Interne DPO en interne druk

Geplaatst op door

Zoals reeds besproken in vorige blog posts, moet een verwerkingsverantwoordelijke of een verwerker een DPO aanstellen in bepaalde gevallen. Deze gevallen staan in de GDPR opgesomd.

Bovendien bepaalt de GDPR tevens de positie van de DPO.

Zo moet de DPO onafhankelijk zijn, tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens, ondersteund worden bij zijn of haar taken als DPO, mag de DPO geen instructies ontvangen bij de uitoefening van zijn of haar taken als DPO, enz.

De onafhankelijkheid van de DPO

Zoals reeds gezegd mag de DPO geen instructies ontvangen van de verwerkingsverantwoordelijke bij de uitoefening van zijn of haar taken als DPO.

De DPO moet immers, volgens overweging 97 van de GDPR en de richtlijnen van de WP29, worden aangesteld op basis van zijn of haar deskundigheid in relatie tot de complexiteit van de uitgevoerde verwerkingsactiviteiten en de bescherming van de gegevens die worden verwerkt.

Hij of zij mag bijvoorbeeld niet worden opgedragen hoe de wet moet worden geïnterpreteerd, welk resultaat moet worden bereikt, hoe een klacht moet worden behandeld of wanneer de de GBA al dan niet moet worden gecontacteerd.

De vraag die hierbij rijst is hoe dit te verzoenen valt met een arbeidsrelatie als DPO-werknemer, waar wordt bepaald dat een werknemer verplicht is te handelen volgens de bevelen en de instructies die hem worden gegeven door de werkgever, zijn lasthebbers of zijn aangestelden.

Zal men ook hier dezelfde redenering volgen als bij de artsen-werknemers die bijvoorbeeld in een ziekenhuis zijn tewerkgesteld?

M.a.w. de werkgever kan enkel de DPO-werknemer de verplichting opleggen dat bijvoorbeeld de werkuren, de locatie waar de arbeid moet worden verrricht, het opnemen van vakantiedagen wordt nageleefd, maar dat de DPO-werknemer volledig autonoom is bij het bepalen van zijn of haar werkzaamheden als DPO.

Quid wanneer de lasthebber(s) of aangestelde(n) van de verwerkingsverantwoordelijke deze voorwaarde inzake autonomie voor de DPO-werknemer niet naleeft?

Betrekken van de DPO bij verwerkingen

De DPO moet tijdig worden betrokken bij alle aangelegenheden waarbij de bescherming van persoonsgegevens belangrijk is.

De praktijk leert dat dit niet altijd het geval is.

Soms wordt de DPO zelfs helemaal niet betrokken, hoewel de verwerking of voorgenomen verwerking wel duidelijk een invloed heeft op de bescherming van persoonsgegevens.

Dit kan te maken hebben met een gebrek aan bewustzijn bij de verwerkingsverantwoordelijke dat de verwerking of voorgenomen verwerking een impact heeft op de bescherming van persoonsgegevens, maar het is soms ook mogelijk dat het niet betrekken van de DPO een bewuste keuze is.

Het achterhouden of het verstrekken van onvolledige informatie

WP29 stelt als richtlijn dat alle relevante informatie dat betrekking heeft op de verwerking of voorgenomen verwerking van persoonsgegevens tijdig moet worden gecommuniceerd aan de DPO, zodat deze in staat wordt gesteld om een degelijk advies uit te brengen.

Uit de praktijk blijkt soms dat verwerkingsverantwoordelijken, hun lasthebbers of aangestelden, bewust of onbewust, sommige belangrijke gegevens achterhouden.

Onbewust, omdat men niet beseft dat het stukje achtergehouden informatie belangrijk is; bewust, omdat men daarmee probeert het advies in een richting te duwen dat men wenst te bereiken.

Het achterhouden van deze, vaak gaat het om details, details kan een advies beïnvloeden.

Uitoefenen van druk

Gezien de arbeidsrelatie is het niet ondenkbaar dat er druk kan worden uitgeoefend op een DPO-werknemer.

Deze druk kan verschillende vormen aannemen, van morele druk op de DPO-werknemer tot een negatieve jaarlijkse evaluatie, op basis van loutere beweringen, zonder aantoonbare grondslag.

De DPO-werknemer moet dan een heel sterk karakter hebben om aan een dergelijke druk te kunnen weerstaan, hetgeen het risico doet ontstaan dat de DPO-werknemer een zwakke of zwakkere houding gaat aannemen bij het bescherming van persoonsgegevens; dus de omgekeerde rol die de DPO eigenlijk volgens de wetgeving moet vervullen.

Advieswaarde van de interne DPO

Uit al de voorgaande elementen kan men zich de vraag stellen wat de waarde van het advies van een interne DPO zal zijn, en of een externe DPO misschien een betere oplossing is om de onafhankelijkheid van de DPO te garanderen?

Bloep, 2 september 2025.