Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro The position and the responsibilities of the DPO. Some contractual clauses to protect the DPO

1. Reinventing Privacy and Real Estate legal services
Keep calm, we help you to prepare and overcome !
Koenraad FLAMANT
+32 485 13 13 77
kflamant@bxllegal.be
dpo@dataprotectionofficer.legal

3. Data Protection Officers (‘DPO’s) will be at the heart of new legal framework for many organisations, facilitating
compliance with the provisions of the GDPR and the cornerstone of accountability .
The concept of DPO is not new.
 No requirement in the Directive 95/46/EC3 on the protection of individuals with regard to the processing of
personal data and on the free movement of such data
 But development of the practice of appointing a DPO in several Member States
 GDPR codifies this practice

4. A. The Data Protection Officer in the GDPR
Recitals GDPR
77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the
processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin,
nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by
means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a
data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to
result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to
address such risk.
99) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in
their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of
processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core
activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data
relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should
assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities
of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The
necessary level of expert knowledge should be determined in particular according to the data processing operations carried out
4.5.2016 L 119/18 Official Journal of the European Union EN and the protection required for the personal data processed by the
controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in
a position to perform their duties and tasks in an independent manner.

5. Art. 37, 38 & 39 GDPR
ARTICLE 29 DATA PROTECTION WORKING PARTY: guidelines on Data Protection Officers / Richtlijnen voor functionarissen voor
gegevensbescherming / Lignes directrices concernant les délégués à la protection des données (DPD) / (13/12/2016, revised
05/04/2017)
Aanbeveling 04/2017 van de Privacy commissie (thans Gegevensbeschermingsautoriteit) betreffende de aanwijzing van een
functionaris voor gegevensbescherming in toepassing van de Algemene Verordening Gegevensbescherming (AVG) en in het
bijzonder de toelaatbaarheid van de cumulatie van deze functie met andere functies waaronder die van veiligheidsconsulent (CO-
AR-2017-008) / Recommandation 04/2017 de la Commission de la Vie Privée relative à la désignation d’un délégué à la protection
des données conformément au Règlement général sur la protection des données (RGPD), en particulier l’admissibilité du cumul de
cette fonction avec d’autres fonctions dont celle de conseiller en sécurité
 CERTIFICATION SCHEME OF DATA PROTECTION OFFICERS FROM THE SPANISH DATA PROTECTION AGENCY (DPO-AEPD SCHEME)
(02/10/2017)

6. B. Mandatory designation of the Data Protection Officer
1. Mandatory designation in 3 specific cases:
a) where the processing is carried out by a public authority or body;
b) where the core activities of the controller or the processor consist of processing operations, which require regular and
systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of
data or personal data relating to criminal convictions and offences.
2. Public authority or body
a) irrespective of what data is being processed
b) No definition in the GDPR  ≠ definitions across Europe !
3. Core activities
a) = the key operations to achieve the controller’s or processor’s objectives
b) also all activities where the processing of data forms as inextricable part of the controller’s or processor’s activity.
Example: processing health data, such as patient’s health records = one of any hospital’s core activities
c) Not the supporting (ancillary) activities: necessary support functions for the organisation’s core activity
Example: payroll employees, standard IT support activities
≠ monitoring (badges, gps-localization, …)

7. 4. Large scale
a) No definition in the GDPR
b) WP29 recommends that the following factors, in particular, be considered when determining whether the processing is
carried out on a large scale:
• the number of data subjects concerned - either as a specific number or as a proportion of the relevant population
• the volume of data and/or the range of different data items being processed
• the duration, or permanence, of the data processing activity
• the geographical extent of the processing activity
c) Examples of large scale processing include:
• processing of patient data in the regular course of business by a hospital
• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)
• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a
processor specialized in these activities
• processing of customer data in the regular course of business by an insurance company or a bank
• processing of personal data for behavioural advertising by a search engine
• processing of data (content, traffic, location) by telephone or internet service providers
d) Examples that do not constitute large-scale processing include:
• processing of patient data by an individual physician
• processing of personal data relating to criminal convictions and offences by an individual lawyer
• What about partnerships?

8. 5. Regular and systematic monitoring
a) No definition in the GDPR
b) WP29 interprets ‘regular’ as meaning one or more of the following:
• ongoing or occurring at particular intervals for a particular period
• recurring or repeated at fixed times
• constantly or periodically taking place
c) WP29 interprets ‘systematic’ as meaning one or more of the following:
• occurring according to a system
• pre-arranged, organised or methodical
• taking place as part of a general plan for data collection
• carried out as part of a strategy
d) Includes all forms of tracking and profiling on the internet, including for the purposes of behavioural advertising; operating a
telecommunications network; providing telecommunications services; email retargeting; data-driven marketing activities;
profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance
premiums, fraud prevention, detection of money-laundering); location tracking, for example, by mobile apps; loyalty
programs; behavioural advertising; monitoring of wellness, fitness and health data via wearable devices; closed circuit
television; connected devices e.g. smart meters, smart cars, home automation, etc.

11. C. Designation by the controller and/or the processor
1. Depending on who fulfils the criteria on mandatory designation, in some cases only the controller or only the processor, in other
cases both the controller and its processor are required to appoint a DPO (who should then cooperate with each other).
2. If only the controller fulfils the criteria for mandatory designation  no requirement for its processor but good practice !
3. If only the processor fulfils the criteria for mandatory designation  no requirement at all for the controller !
D. Voluntary designation of the Data Protection Officer
1. When an organisation designates a DPO on a voluntary basis, all requirements will apply to his or her designation, position and
tasks.
2. Nothing prevents an organisation, which is not legally required to designate a DPO and does not wish to designate a DPO on a
voluntary basis to nevertheless employ staff or outside consultants with tasks relating to the protection of personal data. In this
case it is important to ensure that there is no confusion regarding their title, status, position and tasks. Therefore, it should be
made clear, in any communications within the company, as well as with data protection authorities, data subjects, and the public
at large, that the title of this individual or consultant is not a data protection officer (DPO).

12. E. Jointly designation of the Data Protection Officer by a group of undertakings or by several public authorities
1. A single DPO may operate for a group of undertakings or several public authorities, if the DPO IS ‘easily accessible from each
establishment’.
 DPO = contact point with respect to data subjects, the supervisory authority and also internally within the organization
2. The DPO, with the help of a team if necessary, must efficiently communicate with data subjects and cooperate with the
supervisory authorities concerned.
• Communication in the language or languages used by the supervisory authorities and the data subjects concerned
• The availability of a DPO is essential to ensure that data subjects will be able to contact the DPO.
 whether physically on the same premises as employees, via a hotline or other secure means of communication
F. Location of the DPO preferentially in the European Union
Exception possible only if a controller/processor has no establishment in the EU and if the DPO can carry out his activities
more effectively outside the EU

13. G. Internal / External DPO
1. DPO may be a staff member of the controller or the processor (internal DPO) or fulfil the tasks on the basis of a service contract
(external DPO) with an individual or an organization.
2. External DPO-team
a) under the responsibility of a designated lead contact and ‘person in charge’ of the client
b) each member of the external organisation exercising the functions of a DPO fulfils all applicable requirements
c) clear allocation of tasks within the external DPO team
H. Professional qualities & Tasks
1. Professional qualities = in particular, expert knowledge of data protection law and practices and the ability to fulfil his or her
tasks
The necessary level of expert knowledge according to the data processing operations carried out and the protection
required for the processes personal data
Particular complex data processing activity or large amount of sensitive data  higher level of expertise and support.

14. 2. Relevant skills and expertise include:
a) expertise in national and European data protection laws and practices including an in-depth understanding of the GDPR
b) understanding of the processing operations carried out
c) understanding of information technologies and data security
d) knowledge of the business sector and the organisation
e) ability to promote a data protection culture within the organization
3. Certification?
a) No requirement in the GDPR for DPOs to be certified as experts, but many may find it useful
 now huge differences in approach, quality, …
b) AEPD (Spanish DPA) CERTIFICATION SCHEME OF DATA PROTECTION OFFICERS FROM THE SPANISH DATA PROTECTION
AGENCY (DPO-AEPD SCHEME)
Certification of persons is a valid tool for the objective, impartial assessment of the competence of an individual to
carry out a specific activity. The subsequent public statement made by the certifier provides the market with useful,
verified information on the criteria applied to individuals in order to obtain professional certification. The validity and
term of the rules of this Scheme are ensured through the active participation of experts and representatives of the
different parties interested in its development.

15. 3. Certification?
c) Not all DPA’s are approving certification
cfr. Greek DPA : The knowledge of a DPO should not be merely based or evidenced by the participation in an
educational program.
Belgian Privacycommission: “Maar het is een misvatting dat een DPO moet gecertificeerd worden. De GDPR laat die
kwestie zelf open. Het kan natuurlijk zijn dat er trainingen komen waaruit een certificaat volgt, maar het is niet dat wij
die zullen of moeten uitreiken.”
4. Tasks of the DPO
a) At least the following tasks:
 inform and advise the controller or the processor and the employees who process data of the obligations incumbent
upon them under the Regulation and other data protection provisions in the European Union or Member States;
 supervise compliance with the provisions of the Regulation and other data protection provisions in the European
Union or Member States and with the policies of the controller or processor in relation to the protection of personal
data;
 supervise the assignment of responsibilities;

16.  supervise awareness raising and training of personnel who participate in processing operations;
 supervise the corresponding audits;
 offer advice requested regarding data protection impact assessments;
 supervise their application in accordance with article 35 of the Regulation;
 cooperate with the supervisory authority;
 act as the contact point for the supervisory authority for issues regarding data processing, including the prior
consultation referenced in Article 36, and consult with the supervisory authority, as appropriate, on any matter
 act as the contact point for the data subjects

17. b) The data protection officer will carry out their functions by paying due attention to the risks associated with data
processing operations, and keeping in mind the nature, scope, context, and purposes of data processing.
 To do so, he/she must be able to:
• collect information to identify processing activities,
• analyse and check the compliance of processing activities, and
• inform, advise, and issue recommendations to the controller or the processor.
• collect information to supervise the register of processing operations.
• provide advice on the application of the principle of data protection by design and by default.
• advise on the data protection impact assessment (when, methodology, safeguards internal or external data
protection audit, internal training activities
• prioritise their activities and focus their efforts on those issues which pose a greater risk in terms of data
protection.

18. H. Position of the DPO, secrecy & conflict of interests
To enable the DPO to act in an independent manner, several safeguards:
a) no instructions by the controllers or the processors regarding the exercise of the DPO’s tasks
 The autonomy of DPOs does not, however, mean that they have decision-making powers extending beyond
their tasks pursuant to Article 39
b) directly reporting to the highest management level
Not necessarily the Board !
c) no dismissal or penalty by the controller for the performance of the DPO’s tasks
Penalties are only prohibited under the GDPR if they are imposed as a result of the DPO carrying out his or her duties
as a DPO
 Legitimate dismissal for reasons other than for performing his or her tasks as a DPO (Ex.: theft, physical,
psychological or sexual harassment or similar gross misconduct).

19. Penalties may take a variety of forms and may be direct or indirect
“In this context it should be noted that the GDPR does not specify how and when a DPO can be dismissed or replaced
by another person. However, the more stable a DPO’s contract is, and the more guarantees exist against unfair
dismissal, the more likely they will be able to act in an independent manner. Therefore, the WP29 would welcome
efforts by organisations to this effect.”
Best practices:
Long term assignment (knowledge of the organization!)
No dismissal without replacement (violation of the obligation to appoint a DPO)
d) Secrecy or confidentiality concerning the performance of the tasks
e) no conflict of interest with possible other tasks and duties
 A DPO may ‘fulfil other tasks and duties’, for as long as ‘any such tasks and duties do not result in a conflict of
interests’.
No position within the organisation that leads him or her to determine the purposes and the means of the
processing of personal data.
= case by case.

20.  As a rule of thumb, conflicting positions include senior management positions: chief executive, chief operating, chief
financial, chief medical officer, head of marketing department, head of Human Resources or head of IT departments)
 But also other roles lower down in the organisational structure
 An external DPO/Lawyer can’t represent the controller or processor before the Courts in cases involving data
protection issues.
f) The DPO must have the resources necessary to be able to carry out his or her tasks, depending on the nature of the
processing operations and the activities and size of the organisation:
active support of the DPO’s function by senior management
sufficient time for DPOs to fulfil their tasks
adequate support in terms of financial resources, infrastructure (premises, facilities, equipment) and staff where
appropriate
official communication of the designation of the DPO to all staff
access to other services within the organisation so that DPOs can receive essential support, input or information from
those other services
continuous training

21. f) DPOs are not personally responsible for non-compliance with data protection requirements.
Data protection compliance is the responsibility of the controller or the processor.
If the controller or processor makes decisions that are incompatible with the GDPR and the DPO's advice, the DPO
should be given the possibility to make his or her dissenting opinion clear to the highest management level and to
those making the decisions

22. De voorbije uiteenzetting is universeel van toepassing in de EU, vandaar het gebruik van de Engelse taal.
Het vervolg van de uiteenzetting is ENKEL EN ALLEEN van toepassing in België.
I. Aansprakelijkheid van de DPO en exoneratie
J. Contractuele clausules inzake de internationale bevoegdheid
K. Contractuele clausules inzake de beperking van aansprakelijkheid
L. Contractuele clausules inzake de duur van het contract en opzegmogelijkheden
M. Aansprakelijkheids- en rechtsbijstandsverzekeringen

23. I. Aansprakelijkheid van de DPO en exoneratie
1. Foutaansprakelijkheid: contractuele – en buitencontractuele aansprakelijkheid
a) Burgerlijke aansprakelijkheid veronderstelt (met enkele uitzonderingen van objectieve aansprakelijkheid ) een fout van
de aansprakelijke
 De aansprakelijkheid is contractueel, wanneer de fout erin bestaat dat men een (of meerdere) verbintenis(sen),
ontstaan uit het contract, niet, te laat of slecht nakomt. (1.146 e.v. B.W.)
 De aansprakelijkheid is buitencontractueel, wanneer de schade van de schadelijder niet resulteert uit de (eventueel)
foutieve uitvoering van een overeenkomst tegenover die schadelijder (1.382 e.v. B.W.), waarbij de fout een schending
inhoudt, bewust en vrij gepleegd, van
Ofwel wettelijke of reglementaire bepalingen die een bepaald gedrag of een onthouding opleggen;
Ofwel van een norm van goed gedrag, bepaald in verhouding tot een normaal zorgvuldig optredende
huisvader, in ons geval van een beroepsbeoefenaar, waarbij dit goed gedrag in abstracto wordt beoordeeld.
Een bepaald gedrag wordt als foutief aangeduid zodra er een afwijking is van de veronderstelde gedraging
van de goede huisvader.
Elke tekortkoming, zelfs de kleinste, leidt tot aansprakelijkheid. (Culpa levissima: lichtste schuld
(exactissima diligentia))

24. Elke persoon is verantwoordelijk voor de schade, veroorzaakt door de fouten van zijn aangestelden, gemaakt tijdens
de uitoefening van hun opdrachten (art. 1384, derde lid BW).
b) Cumulatie (Samenloop) van aansprakelijkheden
In de verhoudingen tussen de contractspartijen kan eenzelfde fout tegelijkertijd contractueel en buitencontractueel
zijn (bv. een tekortkoming in de uitvoering van een opdracht en een schending van de wetten op de boekhouding).
Zuiver contractuele fout, die dus niet zou bestaan in afwezigheid van het contract = louter contractuele
aansprakelijkheid
De fout is ook een strafrechtelijke inbreuk = keuze
De fout is m.b.t. verhoudingen vreemd aan het contract = buitencontractueel
Contractuele fout, die ook buitencontractuele fout is : contractuele aansprakelijkheid, tenzij de
buitencontractuele schade te onderscheiden is
Een buitencontractuele fout, gemaakt bij de uitvoering van een contract door een uitvoeringsagent van een van
de contractuele partijen = ENKEL BUITENCONTRACTUELE AANSPRAKELIJKHEID VAN DE AGENT, indien fout door
onrechtmatige daad en indien de resulterende schade te onderscheiden is van de schade die volgt op de niet-
naleving van contractuele verplichtingen. (quasi-immuniteit)
Idem voor organen van vennootschappen (zaakvoerders, bestuurders, directeurs, …)

25. Een contractuele fout kan schade hebben berokkend aan een derde:
Indien tegelijkertijd fout door onrechtmatige daad gaat = buitencontractuele aansprakelijkheid van de dader
Ook mogelijk (contractueel) verhaal van de derde in geval van uitbreiding van de voordelen van de contractuele
verplichtingen naar deze derde (zogenaamd derdenbeding)
2. Fout van de vennootschap en gevolg voor persoonlijke aansprakelijkheid van de organen
a) Contractuele aansprakelijkheid  het orgaan is niet verantwoordelijk voor de uitvoering door de rechtspersoon van zijn
contractuele verplichtingen
Uitzondering zie de theorie van de quasi-immuniteit
 Persoonlijke aansprakelijkheid van het orgaan bovenop die van de vennootschap (verbintenissen in solidum)
b) De identificatie van de natuurlijke persoon die de fout maakte is niet noodzakelijk om de aansprakelijkheid van de
rechtspersoon in te roepen

26. 3. De aansprakelijkheid van de werknemers
a) Artikel 18 van de Wet van 3 juli 1978 betreffende de arbeidsovereenkomsten – zeer belangrijke beperking van de
aansprakelijkheid
“Ingeval de werknemer bij de uitvoering van zijn overeenkomst de werkgever of derden schade berokkent, is hij enkel
aansprakelijk voor zijn bedrog en zijn zware schuld.
Voor lichte schuld is hij enkel aansprakelijk als die bij hem eerder gewoonlijk dan toevallig voorkomt.
Op straffe van nietigheid mag niet worden afgeweken van de bij het eerste en het tweede lid vastgestelde
aansprakelijkheid, tenzij, en alleen wat de aansprakelijkheid tegenover de werkgever betreft, bij een door de Koning
algemeen verbindend verklaarde collectieve arbeidsovereenkomst.”
b) Toepassingsgebied van artikel 18 AOW
 Geen beperking van de strafrechtelijke aansprakelijkheid
 Alleen voor WERKNEMERS (geen freelancers!)
 Alleen voor daden in uitvoering van de arbeidsovereenkomst
 Alleen voor schade aan de werkgever en aan derden
 Werknemer is aansprakelijk voor zijn eigen schade !

27. c) Foutvoorwaarden
De werknemer kan alleen aansprakelijk gesteld worden indien de schade werd veroorzaakt door bedrog, zware schuld of
een herhaalde lichte fout
Bedrog
De schadeverwerker moet niet enkel de fout wetens en willens hebben willen veroorzaken waaruit de schade
voortvloeit, maar ook de schade.
Zware fout
In tegenstelling tot bij bedrog is bij zware fout geen intentioneel element (kwade trouw) vereist.
= grove fout die dermate ernstig is dat zij onvergeeflijk is
= een abnormale en verkeerde gedraging waarvan een normaal voorzichtig persoon zou weten dat deze schade
berokkent
in concreto beoordeling in het licht van de activiteiten van de onderneming, de feitelijke omstandigheden, de
functie, de hoedanigheid en de verantwoordelijkheden van de werknemer
≠ dringende reden

28. Gewoonlijke lichte fout
 Een lichte fout wordt in principe vergeven  immuniteit
 Uitzondering de gewoonlijke lichte fout.
o fout bij herhaling bewust gepleegd, waaruit de onvoorzichtigheid van de werknemer, zijn gebrek aan
professionele toewijding of een gebrek aan inzet blijkt
o niet identiek, maar wel gelijkaardig
d) DWINGEND RECHT
 Niet strenger voor de werknemer
Iedere bepaling in de overeenkomst of in het arbeidsreglement die de aansprakelijkheid van de werknemer zou
vergroten, is nietig !
Art. 6 WAO - Alle met de bepalingen van deze wet en van haar uitvoeringsbesluiten strijdige bedingen zijn nietig voor
zover zij ertoe strekken de rechten van de werknemer in te korten of zijn verplichtingen te verzwaren.
 Versoepeling mag dus wel !!! – Minder streng t.a.v. WN

29. 4. De beperking en verzachting van de aansprakelijkheid : exoneratie-, vrijwarings- en schadebedingen
a) Een exoneratiebeding is een contractueel beding waarbij een partij zich geheel of gedeeltelijk vrijstelt van haar
gemeenrechtelijke contractuele of buitencontractuele aansprakelijkheid.
 exoneratiebedingen zijn nietig indien zij een exoneratie omvatten voor eigen opzet of bedrog.
 exoneratie voor eigen zware fout kan wel
 exoneratie voor een opzettelijke fout van aangestelden kan ook
 Een exoneratiebeding is verder ook nietig indien het de overeenkomst iedere zin en betekenis ontneem
= zich vrijstellen voor alle verbintenissen of de meest essentiële
b) Bij een vrijwaringsbeding verbindt één van de partijen zich ertoe om in te staan voor de financiële gevolgen van de
aansprakelijkheid die de wederpartij tegenover derden zou kunnen oplopen. Net zoals bij een verzekering wordt het
financiële risico ervan op een derde afgewenteld.
 geldig zonder meer

30. c) Een schadebeding is een contractueel beding waarin de partijen vooraf en op forfaitaire wijze het bedrag van de
schadevergoeding vastleggen dat een partij aan de wederpartij verschuldigd zal zijn in het geval waarin zij een bepaalde
contractuele verbintenis niet nakom.
 Nalatigheidsinteresten en forfaitaire verhoging bij laattijdige betaling
 Bepaald percentage bij annuleren van een bestelling
 Maar dus ook de beperking van de schade die uit een fout zou kunnen voortvloeien
5. Maar de GDPR zegt toch dat de DPO niet verantwoordelijk is?
a) DPO is persoonlijk niet verantwoordelijk voor de naleving door de controller/processor van de Privacywetgeving/GDPR
b) MAAR net zoals iedere interne/externe FUNCTIE is een DPO zeker en vast verantwoordelijk voor de fouten die hij maakt
en de schadelijke gevolgen hierdoor
DPO is een specialist, met een zeer grote verantwoordelijkheid (onwetendheid is dus geen excuus !)
DPO heeft zeer veel taken, misschien wel te veel (kwestie van zichzelf in te dekken tegen WG/opdrachtgever)
DPO moet zijn zelfstandige rol waar maken (interne rapportering en bij zeer zware inbreuken, die zonder reactie
blijven, DPA inlichten !)
 Een fout en dus jullie aansprakelijkheid ligt op de loer !!

31. J. De internationale bevoegdheid
1. Relevantie?
Veel DPO’s werken in een internationaal kader. Interne en externe DPO’s werken voor multinationals of buitenlandse
controllers/processors.
Voor een Belgische DPO is het belangrijk om geschillen in België te laten behandelen en/of zelf in België aangesproken te worden:
thuisvoordeel of uitwedstrijd
a) Belgische advocaten zijn “goedkoop”. De tarieven van buitenlandse advocaten liggen 3 tot 5x hoger.
b) De meeste KMO-advocaten zijn “goed”, zeker in vergelijking met de veel duurdere buitenlandse advocaten.
c) Het is altijd beter om je in een taal te verdedigen die je begrijpt en in een rechtssysteem dat je kent.
d) Belgische rechtbanken kennen zeer redelijke schadevergoedingen toe, zeker in vergelijking tot Angelsaksisch rechtssysteem
en morele schadevergoeding

32. 2. De internationale bevoegdheid en toepasselijk recht inzake arbeidsovereenkomsten – de interne DPO als werknemer (WN)
a) Toepasselijk recht wordt geregeld door de Rome I-verordening (EU-Verordening nr. 593/2008 van 17 juni 2008 inzake het
recht dat van toepassing is op verbintenissen uit overeenkomst)
Principe : keuzevrijheid (artikel 3 van de Rome I Verordening)
De partijen kunnen kiezen welk recht van toepassing is op de arbeidsovereenkomst, op expliciete of impliciete
wijze gebeuren
Keuze voor de hele arbeidsovereenkomst of slechts een deel ervan
Wijziging van keuzen kan op elk ogenblik
Beperkingen aan het principe van de keuzevrijheid
WN verliest niet de bescherming van de dwingende bepalingen van het recht van het land zonder rechtskeuze :
het recht van het land waar (of bij gebreke van waaruit) de werknemer ter uitvoering van de overeenkomst
gewoonlijk zijn arbeid verricht
bij gebreke daarvan, het recht van het land waar zich de vestiging bevindt die de werknemer in dienst heeft
genomen
Tenzij uit het geheel van de omstandigheden blijkt dat de overeenkomst een kennelijk nauwere band heeft
met een ander land, het recht van dat andere land
De bepalingen van bijzonder dwingend recht van het land van de plaats van uitvoering van de verbintenissen
= bevoegdheid van de rechters om dit te bepalen.

33. b) Internationale bevoegdheid wordt geregeld door de Brussel Ibis-Verordening (EU-verordening 1215/2012 van 12
december 2012)
Werkgever (WG) kan gedagvaard worden voor
WG met zetel in EU-lidstaat:
De rechtbanken van deze lidstaat
Ofwel de rechtbanken van de lidstaat waar de WN gewoonlijk werkt(e)
Ofwel de rechtbanken van de lidstaat waar de WN het laatste heeft gewerkt
Ofwel (indien geen gewoonlijke plaats) de rechtbanken van de lidstaat waar de vestiging ligt die de WN het
eerste heeft in dienst genomen
WG zonder zetel in EU idem als de 3 laatste mogelijkheden
Werknemer kan enkel gedagvaard worden voor de Rechtbanken van de lidstaat van zijn woonplaats
 Uitzondering: (indien geen keuze) Verbintenissen uit onrechtmatige daad: gerecht van de plaats van het schade
brengende feit
Maar art. 23 laat uitdrukkelijk toe om overeenkomsten af te sluiten waarbij de WN een bijkomende mogelijkheid
krijgt = forumkeuze

34. c) Aanbeveling om in de arbeidsovereenkomst (of addendum) 2 extra clausules over het toepasselijk recht en de
internationale bevoegdheid op te nemen.
“Ongeacht de internationale dimensie is de uitvoering van de arbeidsprestaties als DPO uitsluitend onderhevig aan het Belgisch
recht, onverminderd de dwingende bepalingen van het land van uitvoering van die prestaties in het voordeel van de
werknemer.
Elk eventueel geschil inzake de uitvoering van de arbeidsprestaties als DPO, hierin inbegrepen de eventuele arbeidsprestaties in
het buitenland, zal uitsluitend voorgelegd worden aan de Belgische rechtbanken. Dit geldt eveneens voor verbintenissen uit
hoofde van een onrechtmatige daad.”
(die laatste clausule is niet tegenstelbaar aan derden, want niet aanvaard.)

35. 3. De internationale bevoegdheid en het toepasselijk recht inzake overeenkomsten van zelfstandige dienstverlening – de externe
DPO
a) Toepasselijk recht wordt ook geregeld door de Rome I-verordening (EU-Verordening nr. 593/2008 van 17 juni 2008 inzake
het recht dat van toepassing is op verbintenissen uit overeenkomst)
Principe : keuzevrijheid (artikel 3 van de Rome I Verordening)
De partijen kunnen kiezen welk recht van toepassing is op hun overeenkomst, op expliciete of impliciete wijze
gebeuren
Keuze voor de hele overeenkomst of slechts een deel ervan
Wijziging van keuzen kan op elk ogenblik
Indien geen rechtskeuze
Verkoop van roerende zaken = recht van het land van de verblijfplaats van de verkoper
Dienstverlening = recht van het land van de verblijfplaats van de dienstverlener
De bepalingen van bijzonder dwingend recht van het land van de plaats van uitvoering van de verbintenissen
= bevoegdheid van de rechters om dit te bepalen.
Verbod op slavernij, …

36. b) Internationale bevoegdheid wordt geregeld door de Brussel Ibis-Verordening (EU-verordening 1215/2012 van 12
december 2012)
Principe = de keuzevrijheid (artikel 25)
Partijen kunnen, ongeacht hun woonplaats, een gerecht of de gerechten van een lidstaat aanwijzen voor de
kennisneming van geschillen (= forumkeuze)
In principe exclusief, maar partijen kunnen meerdere bevoegde rechtbanken aanduiden
Keuze geldt niet wanneer de overeenkomst nietig is wat haar materiële geldigheid betreft.
Zonder keuze zijn de rechtbanken van de lidstaten van de plaats van uitvoering van de verbintenis, die aan de eis ten
grondslag ligt, bevoegd
Verkoop van roerende goederen = de plaats waar de goederen zijn (dienden) geleverd (te) worden
Levering van diensten = de plaats waar die diensten zijn/dienden uitgevoerd
Zonder keuze moeten geschillen over verbintenissen uit onrechtmatige daad voor het gerecht van de plaats van het
schade brengende feit gebracht te worden

37. c) Aanbeveling om in de overeenkomst van zelfstandige dienstverlening extra clausules over het toepasselijk recht en de
internationale bevoegdheid op te nemen.
“De nietigheid of niet-uitvoerbaarheid van één of meer (deel)bepalingen van deze voorwaarden heeft geen gevolgen op de
geldigheid of uitvoerbaarheid van de andere (deel)bepalingen ervan die onverminderd van kracht blijven. De ongeldige of
niet-uitvoerbare (deel)bepalingen zullen vervangen worden door geldige en uitvoerbare (deel)bepalingen die het nauwst
aanleunen bij de oorspronkelijke bedoeling.”
We vermijden de nietigheid van de overeenkomst door 1 probleempje ! Hierdoor blijven de rechtskeuze en forumkeuze
overeind !
“Deze voorwaarden, Onze dienstverlening en alle Overeenkomsten met Ons, inclusief de bijlagen, zijn in overeenstemming
met het Belgisch recht opgesteld en daarop is uitsluitend het Belgisch recht van toepassing.”
“Elk eventueel geschil inzake onze dienstverlening, met inbegrip van onze eventuele onrechtmatige daad, zal uitsluitend
voorgelegd worden aan de rechtbanken van het gerechtelijk arrondissement van Leuven (3000 LEUVEN), België (hierin
inbegrepen de vorderingen in invordering van Onze facturen ten laste van de Cliënt.).”
Ook in Belgische context kunnen we de bevoegde rechtbank aanduiden. Hoe makkelijk het ook is om de rechtbank van het
arrondissement van je ligging te nemen, denk toch 2x na. De wachttijden bij sommige arrondissementen is 2, 3 x langer.

38. K. Contractuele clausules inzake de beperking van aansprakelijkheid
1. Bescherm je zelf
a) Tijdens de uitoefening van je taken
 Rapportering aan hoogste management
 Informatie en klacht bij de DPA wanneer WG/opdrachtgever zich, ondanks duidelijke waarschuwing, blijven schuldig
maken aan ernstige inbreuken
 Documentatie – vermijd mondelinge adviezen, documenteer jullie adviezen schriftelijk, altijd
b) Tijdens de onderhandeling van jullie contracten: beperk maximaal jullie aansprakelijkheid !
2. De exoneratieclausules voor externe DPO’s
 “Wij aanvaarden de verplichting om Onze diensten en levering van goederen volgens de regels van de kunst uit te voeren, hierbij
de wettelijke bepalingen in acht nemend. Het spreekt voor zicht dat Wij geenszins een resultaatsverbintenis aangaan, maar
slechts een middelenverbintenis.”
= Een fundamenteel verschil in het verbintenissenrecht.
Wanneer je een resultaatsverbintenis aanvaardt, ben je aansprakelijk, enkel en alleen als je het resultaat niet haalt.
Dus zorg voor duidelijkheid: als DPO doen we ons uiterste best, maar we zijn niet verantwoordelijk voor het resultaat

39.  “De Cliënt is aansprakelijk voor haar personeel en agenten, de juistheid en volledigheid van de aan Ons verschafte gegevens en
informatie en de tijdigheid ervan, dit met het oog op het uitvoeren van onderhavige diensten.”
 “Onze aansprakelijkheid is beperkt tot het bedrag dat de klant Ons gedurende de vorige 6 maanden voorafgaand aan het
schadeverwekkend feit daadwerkelijk heeft betaald, uitgezonderd kwade trouw en bedrog.”
 “In elk geval, en dus ook bij kwade trouw en bedrog, is Onze aansprakelijkheid beperkt tot de sommen dewelke Onze verzekering
Burgerlijke Aansprakelijkheid zal uitkeren. Mocht er voor een aansprakelijkheid geen dekking verleend worden door de
verzekering, dan is Onze aansprakelijkheid beperkt tot maximaal € 15.000 per schadegeval, ongeacht het aantal schadelijdende
Cliënten.”
Het is perfect wettig om je aansprakelijkheid tot een bepaald bedrag te beperken, voor zover dit redelijk is en niet de essentie
van de overeenkomst onderuit haalt (bvb € 0,5)
Het is perfect wettig te voorzien dat je aansprakelijkheid beperkt is tot wat de verzekering dekt en bij gebreke aan dekking hier
een bedrag op vast te pinnen.
Opletten met exoneratie bij bedrog en kwade trouw

40. 2. De exoneratie-clausules voor externe DPO’s
 “Wij zijn nooit aansprakelijk voor indirecte en/of gevolgschade.”
 “Wij zijn evenmin aansprakelijk voor de schade die de Cliënt lijdt als gevolg van de kennisname door derden, ondanks Onze
redelijke voorzorgsmaatregelen en deze van Onze IT-leveranciers.”
Niets belet ons om sommige schade uitdrukkelijk uit te sluiten.
Voor een DPO zeker belangrijk, reputatieschade is indirecte schade, die kan oplopen.
 “Deze aansprakelijkheidsbeperkings- en vrijwaringsclausules zijn ALTIJD van toepassing, of het nu om contractenrecht, de wet of
een onrechtmatige daad (zoals nalatigheid) gaat of om het even welke andere hypothese.”
Zoals reeds uitgelegd kan een fout aanleiding geven tot een samenloop van contractuele en buitencontractuele
aansprakelijkheid. T.a.v. de opdrachtgever is deze beperking geldig.
3. De vrijwaringsclausules voor externe DPO’s
 Grote probleem van exoneratieclausule is dat deze enkel aan zijn wederpartij tegenstelbaar is en dus niet aan derden !
Het gevaar is echter niet denkbeeldig dat de exonerant bij de uitvoering van de overeenkomst schade toebrengt aan derden en
door deze wordt aangesproken. Bij een vrijwaringsbeding neemt de wederpartij de schade voor haar rekening waar de exonerant
voor aansprakelijk gesteld wordt.

41.  “De Cliënt vergoedt en vrijwaart Ons voor alle vorderingen, contractuele en buitencontractuele aansprakelijkheden en uitgaven
m.b.t. deze Overeenkomst t.a.v. derden, zonder enige uitzondering, zonder recht van subrogatie.“
Vrijwaring kan voor alle vorderingen en zelfs bij bedrog en opzettelijke fout.
Waarom uitsluiting van subrogatie.
Door subrogatie neemt iemand de rechten over na een betaling.
4. En hoe zit het dan met interne DPO’s, werknemers?
Interne DPO’s zijn als werknemer al beter beschermd om te beginnen door de uitwerking van artikel 18 WAO.
Enige probleem is nog bedrog, zware fout en herhaalde lichte fouten en de schadevergoedingen hieruit t.a.v. de WG en derden
“De aansprakelijkheid van de WN is beperkt overeenkomstig artikel 18 WAO. Partijen komen evenwel overeen dat de
aansprakelijkheid van de WN in elk geval beperkt wordt tot een maximum bedrag gelijk aan 2 maanden loon.”
“Bovendien vergoedt en vrijwaart de WG de WN, in uitdrukkelijke afwijking van artikel 18 WAO, voor alle vorderingen,
contractuele en buitencontractuele aansprakelijkheden en uitgaven m.b.t. deze Overeenkomst t.a.v. derden, zonder enige
uitzondering en zonder recht van subrogatie.“

42. K. Contractuele clausules inzake de duur van het contract en opzegmogelijkheden
1. GDPR beschermt de DPO’s uitdrukkelijk !!
a) Geen ontslag/beëindiging of sancties omwille van de uitoefening van de taken als DPO
Sancties zijn verboden als ze een gevolg zijn van de taken en verplichtingen als DPO
Sancties en beëindiging/ontslag kan dus wel omwille van redenen die verschillend zijn van de uitvoering van de taken
als DPO
Vb. Diefstal, pesten e.d., wangedrag, ….
Motiveringsplicht
Interne DPO - Collectieve arbeidsovereenkomst nr. 109 van 12/02/2014
Motiveringsverplichting (sanctie 2 weken loon)
Kennelijk onredelijk ontslag (sanctie 3 tot 17 weken loon)
Externe DPO – artikel 1134 B.W – principe van de goede trouw
Geen uitdrukkelijke regeling

43. “In this context it should be noted that the GDPR does not specify how and when a DPO can be dismissed or replaced by
another person. However, the more stable a DPO’s contract is, and the more guarantees exist against unfair dismissal,
the more likely they will be able to act in an independent manner. Therefore, the WP29 would welcome efforts by
organisations to this effect.”
Best practices
Voldoende lange termijn van aanstelling (diepgaande kennis van de business en het reilen en zeilen van de
organisatie!)
Alvorens de interne DPO te ontslaan (of een einde te stellen aan de externe DPO) moet er in een vervanging
voorzien zijn
Verplichting tot aanstelling
Overdracht van kennis

44. b) Contractuele clausules
Interne DPO
“Partijen verwijzen naar de GDPR-verordening. De WN zal, als DPO, zijn taken en verplichtingen onafhankelijk vervullen.
Daarom zal de WN niet ontslagen, noch op enigerlei gesanctioneerd worden voor de uitvoering van zijn taken als DPO.
Partijen komen uitdrukkelijk overeen dat elke schending van het wettelijke verbod tot ontslag of bestraffing aanleiding zal
geven tot een schadevergoeding van minstens 6 maanden loon.”
“Wanneer de WG om andere redenen dan de uitvoering van de taken als DPO een einde stelt aan de arbeidsovereenkomst
van de WN, dan wel wanneer de WN ontslag neemt of wanneer Partijen in der minne de arbeidsovereenkomst beëindigen,
zal de WG het nodige doen om onmiddellijk een nieuwe DPO aan te stellen. De WN verbindt er zich toe om alle kennis i.v.m.
de uitvoering van zijn taken als DPO met deze nieuwe DPO te delen.”

45. Externe DPO
“Partijen verwijzen naar de GDPR-verordening. Aangezien de DPO een grondige kennis van de organisatie en business van de
opdrachtgever dient te verwerven wordt deze overeenkomst voor een termijn van 4 jaar afgesloten, met stilzwijgende
hernieuwing voor eenzelfde duur, tenzij een van de partijen minstens 6 maanden voor het einde van overeenkomst een opzeg
betekent.”
“Partijen verwijzen naar de GDPR-verordening. De dienstverlener zal, als DPO, zijn taken en verplichtingen onafhankelijk
vervullen. Daarom kan de dienstverlener niet ontslagen, noch op enigerlei gesanctioneerd worden voor de uitvoering van zijn
taken als DPO. Partijen komen uitdrukkelijk overeen dat elke schending van het wettelijke verbod tot ontslag of bestraffing
aanleiding zal geven tot een schadevergoeding van minstens € (6 maanden facturatie).”
“Wanneer de opdrachtgever om andere redenen dan de uitvoering van de taken als DPO een einde stelt aan de
overeenkomst, dan wel wanneer de dienstverlener ontslag neemt of wanneer Partijen in der minne de overeenkomst
beëindigen, zal de opdrachtgever het nodige doen om onmiddellijk een nieuwe DPO aan te stellen. De dienstverlener verbindt
er zich toe om alle kennis i.v.m. de uitvoering van zijn taken als DPO met deze nieuwe DPO te delen.”

46. L. Aansprakelijkheids- en rechtsbijstandsverzekeringen
Verzekeringen werken zoals een vrijwaringsclausule.
Een verzekering vergoedt de financiële schade en de verdedigingskosten bij aansprakelijkheidsvorderingen.
Geen dekking bij:
 opzettelijke fout
 Bedrog
 Strafrechtelijke aansprakelijkheid, minnelijke schikkingen inbegrepen.
Gelukkig worden er onder de GDPR administratieve geldboetes opgelegd !
 Wel dekking door verzekering
Absoluut goed idee om je te verzekeren, ook al heb je exoneratie- en vrijwaringsclausules onderhandeld.
Risico dat je toch in een procedure wordt meegesleept is niet ondenkbeeldig !
Als beroepsvereniging zijn we op dit moment een polis aan het onderhandelen met enkele verzekeraars.
We hopen dit begin april afgerond te hebben.
We houden jullie hier uiteraard van op de hoogte.