AVG uitgediept #12: Functionaris voor de gegevensbescherming
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (“AVG”) van toepassing. De AVG vervangt de EU-privacyrichtlijn. De Wet bescherming persoonsgegevens (“Wbp”) komt dan te vervallen, net als de nationale privacywetten van de andere EU-lidstaten. Van belang is te vermelden dat de AVG een Europese verordening is, die direct voor alle lidstaten geldt en dus niet meer hoeft te worden omgezet in nationale wetgeving. De AVG zorgt onder meer voor:
1. een versterking en uitbreiding van privacy rechten;
2. meer verantwoordelijkheden voor organisaties; en
3. dezelfde (stevige) bevoegdheden voor alle Europese privacy toezichthouders (waaronder de Autoriteit Persoonsgegevens)
Verplichte aanstelling FG
In deze blog wordt stil gestaan bij één van de uitbreidingen van de verantwoordelijkheden voor organisaties (punt 2), en wel op het mogelijk verplicht zijn voor organisaties van het aanstellen van een “Functionaris voor de gegevensbescherming (“FG”). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Kort en goed schrijft de AVG voor dat een organisatie verplicht is een FG aan te stellen als uw organisatie (niet cumulatief):
- een overheidsinstantie is (behalve rechtbanken bij het uitvoeren van hun rechtsprekende taak);
- op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners;
- op grote schaal mensen volgt (bijvoorbeeld bij profilering) en dit een kernactiviteit van de organisatie is.
Een organisatie kan kiezen voor een interne FG, maar ook voor een externe. De functie van interne FG kan door een eigen werknemer worden vervuld. Echter, hoewel een FG een andere functie mag hebben, mag deze alleen andere taken en verantwoordelijkheden opgelegd krijgen als deze niet tot een belangenconflict leiden. Dit houdt met name in dat de FG geen positie in de organisatie mag hebben die ertoe leidt dat hij het doel van en de middelen voor het verwerken van persoonsgegevens bepaalt. Als vuistregel zijn posities in het hoofdmanagement (zoals bestuursvoorzitter, operationeel directeur, financieel directeur, medisch directeur, hoofd van de marketingafdeling, hoofd personeelszaken of hoofd van de ICT-afdeling) conflicterende posities, maar ook andere rollen lager in de organisatorische structuur als dergelijke posities of rollen leiden tot het bepalen van het doel en de middelen voor gegevensverwerking.
Los hiervan, kan een organisatie ervoor kiezen een werknemer aan te nemen of aan te aan te wijzen om de functie van FG zelfstandig te vervullen (dus zonder dat deze nog een andere functie of andere werkzaamheden binnen de organisatie uitvoert).
Als onderdeel van de verplichting erop toe te zien dat de AVG nageleefd wordt, kan de FG met name:
- informatie verzamelen om verwerkingswerkzaamheden te identificeren;
- analyseren en controleren in hoeverre verwerkingswerkzaamheden aan de AVG voldoen; en
- de verantwoordelijke of de verwerker informeren, adviseren of aanbevelingen geven.
Ontslag- en benadelingsverbod
Omdat een FG onafhankelijk moet kunnen handelen, is in de AVG (artikel 38) opgenomen dat een FG “niet ontslagen of gestraft mag worden voor de uitvoering van zijn taken”. Dit vereiste versterkt tevens de autonomie van de FG en helpt ervoor te zorgen dat hij bij zijn taken voldoende bescherming geniet. Sancties zijn onder de AVG overigens alleen verboden als deze opgelegd worden, omdat de FG zijn taken als FG uitvoert. Zo is het mogelijk dat een FG van mening is dat een bepaalde verwerking van persoonsgegevens een groot risico met zich meebrengt en de verantwoordelijke of de verwerker van persoonsgegevens adviseert een privacy impact assessment uit te voeren, maar de verantwoordelijke of de verwerker het niet met de beoordeling van de FG eens is. In een dergelijk geval mag de FG niet worden ontslagen voor het geven van dit advies of op een andere wijze worden benadeeld.
Op grond van de huidige Wbp (artikel 62) kan een organisatie er op dit moment ook al (vrijwillig) voor kiezen om een FG te benoemen. Deze FG geniet dezelfde ontslagbescherming als bijvoorbeeld een werknemer die lid is van de ondernemingsraad, zie artikel 7:670 lid 10, onder d BW.
Zowel onder de huidige Wbp als onder de AVG geniet de FG dus wettelijke ontslagbescherming.
Ontslag op basis van andere redenen wel mogelijk
Uiteraard kan een FG wel ontslagen worden, omdat hij zijn taken als FG inhoudelijk niet goed uitvoert, met andere woorden als hij ‘disfunctioneert’. Immers, een ontslag is alleen verboden als hiertoe wordt overgegaan, omdat de FG zijn taken als FG uitvoert, maar de verantwoordelijke of verwerker het niet eens is met de beoordeling van de FG over bijvoorbeeld het advies om een privacy impact assessment uit te voeren.
Een en ander wordt ook onderschreven in de “Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s)”. Daarin is expliciet bepaald dat een FG wél rechtmatig kan worden ontslagen als hier andere redenen aan ten grondslag liggen dan het uitvoeren van zijn taken als FG en als dit op basis van een gebruikelijke beleidsregel is en uit hoofde van de toepasselijke nationale contractenwet, arbeidswet en het strafrecht dat ook voor elke andere medewerker of aannemer zou gelden (bijvoorbeeld in geval van diefstal, fysieke, psychologische of seksuele intimidatie of soortgelijke zware misdragingen).
Wel zal de praktijk te maken krijgen met een grijs gebied. Immers, wat de organisatie ziet als onvoldoende functioneren, kan een ander zien als een ongewenst advies. We zullen zien hoe dit in de praktijk verder zal uitpakken, maar dat we te maken krijgen met een spanningsveld is wel te verwachten.