op de naleving van de bepalingen in de AVG en op het beleid van de verwerkingsverantwoordelijke of verwerker met betrekking tot de bescherming van persoonsgegevens.
- Het toewijzen van verantwoordelijkheden, bewustmaking en opleiding van de bij de verwerking betrokken personeel en de betreffend audits valt hier ook onder. Dit doet de FG door mogelijk het hoogste bestuurlijke niveau van de organisatie aan te spreken en een rapport op te stellen wanneer dingen fout gaan of risico’s worden gesignaleerd.
- Wanneer grote zorgen over het bewust niet-naleven van de AVG zijn moet de FG dit kunnen melden bij de AP.
3. Naast dat de FG zijn rol als adviseur en toezichthouder fungeert de FG ook als informatieknooppunt:
- Door de onafhankelijke positie van de FG is het volgens de AP het niet gepast voor de FG om in juridische procedures voor de organisatie te spreken. Dit lijkt echter niet altijd duidelijk voor zowel organisaties alsmede de FG zelf, zoals blijkt uit KNLTB-boete waarin de KLNTB zich stelt op het standpunt dat de AP de FG ten onrechte niet heeft betrokken bij het onderzoek ondanks de bereidheid van de FG om mee te werken en inlichtingen te verstrekken.
- Aansluitend mag de FG ook geen functies vervullen met verantwoordelijkheid voor gegevenswerking, dit tevens om de onafhankelijkheid van de FG te kunnen waarborgen door het uitsluiten van een belangenconflict.
- Hoewel de FG dus niet namens de organisatie mag spreken kan de FG wel als contactpunt optreden bij regulier contact met de AP.
De verantwoordelijkheden van de organisatie naar de FG
Om de hierboven genoemde rollen zo goed mogelijk te kunnen uitvoeren heeft de organisatie verantwoordelijkheden naar de FG toe. De organisatie moet erop toezien dat de FG een onafhankelijke positie binnen de organisatie kan bekleden, hij adequaat toegang heeft tot het hoogste bestuurlijke niveau binnen de organisatie en voldoende tijd en middelen krijgt om zijn taak uit te voeren. Indien dit niet gebeurt kan de AP de organisatie hierop aanspreken. Ook moet de FG de mogelijkheid krijgen zijn deskundigheid en vaardigheden op peil te houden. Wel wordt verwacht dat de FG hier zelf het voortouw in neemt. Naast de verantwoordelijkheid om de FG in staat te stellen zijn taken naar behoren uit te voeren, is het ook de verantwoordelijkheid van de organisatie om de FG tijdig en naar behoren te informeren over contact tussen de AP en de organisatie. De organisatie dient hiervoor regels op te stellen zodat het niet van willekeur afhangt of de organisatie de FG informeert.
Processen
In de uitgangspunten wordt ook duidelijkheid verschaft over de relatie tussen de AP en FG in verschillende processen. Bij klachten van betrokkenen zoals burgers, klanten of medewerkers over de verwerking van persoonsgegevens dient de FG als eerste aanspreekpunt. De AP checkt of de FG heeft toegezien op de behandeling van de klacht en neemt eventuele input van de FG mee. Wanneer de klacht direct tot de AP wordt gewend kan de AP de betrokkene verzoeken alsnog contact op te nemen met de FG of in voorkomende gevallen direct tot handhaving over te gaan zonder voorgaand contact met de FG. De eerste optie heeft echter de voorkeur van de AP.
Indien de AP een formeel onderzoek start, spreekt de AP vanaf dat moment niet meer met de FG over de inhoud van het onderzoek. Wel kan de AP de rapporten en adviezen van de FG aan de organisatie opvragen om deze te betrekken bij haar oordeel over de gegevensverwerking binnen de organisatie. Dit proces hangt samen met de rol van de FG als informatieknooppunt en zijn onafhankelijke positie. Doordat de FG geen inhoudelijke betrokkenheid heeft bij een formeel onderzoek kan de FG later niet worden verweten de AP te hebben beïnvloed. Contact over het procesverloop van het onderzoek of andere zaken is wel mogelijk.
Wat als de FG niet naar behoren functioneert?
De onafhankelijke positie van de FG brengt mee dat de organisatie de FG niet zonder meer uit zijn functie kan worden ontheven of worden gestraft voor het uitvoeren van zijn taken. Toch zijn er situaties denkbaar waarin het niet wenselijk is dat geen afscheid kan worden genomen van de huidige FG, zoals bij een niet goed functionerende FG. Sancties zijn echter alleen verboden wanneer zij zijn opgelegd als gevolg van het feit dat de FG zijn verplichtingen als FG heeft vervuld. Wellicht dat zich hier een opening bevindt voor het ontslag van een niet goed functionerende FG. Beargumenteerd zou kunnen worden dat de FG zijn verplichting tot deskundigheid niet vervuld heeft. De AP heeft hier echter nog geen duidelijkheid over verschaft en ook de rechtspraak biedt momenteel geen mogelijkheden om een slecht functionerende FG te ontslaan. Ontslag om andere reden dan voor het uitvoeren van zijn taken als FG is derhalve wel mogelijk.
Tot slot
De beroepsgroep van FG’s is met de inwerkingtreding van de AVG steeds meer aan het professionaliseren. Toch moet men waakzaam blijven voor de positie van de FG. Hierin rust vooral een verantwoordelijkheid op organisaties om de positie van de FG goed in te bedden binnen de organisatie. Een bijkomende verantwoordelijkheid voor organisaties is het wel bewust aanstellen van een FG. Het volgen van een cursus tot FG mag in sommige situaties afdoende deskundigheid generen, over het algemeen is het raadzaam om waakzaam te zijn op de deskundigheid van de FG. De onafhankelijke positie van de FG brengt mee dat hij niet zomaar kan worden ontslagen, ook als hij niet voldoende deskundig is. Als organisatie doet men er daarom goed aan hier aandacht aan te besteden.
Vragen over dit onderwerp? Neem dan contact op met Martin Hemmer.
Dit blog is geschreven door Martin Hemmer en Willeke Markesteijn (student-stagiaire).