GDPR – heeft u al een Data Protection Officer aangesteld?

GDPR – heeft u al een Data Protection Officer aangesteld?

De Algemene Verordening inzake Gegevensbescherming (GDPR) treedt in werking op 25 mei 2018. In afwachting daarvan informeren wij u graag over de verschillende aspecten van deze verordening. Zo kon u eerder al een nieuwsbrief lezen die zich toespitste op de algemene krijtlijnen van de GDPR en een nieuwsbrief m.b.t. de verplichting tot het houden van een register van verwerkingsactiviteiten.

Deze nieuwsbrief is gewijd aan de “functionaris voor gegevensbescherming”, beter gekend onder de Engelse benaming “data protection officer” (DPO). De DPO zal een belangrijke rol spelen bij de implementatie van de GDPR.

Wanneer moet een DPO worden aangesteld?

De GDPR verplicht de aanstelling van een DPO in drie gevallen, met name voor:

  • overheidsinstanties of overheidsorganen;
  • bedrijven die hoofdzakelijk belast zijn met de verwerking van gegevens waarbij een regelmatige en stelselmatige observatie van de betrokkenen op grote schaal nodig is; of
  • bedrijven die hoofdzakelijk belast zijn met de grootschalige verwerking van gevoelige gegevens, zoals seksuele geaardheid of strafrechtelijke veroordelingen.
  • De grootte van de onderneming of de organisatie speelt geen rol.

Momenteel is nog niet volledig duidelijk wat de exacte draagwijdte is van de omschrijving “regelmatige en stelselmatige observatie op grote schaal”. Uit een advies van de Groep Gegevensbescherming Artikel 29 (een Europees adviesorgaan) blijkt alvast dat deze omschrijving breed moet worden ingevuld. De Privacycommissie heeft zich in een aanbeveling aangesloten bij dit advies. Indien u twijfelt, kunt u dus maar beter het zekere voor het onzekere nemen en een DPO aanstellen.

Wat zijn de taken van een DPO?

Binnen de onderneming waarin hij actief is, neemt de DPO een drievoudige rol op zich:

  • hij adviseert zijn opdrachtgever (zijnde de verwerkingsverantwoordelijke of de verwerker) en diens werknemers over de plichten die zij dienen te vervullen;
  • hij controleert de naleving van de GDPR door zijn opdrachtgever en diens personeel;
  • hij treedt op als contactpersoon voor de toezichthoudende autoriteit.

Bij de uitvoering van deze taken wordt de DPO ondersteund door zijn opdrachtgever, die hem steeds tijdig moet betrekken bij aangelegenheden die verband houden met de bescherming van persoonsgegevens. Hij moet ook kunnen beschikken over de nodige middelen voor de uitvoering van zijn functie.

DPO’s moeten in hun opdracht de nodige onafhankelijkheid behouden, zodat opdrachtgevers hen geen instructies mogen geven met betrekking tot de uitvoering van hun taak (ook niet wanneer de DPO een werknemer is). De bevoegdheden van de DPO zijn evenwel adviserend, zodat de uiteindelijke beslissingsbevoegdheid en de verantwoordelijkheid bij de onderneming blijft. In het geval van een externe DPO, kan de aansprakelijkheid eventueel contractueel worden vastgelegd. Een DPO-werknemer zal beschermd zijn door de beperking van aansprakelijkheid bepaald in artikel 18 van de arbeidsovereenkomstenwet.

De DPO mag volgens de GDPR niet worden ontslagen of bestraft voor de uitoefening van zijn taken als DPO, maar het is onduidelijk welke sanctie hieraan vasthangt. Het is mogelijk dat in de toekomstige Belgische wetgeving een bepaalde ontslagbescherming wordt voorzien. Zolang dat niet het geval is, kan beroep gedaan worden op de bestaande principes inzake kennelijk onredelijk ontslag (cao nr. 109).

Wie komt in aanmerking voor de functie van DPO?

Ondernemingen kunnen er voor kiezen een werknemer als DPO aan te duiden, maar de aanstelling van een zelfstandige DPO op basis van een dienstverleningsovereenkomst is eveneens mogelijk. Naast zijn functie als DPO, mag deze persoon ook andere taken vervullen, zolang die niet kunnen leiden tot een belangenconflict.

Het is niet zo duidelijk wat precies begrepen moeten worden onder een belangenconflict. Ook deze regel wordt door de Werkgroep 29 ruim geïnterpreteerd in die zin dat een DPO in elk geval geen lid zou mogen zijn van het senior management van een onderneming (zoals bv. een CEO, COO, CFO, HR manager of Head of IT). Er zal geval per geval moeten worden nagegaan of de DPO niet in een positie verkeert die hem ertoe aanzet om de doelen en middelen van de gegevensverwerking te bepalen. Bij een externe DPO speelt het belangenconflict minder, maar dan nog mag de DPO geen persoon zijn (vb. een advocaat) die voor de onderneming optreedt in geschillen rond gegevensverwerking.

Ten slotte moet een DPO beschikken over voldoende theoretisch inzicht en praktijkkennis aangaande de GDPR en dient hij een correcte inschatting te maken van de risico’s van de verwerking. Hoewel er voor deze functie geen specifieke diploma’s vereist zijn, staat een verwerker sterker in zijn schoenen met een DPO die een relevante opleiding heeft gevolgd. Volgens de Werkgroep 29 is het aan de toezichthoudende overheden om geschikte opleidingen voor DPO’s te voorzien.

Meer over de GDPR in volgende nieuwsbrieven.

Voor meer info over dit specifieke onderwerp, kan u de auteurs raadplegen, zijnde Dave Mertens, Sara Cockx en Sébastien van Damme.