Deel dit artikel

De ‘general Data Protection Regulation’: de rol van de DPO

In de GDPR, waarvan de regels op 25 mei 2018 van toepassing zullen worden, wordt voorzien dat er in bepaalde gevallen een ‘Data Protection Officer’, hierna DPO genoemd, zal dienen aangesteld te worden.

Deze DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, op grond van zijn deskundigheid  op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.
Bovendien moet de DPO over het vermogen beschikken om een aantal taken te vervullen, met name:

  • aan de verwerkingsverantwoordelijke(n), de verwerkers en hun aangestelden advies en informatie verstrekken m.b.t. de verplichtingen die op hen rusten op grond van de wettelijke bepalingen inzake gegevensbescherming;
  • toezien op de naleving van de wettelijke bepalingen inzake gegevensbescherming en het beleid van de verwerkingsverantwoordelijke of verwerker hieromtrent;
  • samenwerken met de toezichthoudende autoriteit (in België is dit de Privacycommissie);
  • optreden als contactpunt voor de toezichthoudende autoriteit;
  • indien daar om verzocht wordt, advies verstrekken m.b.t. de gegevensbeschermingseffect-beoordeling (d.i. een procedure tot beoordeling van het risico dat het verwerken van bepaalde gegevens met zich mee zal brengen) en toezien op de uitvoering daarvan.

In welke gevallen is de aanstelling van dergelijke DPO nu verplicht?

Eerst en vooral is dit het geval wanneer de verwerking wordt verricht door een overheidsinstantie.
Verder is dit ook verplicht voor verwerkingsverantwoordelijken of verwerkers die in hoofdzaak belast zijn met verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
Tenslotte dienen ook verwerkingsverantwoordelijken en verwerkers die in hoofdzaak belast zijn met de grootschalige verwerking van bijzondere categorieën gegevens (zoals etnische afkomst, biometrische gegevens, …) en van persoonsgegevens m.b.t. strafrechtelijke veroordelingen en strafbare feiten aan deze verplichting te voldoen.

Aangezien de omschrijving van de verwerkingsverantwoordelijken en verwerkers die verplicht zijn een DPO aan te stellen in de GDPR eerder vaag te noemen is, werden er heel wat criteria aangereikt die in overweging genomen dienen te worden om na te gaan of men al dan niet onder de verplichting valt, zoals o.a. het aantal datasubjecten waarvan gegevens worden verwerkt, de duur van de verwerkingsactiviteiten, e.d.
Het is dus aangewezen voor elke onderneming om voor haar specifiek geval en voor de specifieke context waarin zij verwerkingsactiviteiten uitvoert, na te gaan of zij een DPO dient aan te stellen.

De Privacycommissie heeft inmiddels aangegeven dat zij het aanstellen van een DPO als een ‘good practice’ beschouwt, zelfs indien dit niet verplicht is.
Hierbij dient te worden opgemerkt dat indien men er voor kiest om een DPO aan te stellen, men aan dezelfde regels zal moeten voldoen dan indien men verplicht geweest zou zijn om deze aan te stellen.

Verder is het zo dat een personeelslid van de onderneming kan aangesteld worden als DPO. In dergelijk geval is het niet nodig dat deze persoon de functie voltijds uitoefent. Een combinatie met de uitoefening van een andere functie is, onder bepaalde voorwaarden, nog steeds mogelijk.
De DPO moet betrokken worden in alle zaken die betrekking hebben op gegevensbescherming, hij moet de nodige middelen en ondersteuning krijgen voor de uitvoering van zijn taak, hij moet onafhankelijk kunnen werken, hij mag niet ontslagen of ‘bestraft’ worden voor het uitvoeren van zijn taken als DPO en hij mag geen belangenconflict hebben.
Deze laatste vereiste impliceert dat de DPO binnen de onderneming geen positie mag hebben waarin hij het doel en de middelen van het verwerken van de gegevens vaststelt, waardoor in principe personen met een functie binnen het senior management (CEO, COO, CFO, CIO, …) uitgesloten zullen zijn. Ook deze vereiste dient in concreto beoordeeld te worden, waardoor ook bepaalde andere functies uitgesloten zullen dienen te worden.

Een onderneming kan er echter ook voor opteren om een externe DPO aan te stellen. Dit kan zowel een natuurlijke als een rechtspersoon zijn. In dit laatste geval dient er wel duidelijk te worden aangegeven welke natuurlijke persoon de DPO services voor zijn rekening zal nemen en hoe men deze kan contacteren.

Conform de aanbevelingen van de Privacycommissie is het bijgevolg aangewezen om:

  • de keuze en de functie van de DPO documenteren;
  • de betrekkingen oplijsten die onverenigbaar zijn met de functie van DPO;
  • interne regels opstellen om belangenconflicten te voorkomen.

Publicatiedatum: 27 oktober 2017