Menu

De aansprakelijkheid van de functionaris voor gegevensbescherming tegenover zijn werkgever of zijn cliënt

Artikel 38, derde lid van de GDPR, bepaalt dat de functionaris voor gegevensbescherming niet ontheven kan worden van zijn functie of gesanctioneerd kan worden door de verwerkingsverantwoordelijke of verwerker voor de uitoefening van zijn functies. Die bepaling beoogt te garanderen dat de functionaris voor gegevensbescherming niet gesanctioneerd of bedreigd zou worden door de verwerkingsverantwoordelijke of de verwerker.

18-02-2022 -

Toch mag daaruit niet afgeleid worden dat de functionaris voor gegevensbescherming helemaal niet aansprakelijk zou zijn. Zo wees de afdeling Wetgeving van de Raad van State in zijn advies erop dat die bepaling bepaalde problemen in de praktijk genereert. De vraag rijst in welke mate geïmpliceerd zou worden dat de functionaris voor gegevensbescherming een zekere immuniteit geniet bij de uitoefening van zijn functies, terwijl de verwerkingsverantwoordelijke toch zou moet kunnen beslissen om de functionaris voor gegevensbescherming te ontslaan wanneer hij bij de uitoefening van zijn functie fouten begaat of op enige wijze tekortschiet in de uitoefening van zijn taken:

“Letterlijk genomen zorgt deze bepaling er evenwel voor dat er geen oplossing is voor situaties waarin de functies van de functionaris niet correct uitgevoerd worden en overwogen zou worden om hem van zijn functie te ontheffen, zonder dat die sanctie opgelegd wordt wegens de handelingen die de betrokkene gesteld heeft om de AVG, de ontworpen wet en, in ruimere zin, de vereisten in verband met de eerbiediging van het privéleven te doen naleven.”

Zeker voor interne functionarissen voor gegevensbescherming die soms een grote verscheidenheid aan taken uitvoeren en soms gevraagd worden om als functionaris voor meerdere instellingen op te treden, kan dat problemen opleveren. Die grote veranderlijkheid kan in sommige gevallen leiden tot een verlies van controle door de functionaris voor gegevensbescherming die daardoor sneller bepaalde fouten kan maken of nalatigheden kan begaan. Voor de functionarissen voor gegevensbescherming in de sector van verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, werd het volgende gesteld:

“De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.”

Dat aansprakelijkheidsregime wijkt af van de normale aansprakelijkheid in die zin dat een herhaalde lichte fout niet ingeroepen kan worden tegen die functionaris voor gegevensbescherming. Die bijzonderheid doet zich evenwel niet voor bij functionarissen voor gegevensbescherming die aangesteld zijn bij instellingen die belast zijn met de verwerking van strafbare feiten, waardoor men terugvalt op het klassieke aansprakelijkheidsregime van het sociaal recht of het contractenrecht.

Uit de publicatie De functionaris voor gegevensbescherming (editie 2021).

Ook interessant

Politie & veiligheid, Recht

Handboek van de Indicatieve Tabel i.v.m. lichamelijke en andere schade

Walter Peeters

Bestel

Recht

Codex algemene verordening gegevensbescherming

Dirk De Bot

Bestel

Recht

Codex Privacy: regelgeving op internationaal en Europees niveau | Print

Frankie Schram

Bestel

Recht

Reeks Privacy & Persoonsgegevens | Print + Digitaal

Frankie Schram

Bestel

Recht

Motivering van bestuurlijke besluiten en beslissingen | Print + digitaal met abonnement

Frankie Schram

Bestel

Recht

Privacy en gegevensbescherming van de werknemer in de private en publieke sector (P&P)

Koen Naert

Bestel