Gepubliceerd op: 25/02/2018

Moet ik een Data Protection Officer (DPO) aanstellen?

Vanaf 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking.  Éen van die nieuwigheden is de figuur van de Data Protection Officer (DPO) of de Functionaris voor Gegevensbescherming. Vanaf 25 mei zullen een aantal ondernemingen verplicht een dergelijke Data Protection Officer moeten hebben. Wat zijn de voorwaarden voor de aanstelling, de taken en de persoon van de Data Protection Officer?  U leest het in deze bijdrage. 

In welke gevallen moet uw onderneming of organisatie een Data Protection Officer aanwerven?

In drie specifieke gevallen bent u als verwerkingsverantwoordelijke of als verwerker verplicht een DPO aan te stellen.  Het eerste geval betreft de openbare sector: alle openbare overheden en openbare organisaties, behalve de gerechten in de uitoefening van hun rechterlijke taken, zijn verplicht een DPO aan te stellen.

In de privésector gaat het om de volgende twee specifieke situaties, waarin de geviseerde verwerking telkens aan twee gemeenschappelijke cumulatieve voorwaarden moet beantwoorden. Door deze twee vereisten vallen heel wat activiteiten niet onder de verplichting tot het aanstellen van een DPO.  

  • Hoofdzakelijk.

"Hoofdzakelijk" betekent dat de verwerking moet verbonden zijn met de kern van de activiteit van de verantwoordelijke of de verwerker, dus niet slechts bijkomstig.

Een ziekenhuis heeft bijvoorbeeld als hoofdactiviteit zorgverlening.  Hiervoor verwerkt zij diverse gezondheidsgegevens van de patiënten.  Omdat de verwerking bovendien grootschalig is en betrekking heeft op bijzondere categorieën van persoonsgegevens, zal een ziekenhuis verplicht een DPO moeten aanstellen.  

  • Grootschalig.

Wat men bedoelt met "grootschalig" is een open vraag.  De Working Party 29 heeft geprobeerd een invulling te geven van wat het begrip “grootschaligheid” juist betekent.    Bijzonder relevant zijn o.m. het aantal betrokkenen, het aantal verschillende gegevens dat men verzamelt, de duur van de verwerkingsactiviteit en de geografische spreiding ervan.

Voorbeelden zijn o.m. de verwerkingen van klantengegevens door een verzekeraar of een bank.

Zijn niet grootschalig.  De gegevensverwerking door een individuele arts, of de verwerkingen door een individuele advocaat.

Regelmatige en stelselmatige observatie.

U zal een DPO moeten aanstellen wanneer u als verwerkingsverantwoordelijke of als verwerker hoofdzakelijk belast bent met verwerkingen die, vanwege hun aard, hun omvang en/of hun doeleinden, regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen.

Een voorbeeld betreft de verwerkingsactiviteiten van een bewakingsfirma, telecommunicatiediensten, geotracking, het monitoren van de gezondheid, …

“Regelmatig” zijn verwerkingen die voortdurend zijn, of periodiek plaatsvinden. “Stelselmatig” betekent dat de verwerkingen volgens een vast systeem of vaste strategie, georganiseerd of methodische plaatsvinden.

Bijzondere gegevensverwerkingen.

Ook wanneer u hoofdzakelijk belast bent met grootschalige verwerking van bijzondere categorieën van gegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Wat men bedoelt met bijzondere categorieën van persoonsgegevens, kan u terugvinden in artikel 9.  Het gaat om de persoonsgegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijken, en de genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten zijn bijzonder gereglementeerd: zij mogen op grond van artikel 10 GDPR enkel worden verwerkt onder toezicht van de overheid zelf of eventueel door private ondernemingen op voorwaarde dat er hiervoor een wettelijke basis is die passende waarborgen voor de rechten en vrijheden van de betrokkene biedt.  Strafregisters kunnen dan weer enkel worden verwerkt onder toezicht van de overheid.

Wie kan de functie van Data Protection Officer (DPO) vervullen?

Aan de functie van DPO is geen enkel diploma of certificaat verbonden.  De DPO moet wel gekozen worden omwille van zijn professionele kwaliteiten en zijn deskundigheid op het vlak van de wetgeving en de praktijk van de privacy en data protection. 

De DPO dient dus een zekere juridische kennis te hebben, maar ook andere skills zijn onontbeerlijk, zoals commerciële inzichten en kennis van IT.

De DPO kan zowel intern zijn als extern, maar vereist is dat deze steeds onafhankelijk is en dat er geen belangenconflict is tussen de functie van DPO en de andere (interne) functie.

Wat is de rol van een Data Protection Officer?

De taken van de DPO zijn divers.  Vooreerst zal de DPO controleren of de onderneming de GDPR naleeft, evenals de nationale privacywetgeving.

Daarnaast zal de DPO de verantwoordelijke moeten bijstaan bij het uitvoeren van een Privacy Impact Assesssment (PIA). 

De DPO zal ook betrokken worden bij het bijhouden van het register van de verwerkingsactiviteiten, waarbij hij een adviserende rol zal spelen.  Hij of zij kan ook uitdrukkelijk de opdracht krijgen om dit register in te vullen en bij te houden.

Tenslotte is de DPO ertoe verplicht om samen te werken met de toezichthoudende autoriteiten, waarbij hij of zij dienst doet als contactpunt.

Noem uw privacyverantwoordelijke niet zomaar “DPO”!

Wanneer u niet verplicht bent een Data Protection Officer aan te duiden, maar u heeft in uw onderneming wel een verantwoordelijke aangeduid voor uw privacybeleid, noem deze dame of heer dan niet DPO!  U zal dan immers de strenge regels voor de aanstelling, de onafhankelijkheid en de taken van de DPO moeten naleven.

Pieter Pauwels

Anderen lazen ook

Mag ik mijn oude mailinglist nog gebruiken na de GDPR?

Kan ik mijn bestaande klanten nog mailen nadat de General Data Protection Reg...

Moet ik mijn datacenters verhuizen naar Europa?

Mogen ondernemingen hun datacenters in Amerika of andere derde landen nog beh...

De procedure van invordering van onbetwiste geldschulden (IOS-procedure) is facultatief.

In een arrest van 12 oktober 2017 bevestigt het Hof van Cassatie dat de proce...
Geïnteresseerd in onze juridische onderwerpen?

Schrijf je in voor onze nieuwsbrief en blijf op de hoogte van wat er leeft bij Pauwels Advocaten.

Loading...

Disclaimer

De informatie over juridische onderwerpen die u in deze bijdrage aantreft, zijn louter informatieve, algemene besprekingen en kunnen in geen geval als juridisch advies worden beschouwd. Pauwels Advocaten aanvaardt geen aansprakelijkheid voor enige schade die iemand zou lijden door voort te gaan op deze informatie. Als u juridisch advies wenst, dient u contact op te nemen met een gekwalificeerde advocaat die u zal adviseren op basis van uw persoonlijke situatie.