Moet een onderneming een data protection officer (DPO) verplicht aanstellen? Krachtens artikel 37, lid 1, van de GDPR is de aanwijzing van een functionaris voor gegevensbescherming of data protection officer verplicht in drie specifieke gevallen verplicht:
a) wanneer de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht;
b) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
c) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
Voor ondernemingen zijn aldus enkel de laatste twee punten mogelijk van toepassing.
Wat is een data protection officer (DPO)? Wil je meer lezen over wat een DPO precies is en waarom een DPO aanstellen een goed idee is? Neem dan zeker eens een kijkje op de pagina's door op de links te klikken!
Wat zijn kerntaken?
Overweging 97 van de GDPR stelt dat kerntaken enkel betrekking hebben op de hoofdactiviteiten en niet op de verwerking van de persoonsgegevens als nevenactiviteit. Het zijn aldus de belangrijkste handelingen die nodig zijn om de doelstellingen van de onderneming te bereiken. Hierbij volstaat het dat de activiteit een onlosmakelijk deel uitmaakt van de hoofdactiviteit.
Zo is het verwerken van patiëntengegevens voor een ziekenhuis niet haar hoofdactiviteit, maar maakt dit wel een onlosmakelijk deel uit van de hoofdactiviteit, nl. het bieden van gezondheidszorg aan patiënten. Een bewakingsfirma die voor de bewaking van een winkelcentrum de beveiligingscamera’s observeert heeft als kerntaak het verwerken van persoonsgegevens overeenkomstig de GDPR.
Wat moet begrepen worden onder verwerken op grote schaal?
Overweging 91 van de GDPR stelt dat onder grootschalige verwerkingen moet begrepen worden verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die een hoog risico met zich kunnen brengen.
Anderzijds wordt in de overweging eveneens bepaald dat de verwerking van persoonsgegevens niet als een grootschalige verwerking moet worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat.
De overweging geeft aldus een kader aan van uitersten, die zeker wél of zeker géén DPO dienen aan te stellen en laat verder een grote grijze zone achter.
Working Party 29 schept in haar richtlijn van 13 december 2016 niet onmiddellijk duidelijkheid.
Zij raadt enkel aan om de volgende factoren in aanmerking te nemen bij het bepalen of de verwerking al dan niet op grote schaal wordt uitgevoerd:
Het aantal betrokkenen waarover het gaat – hetzij als een specifiek aantal of als een evenredig deel van de relevante populatie;
De hoeveelheid gegevens en/of het bereik van de verschillende verwerkte gegevensitems;
De duur of permanentie van de gegevensverwerking;
De geografische omvang van de verwerkingsactiviteit.
Wanneer is er sprake van regelmatige en stelselmatige observatie?
Onder observatie moet begrepen worden de controle van het gedrag van betrokkenen.
Indien deze observaties regelmatig gebeuren, te weten minstens periodiek of op vaste tijdstippen, en stelselmatig gebeuren, hetzij op een georganiseerde manier, volgens een bepaald systeem of in het kader van een bepaalde strategie, dan is er sprake van regelmatige en stelselmatige observatie.
Wat is verwerking van speciale categorieën van gegevens?
Onder bijzondere categorieën van persoonsgegevens wordt begrepen persoonsgegevens die betrekking hebben op ras of etnische afkomst, seksueel gedrag of seksuele voorkeur, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens of gegevens over gezondheid.
De verwerking van dergelijke gevoelige persoonsgegevens is in principe verboden. Er zijn echter uitzonderingen op deze regel. Zo is de verwerking van gevoelige gegevens wel toegestaan als een betrokkene er vrijwillig en schriftelijk in toestemt om zijn gegevens mee te delen, de gegevens noodzakelijk zijn om de juiste zorgen toe te dienen, de gegevens vereist zijn volgens de arbeidswetgeving of de gegevens nodig zijn voor wetenschappelijk onderzoek, indien de anonieme verwerking gebeurt.
Conclusie
Voor bepaalde ondernemingen en voor overheidsinstanties is er duidelijkheid gecreëerd omtrent het feit dat zij met zekerheid een data protection officer dienen aan te stellen. Echter, voor een groot deel van de ondernemingen is het heel wat minder duidelijk of de aanstelling van een verplichte DPO zich opdringt of niet.
Zowel de GDPR als WP29 laten een grijze interpretatie-zone over van waaruit ondernemingen dienen te bepalen of zij al dan niet onder de verplichting vallen. Dit is te betreuren. Dat de eventuele aanstelling van een functionaris gegevensbescherming niet in precieze cijfers kan vastgelegd worden is logisch. Echter een grijze ruimte openlaten tussen een individuele arts en een ziekenhuis is wel een erg ruim kader. Wat betreft advocatenkantoren wordt enkel aangegeven dat een individuele advocaat zeker geen DPO dient aan te stellen…
Tenzij duidelijk is dat uw onderneming niet verplicht is om een functionaris voor gegevensbescherming aan te wijzen, is het aan te raden om uw keuze om geen DPO aan te stellen alleszins schriftelijk te motiveren en te documenteren, teneinde aan te kunnen tonen dat met de relevante factoren correct rekening is gehouden.
Echter, kiezen om een DPO aan te stellen indien uw onderneming met grote regelmaat persoonsgegevens verwerkt, veel persoonsgegevens in het bezit heeft of de persoonsgegevens een zeker belang inhouden voor de betrokkenen, zal in alle geval een nuttige en verstandige keuze zijn. Deze functionaris gegevensbescherming kan zowel een externe persoon als een werknemer van de onderneming zijn.
Wel moet opgemerkt worden dat wanneer u een interne DPO aanstelt u de GDPR-regels zult moeten volgen, ook al bent u niet verplicht een DPO aan te stellen. Zo kent de data protection officer een bijzondere bescherming tegen ontslag. Velen raden daarom af om vrijwillig een interne DPO aan te stellen en raden aan om dergelijke werknemer een andere naam te geven (vb. privacy manager). Het valt echter niet uit te sluiten dat er toch een voordeel bestaat bij het vrijwillig aanstellen van een DPO. Zo is het bijvoorbeeld mogelijk dat dit als een verzachtende factor wordt aanzien wanneer een toezichthoudende autoriteit moet beslissen over het al dan niet opleggen van een geldboete.
Een externe DPO zoals een expert van Mr.Franklin biedt ook als voordeel dat er geen kans is op belangenconflicten. Op deze pagina vind je een zaak waarin de GBA van oordeel was dat er wél een belangenconflict was.
Wil je na het lezen van dit artikel een data protection officer aanstellen? Informatie rond DPO as a service en onze diensten kun je op deze pagina terugvinden. Mr.Franklin staat je graag bij als DPO-expert.