Dubbele rol Data Protection Officer levert Belgisch bedrijf boete van 50.000 euro op
De Belgische gegevensbeschermingsautoriteit (DPA) heeft een onderneming 50.000 Euro boete opgelegd omdat zij het hoofd van de afdeling Compliance, Audit en Risk heeft aangesteld als Data Protection Officer (DPO).
Volgens de Belgische gegevensbeschermingsautoriteit kan er geen twijfel over bestaan dat “de combinatie van de rol van DPO met die van hoofd van een afdeling die aan het toezicht van de DPO is onderworpen, de DPO ervan weerhoudt onafhankelijk te handelen.”
De uitspraak van de Belgische toezichthouder betekent dat het schier onmogelijk wordt om de rol van DPO te combineren met enige andere functie binnen een organisatie.
Als de DPO te hoog in de organisatie zit kan de gegevensbeschermingsautoriteit beweren dat hij/zij ook beslist over het doel en de middelen.
Als de DPO op een te operationeel niveau zit zou de gegevensbeschermingsautoriteit kunnen beweren dat hij/zij te veel betrokken is bij de eigenlijke verwerkingsactiviteiten (en dat hij/zij niet in staat is om rechtstreeks aan het hogere management te rapporteren).
Een oplossing voor dit probleem die steeds meer terrein wint is het zogenaamde accountantsmodel: intern een stevige Privacy Office met extern een toetsende en adviserende DPO.