Vanaf 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Éen van die nieuwigheden is de figuur van de Data Protection Officer (DPO) of de Functionaris voor Gegevensbescherming. Vanaf 25 mei zullen een aantal ondernemingen verplicht een dergelijke Data Protection Officer moeten hebben. Wat zijn de voorwaarden voor de aanstelling, de taken en de persoon van de Data Protection Officer? U leest het in deze bijdrage.
In welke gevallen moet uw onderneming of organisatie een Data Protection Officer aanwerven?
In drie specifieke gevallen bent u als verwerkingsverantwoordelijke of als verwerker verplicht een DPO aan te stellen. Het eerste geval betreft de openbare sector: alle openbare overheden en openbare organisaties, behalve de gerechten in de uitoefening van hun rechterlijke taken, zijn verplicht een DPO aan te stellen.
In de privésector gaat het om de volgende twee specifieke situaties, waarin de geviseerde verwerking telkens aan twee gemeenschappelijke cumulatieve voorwaarden moet beantwoorden. Door deze twee vereisten vallen heel wat activiteiten niet onder de verplichting tot het aanstellen van een DPO.
"Hoofdzakelijk" betekent dat de verwerking moet verbonden zijn met de kern van de activiteit van de verantwoordelijke of de verwerker, dus niet slechts bijkomstig.
Een ziekenhuis heeft bijvoorbeeld als hoofdactiviteit zorgverlening. Hiervoor verwerkt zij diverse gezondheidsgegevens van de patiënten. Omdat de verwerking bovendien grootschalig is en betrekking heeft op bijzondere categorieën van persoonsgegevens, zal een ziekenhuis verplicht een DPO moeten aanstellen.
Wat men bedoelt met "grootschalig" is een open vraag. De Working Party 29 heeft geprobeerd een invulling te geven van wat het begrip “grootschaligheid” juist betekent. Bijzonder relevant zijn o.m. het aantal betrokkenen, het aantal verschillende gegevens dat men verzamelt, de duur van de verwerkingsactiviteit en de geografische spreiding ervan.
Voorbeelden zijn o.m. de verwerkingen van klantengegevens door een verzekeraar of een bank.
Zijn niet grootschalig. De gegevensverwerking door een individuele arts, of de verwerkingen door een individuele advocaat.
Regelmatige en stelselmatige observatie.
U zal een DPO moeten aanstellen wanneer u als verwerkingsverantwoordelijke of als verwerker hoofdzakelijk belast bent met verwerkingen die, vanwege hun aard, hun omvang en/of hun doeleinden, regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen.
Een voorbeeld betreft de verwerkingsactiviteiten van een bewakingsfirma, telecommunicatiediensten, geotracking, het monitoren van de gezondheid, …
“Regelmatig” zijn verwerkingen die voortdurend zijn, of periodiek plaatsvinden. “Stelselmatig” betekent dat de verwerkingen volgens een vast systeem of vaste strategie, georganiseerd of methodische plaatsvinden.
Bijzondere gegevensverwerkingen.
Ook wanneer u hoofdzakelijk belast bent met grootschalige verwerking van bijzondere categorieën van gegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
Wat men bedoelt met bijzondere categorieën van persoonsgegevens, kan u terugvinden in artikel 9. Het gaat om de persoonsgegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijken, en de genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten zijn bijzonder gereglementeerd: zij mogen op grond van artikel 10 GDPR enkel worden verwerkt onder toezicht van de overheid zelf of eventueel door private ondernemingen op voorwaarde dat er hiervoor een wettelijke basis is die passende waarborgen voor de rechten en vrijheden van de betrokkene biedt. Strafregisters kunnen dan weer enkel worden verwerkt onder toezicht van de overheid.
Wie kan de functie van Data Protection Officer (DPO) vervullen?
Aan de functie van DPO is geen enkel diploma of certificaat verbonden. De DPO moet wel gekozen worden omwille van zijn professionele kwaliteiten en zijn deskundigheid op het vlak van de wetgeving en de praktijk van de privacy en data protection.
De DPO dient dus een zekere juridische kennis te hebben, maar ook andere skills zijn onontbeerlijk, zoals commerciële inzichten en kennis van IT.
De DPO kan zowel intern zijn als extern, maar vereist is dat deze steeds onafhankelijk is en dat er geen belangenconflict is tussen de functie van DPO en de andere (interne) functie.
Wat is de rol van een Data Protection Officer?
De taken van de DPO zijn divers. Vooreerst zal de DPO controleren of de onderneming de GDPR naleeft, evenals de nationale privacywetgeving.
Daarnaast zal de DPO de verantwoordelijke moeten bijstaan bij het uitvoeren van een Privacy Impact Assesssment (PIA).
De DPO zal ook betrokken worden bij het bijhouden van het register van de verwerkingsactiviteiten, waarbij hij een adviserende rol zal spelen. Hij of zij kan ook uitdrukkelijk de opdracht krijgen om dit register in te vullen en bij te houden.
Tenslotte is de DPO ertoe verplicht om samen te werken met de toezichthoudende autoriteiten, waarbij hij of zij dienst doet als contactpunt.