GDPR: moet uw onderneming een “data protection officer” onder de arm nemen?
- On 07/02/2018
De maand mei nadert… elke onderneming moet tegen deze deadline rekening houden met de nieuwe Privacyregels. Sommige ondernemingen moeten niet enkel rekening houden met de nieuwe regels, maar moeten zelfs een specialist ter zake aanstellen, een “data protection officer” ofwel een “functionaris gegevensbescherming” genoemd. Dient uw bedrijf ook verplicht een specialist aan te wijzen?
Wie? De functionaris voor de gegevensbescherming (FG) ook de data protection officer (DPO) genoemd, is een onafhankelijk en deskundig persoon met als opdracht het informeren en adviseren over de omgang met persoonsgegevens binnen een organisatie (persoonsgegevens zijn bijvoorbeeld een naam, identificatienummer, locatie of fysieke, genetische, economische kenmerken, etc.). De functionaris mag een werknemer zijn of een extern ingehuurde werkkracht. Kortweg is de taak van de DPO het waarborgen van de naleving van de Privacyverordening.
Wanneer verplicht? In drie gevallen is een onderneming verplicht een DPO aan te stellen[1]:
- Indien u een overheidsinstantie of overheidsorgaan bent die gegevens verwerkt (met uitzondering van gerechten/rechtbanken bij de uitoefening van hun rechterlijke taken).
- Indien uw onderneming informatie verwerkt die vanwege de aard, de omvang en/of de doeleinden “regelmatige” en “stelselmatige” observatie op “grote schaal” van betrokkenen vereisen[2]. Denk hierbij bijvoorbeeld aan een internetbedrijf dat diensten aanbiedt om websitebezoek zeer gedetailleerd te monitoren.
- Indien uw onderneming op een grootschalig wijze hoofdzakelijk bijzondere en strafrechtelijke persoonsgegevens verwerkt. Dit soort persoonsgegevens zijn bijvoorbeeld ras, seksuele voorkeur of politieke gezindheid.
Geen grootte als criteria. Er zijn dus géén getalsmatige criteria van toepassing (zoals in eerdere ontwerpen van de verordening opgenomen). Diverse artikelen verwijzen hier nog naar, maar dit is dus niet meer van toepassing.
Waarom? De DPO moet:
- de onderneming en haar werknemers die gegevens verwerken, informeren en adviseren over hun verplichtingen.
- toezien op de naleving van deze verplichtingen en op het privacy beleid van de onderneming (toewijzing van verantwoordelijkheden, bewustmaking en opleiding).
- desgevraagd advies verstrekken.
- met de toezichthoudende autoriteit samenwerken.
- optreden als contactpunt voor de toezichthoudende autoriteit.
Bijkomende verplichte situaties? Nadere Europese of nationale wetgeving kan voorschrijven dat het aantal verplichte aanstellingen wordt uitgebreid.
Vrijwillig? Als een onderneming niet verplicht is een functionaris aan te stellen, kan deze uiteraard steeds wel vrijwillig een functionaris benoemen. Een onderneming met een competente functionaris zal minder snel in het vizier komen van de toezichthouder. Audits en dure boetes kunnen zo worden vermeden.
Let op, nog andere verplichtingen! Het feit dat uw bedrijf misschien geen DPO dient aan te stellen, betekent uiteraard niet dat de algemene privacyregelgeving niet dient toegepast te worden. U dient ongetwijfeld rekening te houden met andere nieuwigheden voor uw beleid over gegevensbescherming.
Lees meer over GDPR in het artikel “Is GDPR ook voor mijn bedrijf(je) van toepassing?”
[1] Artikel 37 van de Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
[2] Guidelines on Data Protection Officers (april 2017) – werkgroep van Europese privacytoezichthouders (WP29).
“Regelmatig” betekent gedurende een bepaalde periode, terugkerend of continu.
“Stelselmatig” betekent vooraf geregeld en georganiseerd. Of deze observatie grootschalig is, hangt af van de volgende factoren: het aantal betrokkenen, de hoeveelheid (verschillende) gegevens, de duur van de gegevensverwerking en de geografische reikwijdte ervan.