privacywetgeving: moet u een data protection officer aanstellen?

Niemand kan het vandaag met zekerheid zeggen in de privésector. Ondanks de richtlijnen is de GDPR niet eenduidig. Bovendien mag elke lidstaat de verplichting uitbreiden. Vraag is of de Belgische wetgever dat zal doen. Hoe dan ook, bij twijfel houdt u best de schriftelijke motivatie van uw beslissing goed bij. De schaalgrootte van het bedrijf doet er niet toe. Het is wel een goede indicator.

 

welke criteria schrijft de Europese verordening voor?

Bestaan de kerntaken of basisactiviteiten van uw onderneming of organisatie uit het systematisch monitoren van personen? Of uit het op grote schaal verwerken van bijzondere categorieën van gegevens (zoals informatie over ras, politieke opvattingen, religie, biometrische gegevens, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen)? Of bent u een overheidsdienst (met uitzondering van gerechtelijke instellingen in uitoefening van hun rechterlijke taken)? Dan bent u verplicht een Data Protection Officer (DPO) of ‘functionaris voor gegevensbescherming’ aan te stellen. Een ziekenhuis of overheidsdienst bijvoorbeeld moet een DPO inzetten. Voor alle andere organisaties en bedrijven is het niet duidelijk waar de grens tussen ‘wel’ en ‘niet’ ligt.

Goed om weten: volgens een eerder voorstel van de GDPR-verordening was een DPO enkel verplicht voor bedrijven met meer dan 250 werknemers. Die voorwaarde haalde de finale versie niet. De schaalgrootte van het bedrijf doet er dus nu niet meer toe, maar is wel een goede indicator.

De drie taken van de DPO: informeren, controleren en aanspreekpunt zijn.


wat doet de Data Protection Officer?

Een DPO heeft drie kerntaken.

  1. Vooreerst informeert en adviseert hij het bedrijf en de medewerkers over de Europese en Belgische privacyregels. Hij of zij legt met andere woorden uit hoe het bedrijf ‘compliant’ wordt en wat de rechten en plichten zijn van iedereen inzake de bescherming van persoonsgegevens.
  2. Daarnaast heeft de DPO een controlerende functie. Hij ziet toe dat de wetgeving wordt nageleefd; of de data correct worden bewaard, of de medewerkers voldoende worden opgeleid, of de nodige audits worden georganiseerd, …
  3. Ten derde fungeert de DPO als aanspreekpunt voor de externe autoriteiten. Krijgt uw bedrijf bijvoorbeeld af te rekenen met een datalek, dan moet hij de Privacycommissie verwittigen en alle vereiste informatie geven.

wie kan Data Protection Officer zijn?

De verordening vermeldt geen specificaties voor een DPO. Er is geen sprake van een diploma of certificaat. Hij of zij moet beschikken over ‘deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming’.

Elke medewerker kan dus DPO worden. Op voorwaarde dat zijn professionele taken niet conflicteren met die van de DPO en ze niet leiden tot belangenconflicten. U mag de taak van DPO ook uitbesteden. 

 

Lees ook de zes andere artikels in onze reeks over de strengere Europese privacywet.

  1. het doel en toepassing van de strengere privacyregels

  2. de verantwoordingsplicht en aansprakelijkheid van de bedrijven