Moeten we een DPO benoemen?

Een DPO (Data Protection Officer) ofwel FG (Functionaris Gegevensbescherming), moeten we onder de GDPR (AVG) aan te stellen als:

• Er sprake is van een overheidsinstantie of -orgaan (uitgezonderd rechtbanken).
• De kernactiviteiten grootschalige, regelmatige en systematische monitoring van individuen vereisen (bijvoorbeeld het volgen van online gedrag).
• De kernactiviteiten bestaan ​​uit grootschalige verwerking van speciale categorieën data zoals strafrechtelijke veroordelingen en strafbare feiten.

Ongeacht of de GDPR ons verplicht om een ​​DPO te benoemen, moeten we er echter voor zorgen dat onze organisatie over voldoende personeel en middelen beschikt om de verplichtingen van de GDPR na te komen. De DPO helpt namelijk om binnen de wet te opereren door over compliance te adviseren en te controleren. Op deze manier kan hij bovendien een belangrijke rol spelen in de governancestructuur voor de gegevensbescherming van onze organisatie en om de verantwoordingsplicht te verbeteren.

Als we geen DPO hoeven aan te stellen is het een goed idee om deze beslissing vast te leggen om aan te tonen dat we het verantwoordingsbeginsel naleven.

Welke professionele kwaliteiten moet de DPO hebben?

De GDPR zegt dat we een functionaris moeten benoemen op basis van zijn professionele kwaliteiten, en met name ervaring en deskundige kennis van de wetgeving inzake gegevensbescherming. Diploma’s of certificaten worden niet gespecificeerd, maar er staat wel in dat het in verhouding moet staan ​​tot het type verwerking van de organisatie, rekening houdend met het beschermingsniveau dat de persoonlijke gegevens vereisen.

Wat zijn de taken van de DPO?

Artikel 39 definieert de taken van de DPO als volgt:

• Het informeren en adviseren van medewerkers over de verplichtingen om te voldoen aan de GDPR en andere wetten inzake gegevensbescherming.
• Toezicht houden op de naleving van de GDPR en andere gegevensbeschermingswetten, en met ons beleid inzake gegevensbescherming, inclusief het beheer van interne gegevensbeschermingsactiviteiten; bewustmaking van gegevensbeschermingskwesties, tevens opleiding van personeel en uitvoering van interne audits.
• Het geven van advies over en toezicht houden op gegevensbeschermings- effectbeoordelingen.
• Het samenwerken met de toezichthoudende autoriteit.
• Optreden als het eerste aanspreekpunt voor toezichthoudende autoriteiten en voor personen van wie we de gegevens verwerken (werknemers, klanten, enz.).

Alle activiteiten m.b.t. privacy

Het is belangrijk om te onthouden dat de taken betrekking hebben op alle activiteiten voor de verwerking van persoonsgegevens, niet alleen op die waarvoor zij op grond van artikel 37, lid 1, moeten worden benoemd.

• Bij het uitvoeren van DPO-taken moeten we rekening houden met het risico dat verbonden is aan de verwerking. We moeten dus rekening houden met de aard, omvang, context en doeleinden van de verwerking.
• Hij moet prioriteiten stellen en zich concentreren op de meer risicovolle activiteiten, bijvoorbeeld als we speciale categoriegegevens verwerken of wanneer de potentiële impact op personen schadelijk kan zijn. Daarom moeten DPO’s op risico gebaseerde adviezen verstrekken aan de organisatie.
• Als we het advies van onze Data Protection Officer niet op volgen, moeten we de redenen documenteren.

Mag de DPO ook andere taken uitvoeren?

De GDPR zegt dat we andere taken kunnen toewijzen, zolang deze maar niet leiden tot een belangenconflict met de primaire DPO-taken.

In feite betekent dit dat we hem geen positie binnen onze organisatie kunnen geven die hem of haar ertoe brengt de doelen en de middelen voor de verwerking van persoonsgegevens te bepalen. Tegelijkertijd mogen we niet verwachten dat hij concurrerende doelstellingen heeft die ertoe zouden kunnen leiden dat gegevensbescherming een ondergeschikte rol speelt bij zakelijke belangen.

Kan het een bestaande medewerker zijn?

Ja. Zolang de professionele taken van de medewerker verenigbaar zijn met de taken van de DPO en niet leiden tot een belangenconflict, kunnen we een bestaande medewerker benoemen.

Kunnen we de DPO-rol uitbesteden?

We kunnen de rol van DPO uitbesteden, op basis van een servicecontract met een persoon of een organisatie. Het is belangrijk dat we ons ervan bewust bent  dat een extern benoemde Data Protection Officer dezelfde positie en taken heeft als een intern aangewezen persoon.

Kunnen we een functionaris delen met andere organisaties?

• We mogen iemand aanwijzen die optreedt voor een groep bedrijven of overheidsinstanties.
• Als deze DPO meerdere organisaties bestrijkt, moeten deze nog steeds in staat zijn om zijn taken effectief uit te voeren. Dit betekent dat we moeten overwegen of een persoon op realistische wijze een grote of complexe verzameling organisaties kan dekken. 
• We moet ervoor zorgen dat ze over de nodige middelen beschikken om hun rol te vervullen en dat er eventueel ondersteuning is door een team.
• De DPO moet bereikbaar zijn voor onze medewerkers, de CIO en mensen van wie we de persoonsgegevens verwerken.

Kunnen we meer dan één DPO hebben?

• De GDPR bepaalt dat een organisatie één DPO moet benoemen om de in artikel 39 vereiste taken uit te voeren. Dit neemt niet weg dat zij andere gegevensbeschermingsspecialisten mag aanstellen als onderdeel van een privacy team.

Wat moeten we doen om de DPO te ondersteunen?

U moet ervoor zorgen dat:

• De DPO is nauw en tijdig betrokken bij alle kwesties inzake gegevensbescherming.
• Hij rapporteert aan het hoogste managementniveau, dat wil zeggen de raad van bestuur of de directie.
• Ontslag of bestraffing voor het uitvoeren van zijn taken is niet mogelijk. De DPO opereert onafhankelijk.
• Zorgt voor voldoende middelen (voldoende tijd, financiële middelen, infrastructuur en, in voorkomend geval, personeel) om de DPO in staat te stellen aan de GDPR-verplichtingen te voldoen en zijn kennisniveau te handhaven.
• Geef hem toegang tot persoonlijke gegevens en verwerkingsactiviteiten;

Een juiste invulling toont het belang van de DPO voor onze organisatie aan. Het betekent dat we voldoende ondersteuning moet bieden zodat hij zijn rol onafhankelijk kan uitvoeren. Onderdeel hiervan is de vereiste dat hij of zij rapporteert aan het hoogste managementniveau. Dit betekent niet dat de DPO op dit niveau lijngestuurd moet zijn, maar dat hij direct advies moet kunnen geven aan hogere managers die beslissen over de verwerking van persoonsgegevens.

Discussieer mee op LinkedIn.