Wat is een DPO en wie moet er één aanstellen?

De gdpr spreekt over de functionaris voor gegevensbescherming, ook wel de Data Protection Officer (DPO) genoemd. Bedrijven zijn maar in een beperkt aantal gevallen verplicht om er een aan te stellen, nl. : als je verwerkingen doet die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen of als je grootschalige verwerking van bijzondere categorieën van gegevens van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten van artikel 10 doet.

 

Wat wordt er bedoeld met “op grote schaal”? De GDPR vermeldt geen exacte aantallen. Je moet voor elk geval apart onderzoeken of er sprake is van grote schaal.

Zo moet je rekening houden met : 

  • Het aantal betrokkenen, eventueel in verhouding tot een betrokken bevolking;
  • Het volume gegevens en de waaier van verschillende verwerkte gegevens;
  • De duur of de permanentie van de verwerkingsactiviteit;
  • De geografische spreiding van de verwerkingsactiviteit.

 

Enkele voorbeelden van grootschalige verwerkingen:

  • verwerking van patiëntgegevens als onderdeel van de gebruikelijke werkzaamheden van een ziekenhuis;
  • verwerking van reisinformatie van mensen die met het openbaar vervoer in een bepaalde stad reizen (door deze bijv. te volgen via reiskaarten);
  • het voor statistische doeleinden verwerken van actuele locatiegegevens van klanten van een internationale fastfoodketen, door een verwerker die in deze diensten gespecialiseerd is;
  • verwerking van klantgegevens als onderdeel van de gebruikelijke werkzaamheden van een verzekeringsmaatschappij of bank;
  • verwerking van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van internetgedrag;
  • verwerking van gegevens (inhoud, verkeer, locatie) door telefoon- of internetproviders.

 

Enkele voorbeelden van een verwerking die NIET als een grootschalige verwerking wordt beschouwd:

  • verwerking van patiëntgegevens door een individuele arts;
  • verwerking van persoonsgegevens over veroordelingen en strafbare feiten door een individuele advocaat.

 

Wat zij die bijzondere categorieën van gegevens waarover de gdpr spreekt?

Het gaat hier om de bijzondere categorieën van persoonsgegevens zoals vermeld in artikel 9.1 AVG, meer bepaald:

  • ras of etnische afkomst;
  • politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond;
  • genetische gegevens (bv. een DNA analyse);
  • biometrische gegevens met het oog op unieke identificatie (bv. vingerafdrukgegevens of iris- of gelaatsherkenning);
  • gezondheidsgegevens;
  • gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
  • persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG).

De meeste kmo’s zullen dus geen DPO moeten aanduiden.

Zelfs als je daar niet verplicht toe bent, mag je op vrijwillige basis een DPO aanstellen. Maar als die persoon de naam DPO of “functionaris voor gegevensbescherming” krijgt, zullen alle vereisten van de AVG moeten nageleefd worden. De artikelen 37 tot 39 zullen op dezelfde wijze toegepast worden als wanneer de aanwijzing verplicht was.

Daarom kiezen kmo’s er vaak voor iemand intern of extern als gdpr verantwoordelijke aan te stellen, maar die NIET de titel DPO te geven. Dit is perfect mogelijk en wordt zelfs aangeraden.

 

Als je toch een DPO aanstelt, wat zijn dan de verplichtingen?

Toezicht op de naleving van de gdpr

De gdpr belast de DPO met de taak om toe te zien op de naleving van de gdpr. De DPO zal de verwerkingsverantwoordelijke of de verwerker helpen om na te gaan of de gdpr intern wordt nageleefd. In het kader van dit toezicht op de naleving van de gdpr kan de DPO onder andere:

  • informatie verzamelen om de verwerkingsactiviteiten te identificeren;
  • de naleving van de verwerkingsactiviteiten analyseren en controleren;
  • aan de verwerkingsverantwoordelijke of de verwerker informatie en advies verstrekken en aanbevelingen doen.

Samenwerken met de GBA en optreden als contactpunt voor de uitoefening van de rechten van de betrokkenen

De DPO moet met de toezichthoudende autoriteit samenwerken “en optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden”. Deze taken houden verband met de rol van de functionaris als ‘facilitator’. De functionaris treedt op als contactpunt om voor de toezichthoudende autoriteit de toegang te vergemakkelijken tot de documenten en informatie die zij nodig heeft voor de uitvoering van haar taken en bevoegdheden, zoals haar onderzoeksbevoegdheden of haar bevoegdheden om met name corrigerende maatregelen te nemen.

De functionaris is ook het contactpunt voor personen die hun rechten wensen uit te oefenen bij de verwerkingsverantwoordelijke. Vaak wordt hiervoor een speciaal contactadres gecreëerd.

Een rol voor de functionaris bij het bijhouden van het register

Volgens de gdpr is het de verwerkingsverantwoordelijke of de verwerker, en niet de functionaris, die het register van de verwerkingsactiviteiten moet bijhouden. In de praktijk stellen functionarissen vaak inventarissen op en houden ze een register bij van de verwerkingen op basis van de informatie die hen wordt verstrekt door de verschillende afdelingen in hun organisatie die verantwoordelijk zijn voor de verwerking van persoonsgegevens. 

Een rol voor de functionaris bij de gegevensbeschermingseffectbeoordelingen

Volgens de gdpr is het de verantwoordelijkheid van de verwerkingsverantwoordelijke en niet van de functionaris om, indien nodig, een gegevensbeschermingseffectbeoordeling uit te voeren. De functionaris kan echter een belangrijke en zeer nuttige rol spelen bij het ondersteunen van verwerkingsverantwoordelijke. 

 

Let op! De DPO moet volledig onafhankelijk zijn. Is de DPO niet onafhankelijk, dan kan je boetes oplopen. De gdpr voorziet in verschillende waarborgen die de DPO helpen om onafhankelijk het werk te kunnen doen:

  • De functionaris ontvangt geen instructies hoe hij zijn taken moet uitvoeren;
  • De functionaris kan niet ontslagen of gestraft worden voor de uitvoering van zijn taken;
  • Er mag geen belangenvermenging zijn tussen de functionaris-taken en de eventuele andere taken of functies van de functionaris.

 

Als je een DPO aanstelt, ben je er ook voor verantwoordelijk om die DPO voldoende middelen te geven.

Hoe complexer en/of gevoeliger de verwerking is, des te meer middelen aan de functionaris aangeboden moeten worden. In dit verband moet met name worden voorzien in het volgende :

  • Actieve ondersteuning van de functie van de functionaris door het hogere management (bijvoorbeeld op directieniveau);
  • Voldoende tijd voor de functionaris om zijn taken uit te voeren;
  • Voldoende ondersteuning in termen van financiële middelen, infrastructuur (locatie, faciliteiten, apparatuur) en, indien nodig, personeel;
  • Officiële communicatie over de aanwijzing van de functionaris aan alle medewerkers;
  • De vereiste toegang tot de andere afdelingen binnen de organisatie zodat de functionaris van deze andere afdelingen de ondersteuning, input en informatie kan krijgen die essentieel is voor de volledige uitoefening van zijn taken.