Data Protection Officer

Definitieve richtlijn voor de Data Protection Officer


Data Protection Officer

In mijn laatste blog schreef ik dat op 5 april jl. de Artikel 29 werkgroep (WP29) een aantal vernieuwde (en definitieve) richtlijnen heeft gepubliceerd inzake de Algemene Verordening Gegevensbescherming (AVG). 

De Artikel 29-groep heeft hierbij onder meer een definitieve richtlijn voor de Data Protection Officer (DPO) ofwel de Functionaris Gegevensbescherming (FG) gepubliceerd. De WP29 heeft tevens voorzien in een frequently asked questions (FAQ). In deze FAQ worden tal van voorbeelden genoemd aangaande de DPO. In deze blog bespreek ik een aantal van de nieuwe punten.

Eerst nog even naar de Data Protecion Officer ofwel de Functionaris Gegevensbescherming

In de AVG worden strenge regels opgelegd in verband met de verwerking van persoonsgegevens. Persoonsgegevens moeten verwerkt worden met de grootste zorg voor privacy en veiligheid. Bepaalde organisaties worden binnen de AVG verplicht gesteld om iemand aan te nemen die daarbij een oogje in het zeil houdt: de Data Protection Officer (DPO), ook wel genoemd de Functionaris Gegevensbescherming (FG). De DPO dient erop toe te zien dat de organisatie de persoonsgegevens bewaart en verwerkt volgens de regels van de AVG. Hij kan onderzoeken hoe de data wordt verwerkt, met welke systemen dat gebeurt en kan op basis daarvan adviseren. De DPO zelf draagt hij geen verantwoordelijkheid. Indien de AVG niet wordt nageleefd is niet hij, maar de organisatie voor wie hij werkt, aansprakelijk. 

Hieronder bespreek ik enkele van de nieuwe punten die de WP29 noemt in de definitieve richtlijn.

De overweging om een DPO aan te stellen

In het kader van de “Accountability” in de zin van de AVG, dienen organisaties hun keuze om wel of geen DPO aan te stellen te kunnen motiveren. Wanneer een organisatie bepaalt of er een DPO nodig is, dan dienen zij deze beoordeling te administreren.

In de definitieve richtlijn wordt bepaald dat deze beoordeling op elk gewenst moment door de bevoegde toezichthoudende autoriteit (Autoriteit Persoonsgegevens, AP) kan worden opgevraagd en dat deze beoordeling moet worden herzien, telkens wanneer er nieuwe activiteiten en diensten worden overwogen. Gezien de toenemende juridische gevolgen die deze analyse zal opleveren, worden organisaties geadviseerd om zorgvuldig om te gaan bij de beoordeling voor het inzetten van een DPO.

De DPO wordt aangesteld voor alle verwerkingsactiviteiten

Wanneer een organisatie een DPO aanwijst, hetzij op verplichte of vrijwillige basis, dan wordt deze verantwoordelijk voor alle verwerkingsactiviteiten die door de organisatie worden uitgevoerd. Het is niet mogelijk om de DPO op slechts een deel van de verwerkingsactiviteiten van de organisatie in te zetten en hem van de rest van de verwerkingen weg te houden.

Er kan slechts één DPO worden aangesteld, deze mag worden ondersteund door een team

De definitieve richtlijn bevestigd dat er slechts één DPO binnen een organisatie kan worden aangewezen. De DPO kan echter hulp en ondersteuning ontvangen van een team. Organisaties dienen rekening te houden met conflicterende belangen binnen het team. 

De DPO bevindt zich bij voorkeur in de EU

De DPO dient bij voorkeur in de Europese Unie gevestigd te zijn om zo goed bereikbaar te zijn voor personen. Toch is het volgens de richtlijnen niet uitgesloten om een DPO buiten de Europese Unie aan te stellen, als de DPO zijn taken daardoor efficiënter kan uitoefenen.

Big data als voorbeeld van regelmatige en systematische monitoring

De definitieve richtlijn voegt “big-data analyse voor commerciële doeleinden” toe aan de lijst van verwerkingen waarbij organisaties verplicht worden om een DPO aan te stellen.

Waarborgen inzake de communicatie tussen de DPO en de werknemers

In de definitieve richtlijn wordt genoemd dat er behoefte bestaat aan veilige communicatiemiddelen tussen werknemers en de DPO om zo de vertrouwelijkheid van hun uitwisselingen te waarborgen. Dit kan bijvoorbeeld worden gewaarborgd door de fysieke aanwezigheid van de DPO binnen de organisatie of door het faciliteren van een “hotline” die niet wordt gemonitord door de organisatie voor wie de DPO de werkzaamheden verricht.

Conflicterende belangen voorkomen

De AVG beperkt de DPO niet in het uitoefenen van andere functies maar geeft aan dat organisaties ervoor dienen te zorgen dat eventuele andere taken geen belangenconflict voor de DPO mogen veroorzaken. De definitieve richtlijn noemt een aantal situaties die een belangenconflict kunnen veroorzaken:

Interne DPO: Personen binnen een organisatie met leidinggevende functies, zoals bijvoorbeeld de CEO, COO, CFO of de HR-, Marketing- of IT-manager komen niet in aanmerking voor DPO-posities. Hetzelfde geldt voor medewerkers op lagere posities wanneer hun taak leidt tot de bepaling van doeleinden en middelen van gegevensverwerking.

Externe DPO: Een organisatie kan ervoor kiezen om een externe DPO aan te stellen, bijvoorbeeld een jurist. Net als bij de interne DPO dienen ook met de externe DPO conflicterende belangen te worden voorkomen. Zo is het bijvoorbeeld niet toegestaan dat een DPO de organisatie vertegenwoordigd voor de rechtbank in zaken die gegevensbescherming aangaan.

Verdere informatie over de richtlijn en de wijzigingen ten opzichte van de eerdere versies is hier terug te vinden. Binnenkort volgt er een Nederlandse vertaling van de definitieve richtlijn.