Het Hof van Justitie van de Europese Unie (HvJ EU) oordeelde in februari 2023 dat er geen onverenigbaarheid bestaat tussen de functie van de functionaris voor de gegevensbescherming en andere functies. De combinatie van functies mag echter niet tot een belangenconflict leiden. In deze uitspraak verduidelijkt het HvJ EU wanneer er sprake kan zijn van zo’n belangenconflict.
Functionaris gegevensbescherming
Een functionaris voor gegevensbescherming (FG), ook wel bekend als Data Protection Officer (DPO), is een persoon binnen een organisatie die verantwoordelijk is voor het intern toezicht houden op de naleving van de wetten en voorschriften met betrekking tot gegevensbescherming, zoals de AVG. Daarnaast is de FG het aanspreekpunt voor de toezichthoudende autoriteit en moet hij geraadpleegd worden bij het uitvoeren van zogenaamde gegevensbeschermingseffectbeoordelingen (DPIA's). Zie voor een omschrijving van de taken van de FG de website van de Autoriteit Persoonsgegevens.
Sommige organisaties zijn verplicht om een FG aan te stellen, en deze te melden bij de Autoriteit Persoonsgegevens. Het gaat dan bijvoorbeeld om organisaties die op grote schaal persoonsgegevens verwerken. Van belang is dat de FG onafhankelijk is bij het uitvoeren van zijn taken. De AVG vereist dat de FG vrij is van enige instructies met betrekking tot de uitvoering van zijn taken, en dat er zich geen belangenconflict voordoet.
Dubbele functies
In de zaak ging het om een werknemer binnen een groot Duits concern die voorzitter van de ondernemingsraad van de moedermaatschappij is, en ook voorzitter van de centrale OR van het concern. In 2015 is de werknemer daarnaast ook nog aangewezen tot functionaris gegevensbescherming van de moedermaatschappij en de in Duitsland gevestigde dochterondernemingen. Twee jaar later wil de onderneming de werknemer ontslaan in zijn functie als FG, omdat er een belangenconflict zou kunnen ontstaan als de werknemer tegelijkertijd voorzitter van de ondernemingsraad en FG is. De nationale rechter vraagt aan het HvJ EU hoe het Unierecht in dit licht moet worden uitgelegd.
Oordeel van het Hof
Het HvJ EU heeft voor recht verklaard dat een nationale wet mag bepalen dat een bedrijf enkel een functionaris voor gegevensbescherming mag ontslaan als er een goede reden voor is, zelfs als het ontslag niets te maken heeft met de taken van de functionaris, zolang dat ontslag niet in strijd is met de doelen van de AVG. Een lidstaat kan een FG extra bescherming bieden. De bescherming mag echter niet in strijd zijn met de onafhankelijke uitvoering van de functie en taken van de functionaris. Zo dient een FG onafhankelijk toezicht te houden op het doel en de methoden van gegevensverwerking binnen de organisatie. In het geval dat de FG medeverantwoordelijk is voor het vaststellen van het doel en de methoden van gegevensverwerking vanuit zijn rol als lid of voorzitter van de ondernemingsraad, dan kan hij de taken niet onafhankelijk uitvoeren. Van een “belangenconflict” is sprake wanneer een functionaris voor gegevensbescherming andere taken krijgt die hem dwingen om te beslissen hoe er persoonsgegevens worden verwerkt. De nationale rechter moet van geval tot geval beoordelen of dit het geval is. In de beoordeling hangt het af van de specifieke situatie, organisatiestructuur van het bedrijf en het geldende beleid. In deze zaak was er wel sprake van een belangenconflict, omdat de FG zijn taken niet meer onafhankelijk kon uitvoeren.
De volledige uitspraak is hier te lezen.