Een onderneming verzond e-mails naar vrije beroepers en zelfstandigen om hen te overtuigen over te schakelen van papieren facturen naar een door de onderneming aangeboden dienst van elektronische facturatie. Naar aanleiding van de melding van een gegevenslek startte de inspectiedienst van de Gegevensbeschermingsautoriteit, op aangeven van het Directiecomité, een onderzoek.
Context
Onafhankelijkheid DPO – belangenconflict – gegevenslek – uitbreiding onderzoek
Rechtsgrond
Artikel 5.2 GDPR: “De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
Artikel 24.1 GDPR: “Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”
Artikel 33.1 GDPR: “Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.”
Artikel 38.6 GDPR: “De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”
Feiten
De aanleiding voor de klacht betreft een gegevenslek waarbij de onderneming een aantal uitnodigingen verstuurde naar o.a. zelfstandigen en vrije beroepers teneinde over te schakelen van een papieren naar een elektronische factuur. Maar door een fout in de selectie van de e-mailadressen werden een aantal van de uitnodigingen die gelinkt zijn aan vrije beroepers en zelfstandigen verstuurd naar secundaire e-mailadressen die in de databanken van de onderneming verbonden werden met een klant, maar mogelijks geen directe link hebben met de betrokken klant. Dergelijke secundaire contactpersonen zijn in casu administratieve of technische contactpersonen voor de klant.
In hoofde van de verwerkingsverantwoordelijke heerst de verplichting om elk gegevenslek, ongeacht het risicogehalte te documenteren teneinde informatie te kunnen verstrekken aan de GBA. De onderneming gaf tijdens de hoorzitting aan dat alle bekende lekken worden gedocumenteerd en daartoe beroep wordt gedaan op de loyauteit en professionaliteit van de individuele werknemer om een mogelijk gegevenslek via de beschikbare tool binnen de onderneming te documenteren. De onderneming blijkt tevens over de nodige policies te beschikken en trainingen te organiseren om haar werknemers op te leiden omtrent het aangeven van data-gerelateerde incidenten. Op basis hiervan besluit de Geschillenkamer dat er geen inbreuk op artikel 5.2 GDPR, artikel 24.1 GDPR en artikel 33 GDPR kan worden vastgesteld.
Echter blijkt uit het verslag van de inspectiedienst onder meer dat de functionaris voor gegevensbescherming (DPO) naast die functie ook de functie van directeur audit, risk en compliance vervult. De DPO bevindt zich daardoor niet in een positie die voldoende vrij is van belangenconflict overeenkomstig artikel 38.6 GDPR.
De Richtlijnen van de Groep 29 voor functionarissen voor gegevensbescherming bepalen dat de DPO binnen de organisatie geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen. Door het cumuleren in hoofde van eenzelfde fysieke persoon van de functie van verantwoordelijke voor elk van de drie betreffende departementen afzonderlijk enerzijds en de functie van DPO anderzijds, ontbreekt voor elk van deze drie departementen enig mogelijk onafhankelijk toezicht vanwege de DPO. Dit is een wezenlijk belangenconflict. De Geschillenkamer is dan ook van oordeel dat de inbreuk op artikel 38.6 GDPR is bewezen.
Daarnaast maakt de Inspectiedienst gewag van het feit dat de DPO onvoldoende werd betrokken bij de discussies over inbreuken in verband met persoonsgegevens overeenkomstig artikel 38.1 GDPR. De DPO zou enkel geïnformeerd zijn geweest over het resultaat van de risicobeoordeling en niet zijn geconsulteerd. De Geschillenkamer erkent dat de onderneming de functie van DPO op een onjuiste wijze interpreteert, maar besluit dat er geen inbreuk kan worden vastgesteld op artikel 38.1 GDPR aangezien de onderneming het aannemelijk heeft gemaakt dat de DPO in de praktijk wel in voldoende mate werd betrokken.
Gelet op de omzet van de onderneming en het feit dat dat de onderneming persoonsgegevens verwerkt van miljoenen mensen legt de Geschillenkamer een boete op ter hoogte van een bedrag van 50.000 euro.
Uitspraak
De Gegevensbeschermingsautoriteit beveelt dat de verwerking in overeenstemming wordt gebracht met artikel 38.6 GDPR.
Een administratieve geldboete op te leggen van 50.000 euro.
Onze mening
Een concrete klacht over een datalek is aanleiding geweest om een onderzoek te starten. De Inspectiedienst heeft gezien de omvang het onderzoek uitgebreid.
In casu werd wat betreft het datalek geoordeeld dat de nodige policies en opleidingen aanwezig waren in de organisatie. De geschillenkamer verwijt de onderneming wel dat de DPO ook als directeur Audit, Risk en Compliance binnen de onderneming fungeert. Op die manier kan de DPO onmogelijk voldoen aan de vereisten van onafhankelijkheid. Het is immers niet mogelijk om tegelijkertijd het beleid – doel en middelen van gegevensverwerking – te bepalen en hierop vervolgens toezicht te houden.
Tot onze verbazing wordt hieraan een geldboete van € 50.000 opgelegd. Hoewel de onafhankelijkheid van een DPO belangrijk is, had in dit geval naar onze mening de geschillenkamer kunnen volstaan met een berisping gepaard met de verplichting om op korte termijn een DPO zonder belangenconflict aan te stellen. De Geschillenkamers stelde immers uitdrukkelijk vast dat voor het overige de onderneming een correct GDPR-beleid voerde binnen haar organisatie. Er passeerden reeds beslissingen de revue met veel minder strenge bestraffing waarbij de inbreuken meer impactvol en frappant waren.
Definitief?
Ja
Integrale beslissing