Wanneer moet een Data Protection Officer aangesteld worden?

Wat is de rol van de Data Protection Officer?
september 6, 2016
Welke vereisten worden aan een Data Protection Officer gesteld?
september 6, 2016
Show all

Wanneer moet een Data Protection Officer aangesteld worden?

2.1 Toekomstige Europese wetgeving

Een DPO wordt aangewezen door de verantwoordelijke en/of de verwerker zelf en dit op grond van de van de Europese richtlijn afgeleide nationale wetgeving. De huidige richtlijn gegevensbescherming (art 18, lid 2, tweede streepje) voorziet dat de aanmeldingsplicht van de voor de verantwoordelijke voor de verwerking soepeler wordt wanneer hij een DPO aanwijst. Artikel 20, lid 1 van de richtlijn bepaalt dat een onderzoek, voorafgaand aan de aanmelding van de verwerking van persoonsgegevens, ook door de ‘functionaris voor de gegevensbescherming’ kan gebeuren.

Op basis van de toekomstige algemene verordening gegevensbescherming (GDPR), zal deze aanwijzing nodig zijn wanneer:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens (zoals persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Het staat de verwerker of de verantwoordelijke vrij een DPO aan te wijzen in de gevallen die niet specifiek worden opgenoemd in de verordening. Ook de nationale Belgische wetgeving kan de bovengenoemde gevallen uitbreiden.

2.1.1 Vlaams Besluit

Artikel 17 bis van de Belgische Privacywet bepaalt dat via een Koninklijk Besluit de specifieke bepalingen omtrent de aangestelde voor de gegevensbescherming worden bepaald. Dergelijk KB is echter nog niet opgesteld. De huidige rechtsgrond voor het aanstellen van een DPO is in Vlaanderen te vinden in het Besluit van de Vlaamse Regering van 15 mei 2009. Dit besluit formuleert de verplichting om een DPO aan te wijzen voor (1) iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, (2) iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en (3) iedere entiteit die overeenkomstig artikel 4, §3, van het decreet van 18 juli 2008 aangewezen is door de Vlaamse Regering en persoonsgegevens verwerkt.

2.2 Wat als de DPO een werknemer is?

In het geval dat de DPO een werknemer is van de verwerker of de verantwoordelijke, kan hij zijn functie als DPO opnemen in het kader van zijn arbeidscontract. Daarnaast bestaat ook de mogelijkheid een DPO aan te stellen via een externe dienstencontract. In de eerste lezing door het Parlement wordt hieraan een termijn gekoppeld van respectievelijk vier of twee jaar. De eerste lezing door de Europese Raad laat deze termijn achterwege.

Een groep van ondernemingen kan een primair verantwoordelijke functionaris voor gegevensbescherming benoemen, mits gegarandeerd is dat elke vestiging gemakkelijk toegang heeft tot de functionaris voor gegevensbescherming .

Wanneer de verantwoordelijke of de verwerker een overheidsinstantie of –orgaan is, kan de functionaris voor gegevensbescherming voor verschillende entiteiten van die instantie of dat orgaan worden aangewezen, met inachtneming van de organisatiestructuur van de overheidsinstantie of het overheidsorgaan.

2.2.1 Middelen

De verantwoordelijke of de verwerker moeten ervoor zorgen dat de DPO naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Ook moeten zij de middelen ter beschikking stellen die de DPO nodig heeft bij de vervulling van zijn taken en de DPO moet toegang tot persoonsgegevens en verwerkingsactiviteiten verkrijgen.

2.2.2 Onafhankelijkheid

De onafhankelijkheid van de DPO moet worden gewaarborgd. Hiertoe geniet hij een zekere ontslagbescherming. De DPO mag naast zijn taken als functionaris voor gegevensbescherming ook andere taken uitvoeren, zolang dit geen aanleiding geeft tot een belangenconflict. Ter garantie van de onafhankelijkheid van de DPO zullen de verantwoordelijke of de verwerker maatregelen treffen en de DPO geen instructies geven die verband houden met de uitoefening van zijn taken. Hij of zij wordt niet door de verantwoordelijke of de verwerker gestraft voor de uitoefening van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verantwoordelijke of de verwerker.