Een ziekenhuis besloot om over te gaan tot het ontslag van een werknemer die de functies van Chief Information Security Officer en Data Protection Officer combineerde. Deze werknemer voerde zijn werk volgens het ziekenhuis niet naar behoren uit. De werknemer vocht zijn ontslag aan voor de Franstalige arbeidsrechtbank te Brussel. Een DPO mag conform de GDPR namelijk niet worden ontslagen of gestraft voor de uitvoering van zijn taken. Hoewel de Belgische wetgeving en de GDPR niet voorzien in een specifieke beschermingsvergoeding voor DPO’s, kende de rechtbank toch een schadevergoeding toe gelijk aan drie maanden loon. De vordering voor schadevergoeding wegens onrechtmatig ontslag werd verworpen.
Wat is een DPO?
De aanstelling van een Functionaris voor Gegevensbescherming (FG), beter gekend onder de Engelstalige benaming Data Protection Officer (DPO), is voor bepaalde organisaties verplicht onder de GDPR, in het bijzonder voor overheidsinstanties, organisaties die op grootschalige, regelmatige en systematische wijze aan observatie van individuen doen en organisaties die op grootschalige wijze gevoelige persoonsgegevens verwerken. Los van deze algemene verplichtingen zijn er soms nog bijzondere wettelijke verplichtingen om een DPO aan te stellen. Dit is bijvoorbeeld het geval voor ondernemingen en interne diensten die aan private opsporing doen.
De DPO kan zowel een werknemer zijn als een zelfstandige dienstverlener. De DPO heeft over het algemeen de opdracht om te informeren en advies te verlenen over gegevensbescherming, toe te zien op de naleving van de GDPR en als contactpunt op te treden voor betrokkenen en de Gegevensbeschermingsautoriteit.
Een belangrijk aspect van diens functie is dat de DPO niet kan worden ontslagen of gestraft om redenen die verband houden met de uitoefening van zijn functie. Dit is één van de waarborgen die zijn voorzien om de onafhankelijkheid van de DPO te vrijwaren.
Feitelijke achtergrond
De werknemer werd aangenomen met een arbeidsovereenkomst van onbepaalde duur voor de functie “gespecialiseerde adviseur (Chief Information Security Officer/ Data Privacy Officer)” bij een ziekenhuis in de publieke sector. Hoewel de benaming van de functie niet expliciet overeenstemt met de benaming in de GDPR (zijnde Data Protection Officer), staat het in deze zaak niet ter discussie dat de werknemer effectief optrad als DPO in de zin van de GDPR. Na bijna 4 jaar tewerkstelling kreeg de werknemer een ontslagvoorstel wegens een gebrek aan tevredenheid over het geleverde werk.
De werknemer weigerde hierop in te gaan en stelde dat zijn ontslag te maken had met de uitoefening van zijn functie als DPO.
Enkele weken later ging de werkgever toch over tot het ontslag van de werknemer met betaling van een opzeggingsvergoeding van 13 weken loon.
De werknemer maakte vervolgens een procedure aanhangig voor de Franstalige arbeidsrechtbank te Brussel. Daar vorderde hij enerzijds een schadevergoeding wegens het ontslag van een “beschermde werknemer”, die hij ex aequo et bono berekende op 3 maanden loon, en anderzijds een bijkomende schadevergoeding gelijk aan 17 weken loon wegens een beweerd onrechtmatig ontslag. Ten tijde van de procedure bestond het ‘kennelijk onredelijk ontslag’ nog niet in de publieke sector, maar de rechter verwees naar een arrest van het Hof van Cassatie (101/2016) om zich te laten leiden door cao nr. 109 in de behandeling van deze vordering. De rechtbank verduidelijkt in het vonnis dat de vordering betrekking heeft op een onrechtmatig ontslag.
Schadevergoeding wegens ontslag DPO
De rechtbank stelde dat de werkgever in casu de bewijslast droeg om aan te tonen dat het ontslag van de werknemer vreemd was aan de uitoefening van zijn functie als DPO.
In casu stelde de werkgever dat het ontslag niets te maken had met de essentie van de taken van de werknemer als DPO, maar betrekking had op een gebrek aan duidelijke communicatie en onderling begrip. In het bijzonder stelde de werkgever dat de DPO te theoretisch en rigide ingesteld was, waardoor hij niet in staat was om concrete actieplannen voor te stellen voor de praktische implementatie van zijn adviezen.
De rechtbank was echter van oordeel dat de werkgever had erkend meer belang te hechten aan de uitoefening van de functie van CISO en daardoor slechts een minimale belangstelling had vertoond voor de wijze waarop de werknemer zijn functie als DPO vervulde. Precies omwille van een gebrekkige uitvoering van zijn taak als DPO, zou de werknemer zijn functie als CISO niet naar behoren hebben kunnen uitoefenen, aldus de interpretatie van de rechtbank.
De rechtbank oordeelde dan ook dat de functies van CISO en DPO in feite met elkaar verweven waren en dat de werkgever niet kon aantonen dat de reden voor het ontslag uitsluitend te maken had met de uitoefening van de functie als CISO.
Noch de Belgische wet, noch de GDPR voorzien in een schadevergoeding voor de DPO in geval van ontslag om redenen die te maken hebben met zijn functie. De werknemer heeft deze vergoeding daarom ex aequo et bono berekend op 3 maanden loon. Met verwijzing naar rechtspraak van het Hof van Justitie oordeelde de rechtbank dat de Belgische wetgeving op dit punt tekortschoot en verwees daarbij in haar beoordeling naar andere wettelijke beschermingsmechanismen bij ontslag. De rechtbank kende uiteindelijk een vergoeding toe van 3 maanden loon, maar voegde daaraan ook toe dat zij de vordering van de werknemer diende te respecteren. Hiermee suggereerde de rechtbank met andere woorden dat zij een hoger bedrag had kunnen toekennen als de werknemer daarom had verzocht.
Dit is één van de eerste gepubliceerde zaken in België waarbij een dergelijke vergoeding werd toegekend na het ontslag van een DPO.
Geen onrechtmatig ontslag
Wat betreft de vordering om een schadevergoeding wegens ‘onrechtmatig ontslag’ te bekomen, stelde de rechtbank dat het aan de werknemer was om hiervoor het bewijs te leveren. De werkgever wees in dit verband op enkele problemen bij het geleverde werk van de werknemer. Zo zou hij slechts tien adviezen hebben geleverd op vier jaar tijd, werd het register van verwerkingsactiviteiten (dataregister) na 2019 niet meer geüpdatet, heeft de werknemer nagelaten om de werkgever op de hoogte te brengen van het feit dat er een register met inbreuken in verband met persoonsgegevens (datalekkenregister) was opgesteld en vulde hij dit register niet naar behoren in.
De rechtbank besloot in dit kader dan ook dat elke voorzichtige en redelijke werkgever die met een dergelijke situatie wordt geconfronteerd, ontslag zou hebben overwogen. Bijgevolg is er volgens de rechtbank geen sprake van een onrechtmatig ontslag en werd deze vordering afgewezen.
Aandachtspunt
Het is essentieel om een duidelijk onderscheid te maken tussen de verschillende taken van een werknemer wanneer deze, naast zijn rol als DPO, ook andere functies binnen dezelfde organisatie vervult. Het is aan de werkgever om aan te tonen dat het ontslag niets te maken heeft met de uitoefening van de functie als DPO. Wanneer dit toch het geval is, dreigt een veroordeling tot schadevergoeding.
Neem gerust contact op met ons Data & Privacy Team indien u hier vragen over heeft.
