Wanneer is een DPO verplicht
Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming genoemd, van kracht. Deze Europese verordening legt een aantal verplichtingen op aan ondernemingen waardoor burgers in de Europese Unie beter beschermd worden bij de verwerking van hun persoonlijke gegevens.Â
In sommige gevallen verplicht de wet het aanstellen van een Data Protection Officer, kortweg een DPO. Mr. Franklin zet voor jou het wettelijk kader uiteen wat deze verplichtingen betreft.
Voor wie gelden de GDPR-verplichtingen?
De GDPR geldt voor alle ondernemingen en overheidsdiensten die persoonsgegevens verzamelen. Het toepassingsgebied van de GDPR is met andere woorden erg ruim. Dit betekent dat de meeste ondernemingen zich moeten houden aan de verplichtingen uit de verordening.Â
Ook het begrip persoonsgegevens krijgt een brede invulling. Persoonsgegevens beslaan alle gegevens of informatie waardoor een persoon geïdentificeerd kan worden. Denk bijvoorbeeld aan een naam, adres, telefoonnummer, e-mailadres, leeftijd, foto’s, bankrekeningnummer of vingerafdrukken. De persoon wiens persoonsgegevens verwerkt worden, wordt vaak de ‘betrokkene’ genoemd.
Wat is een Data Protection Officer?
Een Data Protection Officer is een onafhankelijke persoon die toeziet op de naleving van de GDPR binnen een onderneming. In het Nederlands spreekt men ook wel van de Functionaris voor Gegevensbescherming of de gegevensbeschermingsfunctionaris.
Artikel 39 van de GDPR zet de taken van de DPO nader uiteen. De DPO zal de verwerkingsverantwoordelijke of verwerker (lees: de onderneming die persoonsgegevens verwerkt) eerst en vooral informeren en adviseren over de verplichtingen die voortvloeien uit de GDPR.Â
Bij het toezien op de naleving van de GDPR zal de DPO met name verantwoordelijkheden toewijzen, instaan voor de bewustwording rond de GDRP-verplichtingen en opleidingen organiseren voor het personeel van de onderneming.Â
De DPO treedt vervolgens ook op als eerste contactpunt of aanspreekpunt van de bevoegde toezichthoudende autoriteit. In België is dit de gegevensbeschermingsautoriteit (GBA).Â
Wanneer is een DPO verplicht?
In sommige gevallen is het voor bedrijven verplicht om een DPO aan te stellen.Â
Artikel 37, lid 1 van de GDPR onderscheidt een aantal situaties waarbij de aanstelling van een DPO verplicht is.
De activiteit van de onderneming is hierbij van geen belang. In de eerste wetsontwerpen van de GDPR werd gesteld dat een DPO verplicht was bij ondernemingen met meer dan 250 werknemers.Â
Deze verplichting werd uiteindelijk niet opgenomen in de definitieve wettekst. Ook het aantal werknemers van de onderneming doet niet ter zake, wat een logische zaak is, aangezien ook bij kleine ondernemingen persoonsgegevens (op grote schaal) kunnen worden verwerkt.
Wanneer is een DPO dan wel verplicht? In onderstaande gevallen:
Verwerking door de overheid
Het aanstellen van een DPO is verplicht als de verwerking van persoonsgegevens gebeurt door een overheid (overheidsinstantie of overheidsorgaan). Hierbij wordt het begrip overheidsinstantie heel ruim ingevuld.Â
Met name moeten ook alle dienstverleners van de overheid verplicht een DPO aanstellen, alsook alle organisaties die samenwerken met de overheid en persoonsgegevens verwerken. Een uitzondering hier zijn de rechtbanken wanneer zij hun rechterlijke taken uitoefenen.
Regelmatige en stelselmatige observatie
Een andere situatie waarin het aanstellen van een DPO verplicht is, is wanneer een onderneming hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden ‘regelmatige en stelselmatige observatie op grote schaal’ van de betrokkenen vereisen.Â
‘Observatie’ houdt in dat er controles worden uitgevoerd op het gedrag van de betrokkene. Hierbij gaat het vooral over alle vormen van opsporing en profilering op het internet.
Een voorbeeld van een onderneming die onder deze regel valt is een bewakingsfirma. Ook beroepen die in aanraking komen met gerechtelijke of strafrechtelijk gegevens vallen hierronder.
Grootschalige verwerking van persoonsgegevens
Wanneer ondernemingen aan grootschalige verwerking van bepaalde categorieën van persoonsgegevens doen, moeten zij ook verplicht een DPO aanstellen. Grootschalige verwerking houdt in dat een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau worden verwerkt.
De gegevens waarover het hier gaat zijn in de eerste plaats bepaalde gevoelige gegevens die omwille van hun delicaat karakter extra worden beschermd door de GDPR. Het gaat om de gegevens uit artikel 9 van de GDPR.Â
Denk hierbij bijvoorbeeld aan de geloofsovertuiging van de betrokkene, etnische achtergrond, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, genetische gegevens, gezondheidsgegevens of gegevens die betrekking hebben de seksuele geaardheid van de betrokkene.
Vervolgens is het aanstellen van een DPO ook verplicht bij het grootschalig verwerken van persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten zoals bedoeld in artikel 10 van de GDPR.
Wat kan Mr. Franklin voor jou betekenen?
DPO as a service
Het kantoor van Mr. Franklin telt drie gecertificeerde DPO’s die kunnen optreden als externe, onafhankelijke DPO binnen jouw onderneming. Zij deden reeds ervaring op bij tal van bedrijven in uiteenlopende sectoren, zoals de gezondheidssector, de IT-sector en online advertentiebedrijven. Lees meer over onze DPO as a service op deze pagina.
Voordelen van een externe DPO
Door het aanstellen van een externe DPO ben je niet alleen zeker dat je de juiste kennis en expertise in huis haalt. De onafhankelijkheid van de DPO is ook verzekerd. De belangen van een interne DPO daarentegen zijn vaak inherent verstrengeld met die van de onderneming.Â
Daarboven heeft de interne DPO vaak geen opleiding genoten en ontbreekt die meestal de nodige ervaring. Bedrijven kiezen soms voor een interne DPO wegens financiële overwegingen, maar toch raden wij sterk aan te werken met een externe DPO. Je betaalt dan een vaste kost maar je kunt wel op beide oren slapen.
Contacteer ons
Voor meer informatie omtrent onze dienstverlening kan je ons steeds vrijblijvend contacteren.
Olivier Sustronck
+32 486 27 53 05