Velen van ons zijn er van overtuigd dat de functionaris voor gegevensbescherming (DPO) niet verantwoordelijk is voor de naleving van de AVG, maar de verwerkingsverantwoordelijke en in bepaalde gevallen de verwerker wel. Dit klopt in vele gevallen wel aangezien de DPO hen net bij staat om hun verantwoordelijkheid op te nemen maar in enkele uitzonderingen kan de DPO niet allen bestuurlijk, maar ook strafrechtelijk gesanctioneerd worden.
Ondanks het non bis in idem-principe kan een EU-lidstaat twee verschillende sancties opnemen in hun wetgevend arsenaal, enerzijds een bestuurlijke en anderzijds een strafsanctie met het doel om dezelfde inbreuk te sanctioneren.
De Belgische wetgever heeft van die mogelijkheid gebruikgemaakt omdat hij in een aantal strafsancties voorzien heeft om bepaalde inbreuken op de wet van 30 juli 2018 te kunnen sanctioneren. Het is dan wel niet mogelijk om administratieve geldboetes op te leggen aan overheden, dat betekent niet dat andere sancties, waaronder strafsancties, niet op te leggen zijn. Zo bepaalt artikel 222 van de wet van 30 juli 2018 uitdrukkelijk dat een straf opgelegd kan worden aan “de verwerkingsverantwoordelijke of de verwerker, zijn aangestelde of gemachtigde, de bevoegde overheid.” De verwijzing naar de aangestelden en gemachtigden sluit uitdrukkelijk de functionaris voor gegevensbescherming in. In de praktijk zal dat vooral betrekking hebben op de situatie waarin de functionaris voor gegevensbescherming door de verwerkingsverantwoordelijke belast is met andere taken dan deze die hem in zijn hoedanigheid van functionaris voor gegevensbescherming toekomen. Sancties voor functionarissen voor gegevensbescherming komen ook voor in situaties waarin het over zijn of haar aansprakelijkheid gaat, bv. bij het niet naleven van de vertrouwelijkheidsplicht.
Toch willen we die strafrechtelijke aansprakelijkheid kort nuanceren aangezien artikel 228 van de wet van 30 juli 2018 stelt dat “onverminderd bijzondere bepalingen, de verwerkingsverantwoordelijke, de verwerker, of zijn vertegenwoordiger in België burgerrechtelijk aansprakelijk is voor de betaling van de boeten waartoe zijn aangestelde of gemachtigde is veroordeeld.” Dit wil zeggen dat de strafrechtelijke boete die tegen een functionaris voor gegevensbescherming uitgesproken wordt, betaald zal worden door de verwerkingsverantwoordelijke, al komt de strafrechtelijke veroordeling op het strafregister van de functionaris voor gegevensbescherming.