Afl. 5, De Functionaris voor Gegevensbescherming

Verplichtingen door nieuwe privacy regelgeving De komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017, de link vindt u onderaan dit artikel. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR).

De Functionaris voor Gegevensbescherming

Aflevering 5, 15 september 2017

Een aantal organisaties zal volgens de AVG verplicht zijn een Functionaris voor Gegevensbescherming (FG) of in het Engels een
Data Protection Officer (DPO) te benoemen. Die verplichting bestaat – kort gezegd – voor:
- overheden;
- een verantwoordelijke of verwerker die regelmatig en stelselmatig betrokkenen observeert;
- een verantwoordelijke of verwerker die grootschalig bijzondere categorieën van gegevens als bedoeld in artikel 9 AVG verwerkt.

Observeren is een heel breed begrip. Bijvoorbeeld, het volgen van gebruikers van de website met tracking cookies om daarna gerichte advertenties te kunnen aanbieden is observatie. Observatie kan ook buiten het internet plaatsvinden, met camera’s of op andere manieren. Een kinderopvangorganisatie die de kinderen volgt in hun ontwikkeling en daarover rapporteert aan ouders, houdt zich bezig met observatie. Een FG/DPO is verplicht.

Artikel 9 noemt als bijzondere persoonsgegevens, gegevens over: ras/etniciteit (bijv. een pasfoto!), politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap vakbond, genetische gegevens, biometrische gegevens ter identificatie, gegevens over gezondheid of seksueel gedrag en seksuele geaardheid. Een DPO is verplicht.

De FG/DPO moet door een organisatie naar behoren én tijdig worden betrokken bij alles wat met de bescherming van persoonsgegevens te maken heeft, met name ook bij het ontwerpen/toepassen van nieuwe middelen en technieken.

Kwaliteiten Functionaris voor Gegevensbescherming
Een FG/DPO kan in dienst zijn maar kan ook een externe partij zijn. Wel moet hij onafhankelijk – geen instructiebevoegdheid! – en zonder belangenconflict zijn taken kunnen vervullen en hij mag hierom niet ontslagen of gestraft worden.

Hij (zij) wordt aangewezen op zijn professionele kwaliteiten. In het bijzonder zijn deskundigheid op het gebied van wetgeving, de praktijk inzake gegevensbescherming en zijn vermogen om zijn wettelijke taken van art. 39 AVG te vervullen. Die taken zijn o.m.

a. het informeren en adviseren van organisaties én hun werknemers die feitelijk verwerken, over hun verplichtingen op grond van de AVG;
b. toezien op naleving van de AVG en het beleid van de organisatie terzake de bescherming van persoonsgegevens, inclusief de toewijzing van     verantwoordelijkheden, bewustmaking en opleiding van het betrokken personeel;
c. advies verstrekken over het Data Protection Impact Assessment (PIA) (zie aflevering 3);
d. contactpersoon voor de Autoriteit Persoonsgegevens en hiermee samenwerken.

De FG/DPO rapporteert aan de hoogste leidinggevende.

Broeseliske Van Vlijmen Advocaten adviseert of een FG/DPO voor uw organisatie verplicht is of dat er misschien recht op vrijstelling bestaat.

Broeseliske Van Vlijmen Advocaten biedt met partners DPO-diensten aan.