Als de Data Protection Officer of DPO tekortschiet, wijst de Gegevensbeschermingsautoriteit of GBA resoluut op de verantwoordelijkheid van de directie van het bedrijf. Dat blijkt uit een recente beslissing van de Geschillenkamer.
De Geschillenkamer van de GBA wijst erop dat de verwerkingsverantwoordelijke “de passende technische en organisatorische maatregelen [moet] nemen om te waarborgen en te kunnen aantonen dat de verwerking plaatsvindt overeenkomstig de AVG.”1
Het is de directie van de onderneming die verantwoordelijk is voor de verwerking volgens de regels van de GDPR. Om de functionarissen voor gegevensbescherming (of DPO’s) in staat te stellen hun taken doeltreffend uit te voeren, is het bedrijf wettelijk verplicht hen te voorzien van gepaste middelen, afhankelijk van de aard van de uitgevoerde gegevensverwerking en de bijbehorende risico’s. Het doel is om de rol van de DPO binnen de organisatie te vergemakkelijken en te ondersteunen. Als het bedrijf dat niet doet, is het zelf verantwoordelijk en niet de DPO’s, die hun taken mogelijk niet correct en doeltreffend hebben kunnen uitvoeren.
7 aanbevelingen… om de Geschillenkamer te vermijden
Om hun verplichtingen naar behoren te vervullen, moeten verwerkingsverantwoordelijken, in dit geval de directie:
- de DPO’s of, indien van toepassing, hun team, betrekken bij alle kwesties in verband met gegevensbescherming;
- de rol van DPO promoten en ervoor zorgen dat die erkend wordt op het hoogste niveau van het bedrijf;
- voldoende tijd uittrekken om de DPO’s in staat te stellen hun taken doeltreffend uit te voeren;
- de benoeming van de DPO’s aan alle personeelsleden meedelen;
- financiële middelen (inclusief een budget voor bewustmakingsactiviteiten of de aanwerving van een team) en infrastructuur ter beschikking stellen;
- toegang verlenen tot alle documenten die betrekking hebben op de verwerking van persoonsgegevens, inclusief contracten met partners en onderaannemers;
- de DPO’s in staat stellen om voortdurend bijgeschoold te worden om hun kennis op peil te houden.
Het spreekt voor zich dat als de DPO’s een professionele fout begaan, zij de gevolgen daarvan moet dragen in het kader van hun arbeidsovereenkomst. Het is echter de directie die alle verantwoordelijkheid op zich neemt in het geval van niet-naleving van de GDPR en alle daarmee verband houdende overtredingen.
Lees meer artikels over:
