Veel ondernemingen dienen sinds 25 mei 2018 te beschikken over een Data Protection Officer (DPO), wat de Engels benaming is van ‘functionaris voor gegevensbescherming’ (FG).
U dient uw DPO via een formulier aan te melden bij de Gegevensbeschermingsautoriteit. Indien u deze verplichting niet naleeft, riskeert u een administratieve geldboete tot €10.000.000 of een boete ter waarde van 2% van de totale wereldwijde omzet.
Voor wie is de aanstelling verplicht?
- Publieke overheden
- Indien u als onderneming hoofdzakelijk belast bent met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisten (bv. privaat beveiligingsbedrijf, uitzendbureau, IT-onderneming die vaak toegang krijgt tot persoonsgegevens);
- Indien u als onderneming hoofdzakelijk belast bent met grootschalige verwerking van bijzondere categorieën van gegevens zoals bijvoorbeeld gezondheidsgegevens (bv. ziekenhuis, artsenpraktijk)
U merkt het al: vaak is er sprake van een interpretatieprobleem. De artikel 29-werkgroep (Working Party 29), die bevoegd is om interpretatie te geven aan de GDPR, heeft volgende voorbeelden aangehaald:
- Verwerking van patiëntgegevens in het kader van de regelmatige bedrijfsvoering van een ziekenhuis
- Verwerking van reisgegevens van personen die van het openbaar vervoerssysteem in een stad gebruikmaken (bv. tracering via reiskaarten)
- Verwerking van realtime geolocatiegegevens van klanten van een internationale fastfoodketen voor statistische doeleinden door een verwerker die gespecialiseerd is in het leveren van dergelijke diensten
- Verwerking van klantgegevens in het kader van de regelmatige bedrijfsvoering van een verzekeringsmaatschappij of een bank
- Verwerking van persoonsgegevens met het oog op gedragsgerelateerde publiciteit door een zoekmachine
- Verwerking van gegevens (content, surfgedrag, locatie) via aanbieders van telefonie- of internetdiensten
Indien u twijfelt, kan u steeds bij ons terecht om een advies te ontvangen.
Wat als u geen DPO moet aanstellen?
Zelfs indien u geen DPO moet aanstellen, is het vaak wel aangewezen om dit tijdelijk te doen om een correcte implementatie in uw onderneming te bewerkstelligen en sancties te vermijden.
De artikel 29-werkgroep (Working Party 29), die bevoegd is om interpretatie te geven aan de GDPR, heeft volgend advies uitgebracht:
“Tenzij duidelijk is dat een organisatie niet verplicht is om een functionaris voor gegevensbescherming aan te wijzen, raadt de WP29 verwerkingsverantwoordelijken en verwerkers aan de interne analyse te documenteren die werd uitgevoerd om te bepalen of er al of niet een functionaris voor gegevensbescherming moet worden aangesteld, teneinde aan te kunnen tonen dat met de relevante factoren correct rekening is gehouden. Deze analyse maakt deel uit van de documentatie conform het verantwoordingsbeginsel.”
U dient dus steeds te motiveren waarom u heeft besloten geen DPO aan te stellen.
Wat doet een DPO?
- Informeren & adviseren van u en uw personeel
- Toezien op naleving binnen uw onderneming
- Fungeren als aanspreekpunt voor betrokkenen en autoriteiten
- Opstellen & onderhouden verwerkingsregister / incidentenregister / beleidsplan
- Opvolgen lopende projecten & nieuwe ontwikkelingen – gegevensbeschermingseffectbeoordeling
- Opstellen & aanpassen van contracten, policies, richtlijnen, verwerkersovereenkomsten
- Opvolgen & adviseren bij incidenten
- Rapportering aan de hoogste managementniveau in uw onderneming
Wie kan u aanstellen als DPO?
Dit kan één van uw werknemers zijn, maar evengoed een zelfstandige dienstverlener.
Een DPO moet op onafhankelijke manier kunnen fungeren binnen de onderneming. Er mag geen sprake zijn van andere taken of plichten die tot een belangenconflict leiden. De Working Party 29 adviseert hierover het volgende:
“Als vuistregel worden binnen de organisatie als functies met een belangenconflict beschouwd: functies in het hogere management (bv. Chief Executive, Chief Operating, Chief Financial, Chief Medical Officer, hoofd van de marketingafdeling, hoofd van Human Resources of hoofd van de IT-afdeling), maar ook lagere functies binnen de organisatiestructuur als deze personen de doelstellingen van en middelen voor de verwerking van gegevens moeten bepalen.”
Overeenkomstig de wetgeving moet een deskundige zijn met kennis van gegevensbeschermingswetgeving en –praktijken.