DPO in de GDPR

Waar kan ik een erkend DPO vinden?

Wat is de rol van de erkende DPO in de GDPR?

Een erkend DPO zorgt voor al jouw persoonsgegevens.

  1. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;

b) een verwerkingsverantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;

c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerkingen van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

2. Een concern kan één functionaris voor gegevensbescherming of DPO benoemen, mits de erkende DPO vanuit elke vestiging makkelijk te contacteren is.

3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.

4. In andere gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De erkende DPO kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.

5. De DPO wordt aangewezen op grond van zijn professionele kwaliteiten en in het bijzonder op grond van zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.

6. De DPO kan een personeelslid zijn van de verwerkingsverantwoordelijke of de verwerker of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

7. De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de DPO bekend en deelt die mee aan de toezichthoudende autoriteit.

dpo in de gdpr

Heeft mijn bedrijf een data protection officer of DPO nodig?

Of je een DPO moet aannemen, hangt af van een paar factoren. Er zijn  drie soorten bedrijven die verplicht zijn om een DPO aan te nemen:

  • alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals overheidsorganisaties
  • bedrijven die de dataverwerking “regelmatige en stelselmatige observatie” nodig hebben, bijvoorbeeld vanwege hun “aard, omvang of doeleinden” van de verwerking;
  • bedrijven die persoonsgegevens verwerken uit een ‘bijzondere categorie”, zoals informatie over ras, politieke opvattingen, regligie, biometrische gegevens, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen.

Belangrijk om te weten is ook dat een DPO volgens een vorig voorstel van de GDPR enkel verplicht kon zijn voor bedrijven met meer dan 250 werknemers. Die voorwaarde ontbreekt echter in de uiteindelijke versie; de grootte van een bedrijf doet er dus nu niet meer toe.

Wat de wetgeving voor ogen heeft met de “aard, omvang of doeleinden”, wordt daarnaast niet concreet verduidelijkt. Wellicht wordt hiermee big data bedoeld, maar een exacte omschrijving blijft uit.

Positie van de DPO in de GDPR wetgeving?

1. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de DPO naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

2. De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 39 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.

3. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de DPO geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

4. Betrokkenen kunnen met de DPO contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.

5. D DPO is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden.

6. De functionaris voor gegevensbescherming of DPO kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

Waar vind ik een DPO?

De DPO hoeft niet perse een vaste werknemer te worden; je kan ook opteren voor een consultant. Bovendien kan ook een bestaande werknemer de rol van DPO op zich nemen, zolang zijn andere taken niet in conflict komen met zijn job als DPO. Beide opties kunnen de kosten drukken, en maken het vinden van een geschikte DPO heel wat eenvoudiger.

In de GDPR wordt daarnaast niet beschreven welke specificaties gelden voor een DPO. Er wordt geen gewag gemaakt van een specifiek diploma of certificaat; in de plaats daarvan moet hij beschikken over “deskundigheid op het gebied  van wetgeving en de praktijk inzake gegevensbescherming.” Met die ruime omschrijving ligt de weg open voor bestaande werkkrachten, zoals legal consultants of privacy officers, om de taak van DPO op te pikken.

Als uw organisatie op grote schaal data verwerkt, is het met andere woorden waarschijnlijk dat je op zoek moet naar een DPO.