De functionaris voor gegevensbescherming of data protection officer (DPO)

Deze aanstelling wordt voorgeschreven door de verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna “Algemene Verordening Gegevensbescherming of GDPR).

1.  In welk geval dient een DPO aangesteld te worden ?

Dit is verplicht wanneer:

• de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van rechtbanken bij de uitoefening van hun rechterlijke taken;
• het bedrijf dat voor de verwerking verantwoordelijk is hoofdzakelijk bezig is met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observaties op grote schaal van betrokkenen vereisen; of
• de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, zoals gevoelige gegevens of gegevens met betrekking tot strafrechtelijke persoonsgegevens.

De eerste ontwerpteksten van de Algemene Verordening Gegevensbescherming (GDPR) vermeldden dat er een DPO diende aangesteld te worden in ondernemingen met minimaal 250 werknemers. In de definitieve verordening is deze voorwaarde niet langer opgenomen. Dit is een goede zaak aangezien het aantal werknemers in een onderneming losstaat van de verwerking van persoonsgegevens die in een onderneming kan plaatsvinden. 

De aanstelling van een DPO is dus enkel afhankelijk van de activiteiten van de onderneming.

Het is mogelijk voor een groep van ondernemingen om gezamenlijk één DPO te benoemen, op voorwaarde dat hij vanuit de verschillende vestigingen gemakkelijk te contacteren is. Hij mag zowel een personeelslid zijn als een extern dienstverlener (op basis van een dienstverleningsovereenkomst). Zijn contactgegevens moeten meegedeeld worden aan de bevoegde nationale privacy commissie (toezichthoudende overheid).

2.  De aanstelling van een DPO kan ook nuttig zijn

Anders dan in de verplichte gevallen hierboven vermeld, kunnenbedrijven er vrij voor kiezen om een DPO aan te stellen. 

Dit is zelfs aan te raden aangezien deze DPO een aanspreekpunt zal zijn voor de privacy commissie en voor alle betrokkenen voor wat de verwerking van persoonsgegevens betreft binnen het bedrijf. De DPO zal ook toezien en wordt betrokken bij alle aangelegenheden van het bedrijf inzake verwerking van persoonsgegevens.

Een DPO kan ook andere taken uitvoeren binnen het bedrijf en hoeft niet uitsluitend bezig te zijn met taken inzake verwerking persoonsgegevens.

3.  De positie van de DPO

Het bedrijf moet erover waken dat de DPO naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

Het bedrijf moet de DPO ondersteunen in de vervulling van zijn taken. Zij moet hem toegang verlenen tot de persoonsgegevens en verwerkingsactiviteiten. Bovendien moet het hem de nodige middelen ter beschikking stellen voor het vervullen van deze taken en hem de mogelijkheid bieden om opleidingen te volgen. De Algemene Verordening Gegevensbescherming (GDPR) spreekt van het in standhouden van zijn deskundigheid.

Betrokkenen moeten de mogelijkheid hebben om contact op te nemen met de DPO over alle aangelegenheden die verband houden met de verwerking en de uitoefening van hun rechten. 

Op de DPO rust er een geheimhoudingsplicht. Hij mag andere taken binnen de onderneming uitoefenen, maar deze mogen er niet toe leiden dat er een belangenconflict zou ontstaan.

Belangrijk is dat de DPO zeer hoog rapporteert en bij voorkeur aan de hoogste leidinggevende van het bedrijf, zodat de bewaking van de verplichtingen omtrent de verwerking van persoonsgegevens op het hoogste niveau bewaakt en opgevolgd wordt.

4.  Taken van de DPO

De Algemene Verordening Gegevensbescherming belast de DPO met verschillende taken.

Hij dient het bedrijf en de werknemers die persoonsgegevens verwerken te informeren en te adviseren over hun verplichtingen die voortvloeien uit de Algemene Verordening Persoonsgegevens (GDPR), en andere gegevensbeschermingsbepalingen. 

Daarnaast moet hij toezien op de naleving van de toepasselijke regelgeving en het beleid van de verwerkingsverantwoordelijke. Hierbij moet aandacht besteed worden aan de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het personeel dat bij de verwerking betrokken is, en desbetreffende audits.

Hij moet advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering ervan. 

Hij is bovendien de contactpersoon bij de toezichthoudende autoriteiten en moet ermee samenwerken.

In de uitvoering van zijn taken moet de DPO rekening houden met de risico’s die aan de verwerking verbonden zijn, en met de aard, de omvang, de context en de verwerkingsdoeleinden.

5.  Conclusie

Vanaf 25 mei 2018 zullen ondernemingen die onder de criteria vallen een DPO moeten hebben.  

Bedrijven die niet verplicht zijn een DPO te hebben, wordt het toch aangeraden een DPO aan te stellen, zodat zij beschikken over een aanspreekpunt binnen het bedrijf voor alle betrokkenen inzake aangelegenheden van verwerking van persoonsgegevens.  

De positie van DPO vereist dat hij over enige onafhankelijkheid beschikt ten aanzien van de onderneming waar hij is aangesteld. Hij moet er immers over waken dat de verwerking van de persoonsgegevens correct gebeurt, en de onderneming aanspreken indien hij vaststelt dat dit niet gebeurt. 

De DPO krijgt dus een belangrijke rol toegewezen en ondernemingen die een DPO moeten aanstellen wachten best niet tot de effectieve toepassing van deze verplichting.