De Algemene Verordening Gegevensbescherming (afgekort AVG oftewel General Data Protection Regulation, GDPR) voorziet in striktere regels omtrent de privacy. De Europese Commissie tracht via deze Verordening de veiligheid en bescherming van data te bewerkstelligen. De Europese Commissie voorziet via deze Verordening over een grotere controle van de natuurlijke persoon over zijn persoonlijke data. Hierbij wordt aandacht besteed aan de bescherming van persoonlijke informatie van inwoners van Europa maar eveneens de export van deze persoonlijke data binnen en buiten de Europese Unie. Men wil de versnippering van privacy wetgeving binnen de Europese Unie tegengaan en voorzien in één duidelijk wetgevend kader.Hoewel de verordening erg omvangrijk is, trachten we ons via dit artikel toe te spitsen op de functionaris voor gegevensbescherming zoals deze wordt voorgeschreven door de Verordening. De Verordening zal van kracht gaan op 25 mei 2018 waarbij het voor bepaalde organisaties verplicht wordt een functionaris voor gegevensbescherming (oftewel een Data Protection Officer, DPO) aan te duiden. |
Wat is een functionaris voor gegevensbescherming?
Een functionaris voor gegevensbescherming zal de centrale spilfiguur in uw onderneming worden bij de verwerking van persoonlijke en privacygevoelige informatie. Onder persoonlijke en privacygevoelige informatie valt ondermeer het gebruik van naam, voornaam, adres, telefoonnummer, emailadres, ras, politieke overtuiging, seksuele voorkeur, gerechtelijk verleden, strafrechtelijke persoonsgegevens etc van natuurlijke personen.
Wat doet een functionaris voor gegevensbescherming?
Een functionaris voor gegevensbescherming heeft verschillende taken binnen de onderneming.
Een functionaris voor gegevensbescherming zal de onderneming en de werknemers die belast zijn met de verwerking van persoonsgegevens informeren en adviseren over hun verplichtingen die voortvloeien uit de Verordening. Hij zal toezicht houden op de naleving van de toepasselijke wetgeving en het beleid dat gevoerd wordt door de verwerkingsverantwoordelijke. Verder zal hij moeten zorgen voor een gepaste opleiding en bewustmaking van het personeel dat belast is met de verwerking van persoonsgegevens.
Een functionaris voor gegevensbescherming is de centrale contactpersoon voor alle handelingen die verband houden met de verwerking van persoonsgegevens. Hij dient hierbij samen te werken met de toezichthoudende diensten, in België is dit de Privacycommissie die waakt over alle aangelegenheden die in aanraking komen met privacy. De verwerking van persoonsgegevens is verbonden aan risico’s waarbij de functionaris voor gegevensbescherming een zekere verantwoordelijkheid draagt.
Ben ik verplicht om een functionaris voor gegevensbescherming aan te stellen?
De aanstelling van een functionaris voor gegevensbescherming is afhankelijk van de activiteit die uw onderneming uitoefent. Het betreft hier uw hoofdactiviteit en niet louter een nevenactiviteit.
In eerste instantie was de aanstelling enkel verplicht voor ondernemingen die meer dan 250 werknemers tellen doch men heeft dit criterium laten vallen in de huidige Verordening. Daar de verwerking van persoonsgegevens geen verband houdt met het aantal werknemers dient dan ook iedere onderneming die zich bezighoudt met de verwerking van persoonsgegevens in principe over een functionaris voor gegevensbescherming te beschikken. Artikel 35 van de Verordening verplicht de aanstelling van een functionaris voor gegevensbescherming voor ondernemingen die onder volgende categorieën vallen:
1. Organisaties die op systematische wijze de monitoring van individuen uitvoeren.
2. Organisatie die bijzondere categorieën van persoonsgegevens verwerken.
3. Organisaties die eveneens overheidsdiensten zijn, met uitzondering van rechtbanken.
Indien u niet onder één van deze categorieën valt is het toch aan te raden een functionaris voor gegevensbescherming aan te stellen. Zoals reeds eerder aangehaald, is een functionaris voor gegevensbescherming het centrale aanspreekpunt voor de toezichthoudende instanties, zoals de Privacycommissie. De kennis en de inzichten van een functionaris voor gegevensbescherming bieden meer zekerheid aan uw onderneming en bij de begeleiding van het personeel inzake privacy en de verwerking ervan.
Wie kan ik aanstellen als functionaris voor gegevensbescherming?
Artikel 39 van de Verordening is hier vrij vaag over. In ieder geval dient een functionaris voor gegevensbescherming over voldoende expertise en inzicht te beschikken op het vlak van privacy en de verwerking van persoonsgegevens. Er zijn op heden reeds talloze workshops en opleidingen voorhanden die opleiding tot functionaris voor gegevensbescherming aanbieden.
Het is niet verplicht dat een functionaris voor gegevensbescherming zich louter en alleen bezighoudt met de activiteiten die verband houden met de verwerking an persoonsgegevens. Hij mag eveneens een andere functie in de onderneming bekleden. Er mag hier echter wel geen sprake zijn van belangenvermenging als men reeds een functie geniet in de afdeling van de verwerking van persoonsgegevens. De onafhankelijkheid van een functionaris voor gegevensbescherming dient gewaarborgd te blijven. Bovendien is een functionaris voor gegevensbescherming verbonden tot de geheimhoudingsplicht en dient hij de onderneming of de betrokkenen op de vingers te tikken indien de verwerking niet correct verloopt.
Indien uw onderneming uit meerdere vestigingen of dochterondernemingen bestaat, is het eveneens mogelijk om een functionaris aan te duiden voor gegevensbescherming die verantwoordelijk is voor alle vestigingen en dochterondernemingen. Er dient niet voor iedere vestiging of dochteronderneming afzonderlijk een functionaris voor gegevensbescherming te worden aangeduid.
Een functionaris voor gegevensbescherming kan eveneens een extern persoon zijn. In sommige gevallen is dit zelfs aan te raden omdat op deze wijze de onafhankelijkheid en expertise gewaarborgd wordt. De Verordening leidt onrechtstreeks dan ook tot een nieuwe categorie van jobs daar er genoeg bedrijven bestaan met weinig tot geen kennis van dataverwerking en dan ook meer dan gelukkig zouden zijn met een expert ter zake die zij kunnen inschakelen. Het aanstellen van een extern functionaris voor gegevensbescherming heeft als bijkomend voordeel dat u intern personeel niet steeds opnieuw moet opleiden indien er een functionaris voor gegevensbescherming opstapt.
Samengevat
Via de Algemene Verordening Gegevensbescherming laat de Europese Commissie zich duidelijk gelden op het vlak van databeveiliging. Belangrijk hierbij in het achterhoofd te houden is dat hier gaat om een Verordening en niet een Richtlijn wat betekent dat zij meteen van toepassing zal zijn in de Europese Unie vanaf 25 mei 2018 en dat zij niet eerst moet omgezet worden in nationale regels. Het is dan ook belangrijk voor ondernemingen om de boot niet te missen en nu reeds regelingen te treffen met betrekking tot de aanstelling van een functionaris voor gegevensbescherming.
Nuttige links
- Algemene Verordening voor gegevensbescherming (AVG)
- Algemene Verordening voor gegevensbescherming (AVG): bereid je voor in 13 stappen volgens de Privacycommissie
- Algemene Verordening Gegevensbescherming – Verwerkingsverantwoordelijke volgens de Privacycommissie
- Functionaris voor gegevensbescherming volgens de Privacycommissie