< Terug naar overzicht

Lydian. Dringend nodig: een data protection officer (DPO)

Vanaf 25 mei 2018 moeten alle ondernemingen persoonsgegevens verwerken conform de Algemene Verordening Gegevensbescherming (beter gekend onder haar Engelse afkorting GDPR). Dat geldt niet alleen voor klanten- of leveranciersgegevens, maar ook voor HR-gegevens. Isabel Plets, advocaat bij Lydian, licht toe wat dit concreet betekent voor HR. Moet u nu echt een data protection officer (DPO) hebben?

De vereisten van de Algemene Verordening Gegevensbescherming of GDPR zijn in het algemeen veeleisender dan de bestaande verplichtingen op grond van de Privacywet. Voor HR-dienstverleners (zoals een sociaal secretariaat, een externe dienst voor bescherming op het werk of een externe bewakingsfirma) gelden de meeste van deze bepalingen ook. Wie de GDPR aan zijn laars lapt, moet uitkijken voor zeer zware financiële sancties, die in het slechtste geval kunnen oplopen tot 20 miljoen euro EUR of 4 procent van de totale wereldwijde jaarlijkse omzet van het voorbijgaande financiële jaar, waarbij telkens de hoogste van de twee berekeningen geldt.

De GDPR introduceert een nieuwe functie in de onderneming, met name de functionaris voor gegevensbescherming. De Engelse term data protection officer of DPO bekt beter. De Europese WP 29 had in december 2016 al wat meer toelichting gegeven bij deze nieuwe functie en heeft die richtlijnen op 5 april 2017 wat bijgesteld en definitief gemaakt (zie http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083). Niet alles wordt daarmee evenwel meteen duidelijk. Wanneer een dergelijke functie verplicht is en wat u moet weten over die nieuwe functie, leest u in deze tekst.

Vraag 1: is een DPO verplicht of niet?

Een onderneming moet eerst en vooral nagaan of zij verplicht is om een DPO aan te duiden. Als dat niet het geval is, overweegt zij of het als ‘best practice’ toch niet is aangewezen een DPO aan te duiden. Let wel, in dat laatste geval moeten ook alle modaliteiten van de functie worden toegepast in lijn met de GDPR. Wenst de onderneming toch een verantwoordelijke voor de gegevensverwerking, zonder dat alle regels van de GDPR op dat gebied nageleefd moeten worden, dan duidt de onderneming best iemand aan zonder dat die de naam DPO krijgt.

De beslissing van een onderneming om al dan niet een DPO aan te stellen, moet worden gedocumenteerd en bijgehouden in de onderneming. De richtlijnen bepalen dat de toezichthoudende autoriteit dat document te allen tijde kan opvragen en dat de onderneming bij nieuwe activiteiten of diensten opnieuw moet onderzoeken of er geen DPO moet worden aangeduid.

Een DPO is in de privésector verplicht voor ondernemingen die hoofdzakelijk belast zijn:

  • Met verwerkingen die door hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
  • Met grootschalige verwerking van gevoelige persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Belangrijk: het loutere feit dat een onderneming HR-gegevens verwerkt, zelfs al gaat het om een grote onderneming, lijkt niet voldoende om een DPO te moeten aanstellen, omdat dit geen kerntaak van de onderneming uitmaakt. Als algemene vuistregel kan worden aangenomen dat een standaard B2B-onderneming, wiens verwerkingen beperkt blijven tot deze van werknemers, suppliers/leveranciers en klanten, in het algemeen niet verplicht zal zijn om een DPO aan te duiden. Veel minder duidelijk is of dat ook zo is voor bijvoorbeeld sociale secretariaten of uitzendkantoren. Zij mogen dan wel op grote schaal persoonsgegevens verwerken, zodat dat deel uitmaakt van hun kernbusiness, maar of die verwerkingen ook een regelmatige en stelselmatige observatie van de betrokkenen inhouden, is verre van zeker.

Vraag 2: DPO outsourcen of intern aanstellen?

De DPO kan een werknemer zijn of een zelfstandige consultant/dienstverlener (al dan niet een rechtspersoon). Welke keuze wordt gemaakt, zal afhangen van een aantal criteria (het profiel, de werklast, de eventuele belangenconflicten en dergelijke meer).

De DPO wordt aangewezen op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk van de gegevensbescherming. De DPO moet dus zowel over een goede IT-kennis, als een gedegen juridische kennis beschikken, maar er is (momenteel) geen specifiek diploma of erkenning nodig.

Afhankelijk van de aard van de verwerkingen en de gegevens die worden verwerkt, zal dus een kwalitatief profiel moeten worden gezocht. Een onderneming kan ervoor kiezen om een interne werknemer op te leiden of het kan aangewezen zijn om een beroep te doen op een zelfstandige consultant.

Binnen een concern kan er één DPO worden aangesteld, maar die moet wel overal vlot contacteerbaar zijn en de taal spreken van elke betrokken nationale toezichthoudende autoriteit (in België de Privacycommissie) en de data subjects (waaronder de werknemers). Om eventuele taalissues te vermijden, kan bijvoorbeeld wel een team worden samengesteld, maar er is maar één iemand die de rol van DPO op zich kan nemen. De richtlijnen bepalen dat de DPO zich bij voorkeur in Europa bevindt.

Vraag 3: welke zijn de taken en de positie van de DPO binnen het organigram?

De DPO moet van bij de start behoorlijk betrokken worden bij de gegevensbescherming in de onderneming, zodat hij de onderneming (en werknemers die persoonsgegevens verwerken) kan informeren en adviseren over de verplichtingen. De DPO heeft een puur adviserende rol en bezit zelf geen beslissingsmacht. Wijkt de onderneming af van de adviezen van de DPO, dan voorziet ze daarvoor best in een motivering. Op dat vlak lijkt de DPO wat op een preventieadviseur.

Niet alleen de toezichthoudende autoriteit, maar ook de werknemers moeten op de hoogte zijn van de identiteit van de DPO. Dat kan bijvoorbeeld worden vermeld in het arbeidsreglement of via een andere communicatievorm (bijvoorbeeld intranet of het organogram).

De DPO mag andere functies en opdrachten vervullen in of buiten de onderneming. In dat geval is het aan te raden om in de functieomschrijving het takenpakket duidelijk te omschrijven en bijvoorbeeld overeen te komen welk percentage van tijd wordt besteed per opdracht. De andere functie mag geen aanleiding geven tot een belangenconflict. Een DPO met een commerciële functie in de onderneming lijkt daarom niet aan te raden, maar een combinatie compliance officer en DPO is wel mogelijk.

De finale richtlijnen geven wel een zeer ruime opsomming van belangenconflicten en zien een combinatie met bijvoorbeeld senior managementposities zoals CEO, COO, CFO, chief medical officers, head of HR, head of marketing, head of IT niet mogelijk. Een externe DPO kan belangenissues tot een zeker niveau vermijden, ook al zal een advocaat die een onderneming bijstaat als DPO niet voor deze onderneming in rechte kunnen optreden. Ondernemingen doen er goed aan na te denken welke functies alvast niet compatibel zijn met de functie als DPO.

Vraag 4: wat is het statuut van de DPO?

Een onderneming moet voorzien in de nodige middelen voor de DPO, zodat die zijn taak naar behoren kan uitvoeren. Dat gaat onder andere om actieve steun van het management, apparatuur, een lokaal, een eigen team en dies meer. Hoe complexer of gevoeliger de verwerking van persoonsgegevens is binnen de onderneming, hoe meer middelen een DPO noodzakelijkerwijs zal moeten krijgen.

Van een DPO wordt vereist dat hij/zij confidentieel is, zodat best in de noodzakelijke waarborgen wordt voorzien in de arbeidsovereenkomst (waarbij in uitvoering van de confidentialiteitsverplichting van artikel 17 van de Arbeidsovereenkomstenwet de verplichting wordt verduidelijkt) of de dienstverleningsovereenkomst.

De finale richtlijnen bepalen dat de onderneming ervoor moet zorgen dat er een veilige manier van communicatie mogelijk is tussen de werknemers en de DPO, zodat de confidentialiteit van hun gesprekken is verzekerd. Dit kan door de fysieke aanwezigheid van de DPO of via een hotline.

De DPO mag geen instructies ontvangen met betrekking tot de uitvoering van de taken. Dat lijkt enigszins haaks te staan op de tewerkstelling als werknemer, wat per definitie een gezagsverhouding én dus het geven van instructies inhoudt, maar de GDPR doelt wellicht uitsluitend op de nodige onafhankelijkheid waarmee de DPO zijn specifieke taak als DPO moet kunnen uitoefenen.

De DPO is niet persoonlijk aansprakelijk voor de niet-naleving van de GDPR: de onderneming blijft daarvoor verantwoordelijk. In elk geval wordt zijn aansprakelijkheid als werknemer beperkt door artikel 18 van de Arbeidsovereenkomstenwet. Is de DPO een zelfstandige dienstverlener, dan zal zijn aansprakelijkheid contractueel kunnen worden geregeld.

De DPO brengt rechtstreeks verslag uit aan het hoogste managementniveau binnen de onderneming en kan niet worden ontslagen of gestraft voor de uitvoering van zijn taken. De bescherming gaat klaarblijkelijk verder dan alleen maar het ontslag en viseert ook andere represailles zoals een niet-verlenging van een contract of een ander verloop van het carrièrepad en dergelijke meer (gelijkaardig aan de bescherming van een werknemer die een formele psychosociale interventie voor grensoverschrijdend gedrag heeft aangevraagd).

Er bestaat momenteel geen specifieke ontslagbescherming voor een DPO in het Belgische arbeidsrecht, maar vanzelfsprekend zou een DPO zich kunnen beroepen op de regeling van het ‘kennelijk onredelijk ontslag’ zoals voorzien in cao 109 betreffende de motivering van het ontslag of op rechtsmisbruik. De DPO kan natuurlijk wel steeds ontslagen worden voor redenen die los staan van de uitvoering van zijn taken (bijvoorbeeld diefstal, ongewenst seksueel gedrag op het werk, …).

Besluit

Elke onderneming zal moeten onderzoeken of een DPO al dan niet moet aangeduid worden of gewenst is én zal als dat zo is, op zoek moeten gaan naar een DPO met een aan de onderneming aangepast profiel. Dat profiel kan gevonden worden intern of extern, in één of in verschillende personen, als aanvulling op óf met aanpassing van het bestaande organigram.

■ Auteur: Isabel Plets (advocaat bij het departement Employment, Pensions & Benefits bij het kantoor Lydian)

Lees meer over


< Terug naar overzicht

U zoekt, u vindt !

HR Square | Magazine, E-zine, Netwerk, Website, Seminaries, ...

Word nu lid !
Geniet van de voordelen