Datum: 06 maart 2023
Geschreven door: Sander Poelman
Leestijd: +/- 2 minuten
Een functionaris gegevensbescherming die ook lid is van de Ondernemingsraad? Speelt daar een belangenconflict? Sander Poelman vertelt u er meer over.
Organisaties die voornamelijk of op grote schaal persoonsgegevens verwerken zijn op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om een functionaris gegevensbescherming (FG) aan te stellen.
De functionaris gegevensbescherming heeft onder meer als taak om de organisatie te informeren over de verplichtingen op grond van de AVG. Ook moet hij op onafhankelijke wijze toezicht houden op de naleving en toepassing van de AVG binnen de organisatie. De functionaris gegevensbescherming werkt daarbij samen met de toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens). De functionaris gegevensbescherming mag andere taken en plichten vervullen, maar dat mag logischerwijs niet leiden tot een belangenconflict.
Recent heeft het Hof van Justitie van de Europese Unie (HvJ EU) zich hierover uitgelaten. In deze zaak gaat het om een groot Duits concern. De betreffende werknemer is voorzitter van de ondernemingsraad (OR) van de moedermaatschappij én vicevoorzitter van de centrale OR van het concern. In 2015 wordt de werknemer daarnaast ook functionaris gegevensbescherming van de moedermaatschappij en de in Duitsland gevestigde dochterondernemingen.
In 2017 wil de onderneming de werknemer ontslaan als functionaris gegevensbescherming . De onderneming stelt immers dat er een belangenconflict dreigt te ontstaan als de werknemer tegelijkertijd voorzitter van de OR en functionaris gegevensbescherming is.
De AVG regelt dat de functionaris gegevensbescherming niet door de betreffende organisatie wordt ontslagen of gestraft voor de uitvoering van zijn taken. Daar is bij een belangenconflict geen sprake van. Het Duitse recht kent echter een strengere toets voor het ontslag van een functionaris gegevensbescherming . De nationale rechter vraagt daarom aan het HvJEU hoe die wetgeving zich verhoudt tot de AVG.
Het HvJ EU oordeelt dat een lidstaat een functionaris gegevensbescherming grotere bescherming mag bieden. Dit kan echter niet in de weg staan aan een goede en onafhankelijke uitoefening van de functie en taken. Bij die taken hoort het onafhankelijk toezicht houden op het doel en de middelen van de verwerking van persoonsgegevens bij de betreffende organisatie.
Dit kan de functionaris gegevensbescherming niet doen als hij (mede) het doel en de middelen van bepaalde verwerkingen vast kan stellen vanuit zijn rol als OR-lid of -voorzitter. In dat geval is dus wel degelijk sprake van een belangenconflict.
Kortom; in deze kwestie had de FG spreekwoordelijk twee petten op die met elkaar in conflict kwamen. Dat houdt verband met het niet meer onafhankelijk kunnen uitvoeren van de taken, bijvoorbeeld wanneer hij mede het doel en de middelen van de verwerking vaststelt (denk aan de inzet van cameratoezicht of het monitoren van werknemers). Het aanstellen van een FG kan dus een wettelijke plicht zijn, maar de aanstelling is daarnaast aan andere wettelijke voorschriften gebonden.
Benieuwd of jouw organisatie een functionaris gegevensbescherming aan moet stellen? Of heb je vragen over hoe je de positie van een FG het beste in kunt vullen? Neem dan vooral contact met ons op, wij helpen u graag verder!
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.