Toch mag daaruit niet afgeleid worden dat de functionaris voor gegevensbescherming helemaal niet aansprakelijk zou zijn. Zo wees de afdeling Wetgeving van de Raad van State in zijn advies erop dat die bepaling bepaalde problemen in de praktijk genereert. De vraag rijst in welke mate geïmpliceerd zou worden dat de functionaris voor gegevensbescherming een zekere immuniteit geniet bij de uitoefening van zijn functies, terwijl de verwerkingsverantwoordelijke toch zou moet kunnen beslissen om de functionaris voor gegevensbescherming te ontslaan wanneer hij bij de uitoefening van zijn functie fouten begaat of op enige wijze tekortschiet in de uitoefening van zijn taken:
“Letterlijk genomen zorgt deze bepaling er evenwel voor dat er geen oplossing is voor situaties waarin de functies van de functionaris niet correct uitgevoerd worden en overwogen zou worden om hem van zijn functie te ontheffen, zonder dat die sanctie opgelegd wordt wegens de handelingen die de betrokkene gesteld heeft om de AVG, de ontworpen wet en, in ruimere zin, de vereisten in verband met de eerbiediging van het privéleven te doen naleven.”
Zeker voor interne functionarissen voor gegevensbescherming die soms een grote verscheidenheid aan taken uitvoeren en soms gevraagd worden om als functionaris voor meerdere instellingen op te treden, kan dat problemen opleveren. Die grote veranderlijkheid kan in sommige gevallen leiden tot een verlies van controle door de functionaris voor gegevensbescherming die daardoor sneller bepaalde fouten kan maken of nalatigheden kan begaan. Voor de functionarissen voor gegevensbescherming in de sector van verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, werd het volgende gesteld:
“De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.”
Dat aansprakelijkheidsregime wijkt af van de normale aansprakelijkheid in die zin dat een herhaalde lichte fout niet ingeroepen kan worden tegen die functionaris voor gegevensbescherming. Die bijzonderheid doet zich evenwel niet voor bij functionarissen voor gegevensbescherming die aangesteld zijn bij instellingen die belast zijn met de verwerking van strafbare feiten, waardoor men terugvalt op het klassieke aansprakelijkheidsregime van het sociaal recht of het contractenrecht.
