In drie situaties verplicht DPO aanstellen
Volgende ondernemingen zijn onder GDPR verplicht om een functionaris voor gegevensbescherming ('data protection officer', hierna DPO) aan te stellen:
- Publieke overheden
- Verwerkingsverantwoordelijken of verwerkers die hoofdzakelijk belast zijn met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen of
- Verwerkingsverantwoordelijken of verwerkers die hoofdzakelijk belast zijn met grootschalige verwerking van bijzondere categorieën van gegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
Het aanstellen van een DPO heeft dus niet veel te maken met het al dan niet werkgever zijn, maar eerder met het soort verwerkingen dat de onderneming in zijn geheel uitoefent.
Indien het echter niet verplicht is om een DPO aan te wijzen, is het wel aangeraden om een contactpersoon voor gegevensbescherming te voorzien binnen de onderneming. Deze contactpersoon kan dan aangesproken worden bij het indienen van verzoeken om bepaalde rechten uit te oefenen, om kritisch advies te geven inzake gegevensbescherming, …
Meer uitgebreide toelichting vindt u tevens in de aanbeveling van de GBA over dit onderwerp: Aanbeveling nr. 04/2017 van 24 mei 2017.
Taken en positie van de DPO
De DPO moet als contactpunt optreden naar de Gegevensbeschermingsautoriteit (GBA) [1], toezien op de naleving van de principes van de GDPR en adviseren over de te nemen maatregelen in het kader van de GDPR. Zo zal hij dus over de nodige professionele kennis moeten beschikken rond gegevensbescherming
Bovendien moet de DPO zijn taken en verplichtingen onafhankelijk kunnen vervullen. Dit wordt in concreto beoordeeld. Zo komt de onafhankelijkheid van de DPO in het gedrang indien hij tot de directie van de onderneming zou behoren. Om die onafhankelijkheid te kunnen waarborgen, zal de DPO dan ook genieten van een ontslagbescherming, zodat hij niet ontslagen kan worden om redenen die verband houden met de uitoefening van zijn functie.
In dat verband kan verwezen worden naar een recente beslissing van de Belgische GBA [2] die een boete van 50.000 euro heeft opgelegd aan een onderneming, omdat er een belangenconflict bestond voor haar DPO. De DPO was namelijk ook de verantwoordelijke voor het departement “compliance, risk management en interne audit”. De wettekst van de GDPR zegt inderdaad dat een DPO enkel andere taken mag opnemen, naast zijn rol als DPO, wanneer hieruit geen belangenconflict voortkomt. Nieuw is nu dat de GBA de notie “belangenconflict” ruim interpreteert: zodra de DPO een verantwoordelijke positie opneemt in een ander departement van de organisatie, is er altijd sprake van een belangenconflict.
Is de DPO binnen uw organisatie een interne medewerker? Dan moet u vermijden dat diezelfde persoon tegelijk ook nog een verantwoordelijke functie opneemt in een ander domein, zoals bijvoorbeeld in het departement “compliance, risk management en interne audit”.
Tenslotte kan de DPO zowel een werknemer zijn als een zelfstandige dienstverlener, zolang hij maar aan de voorwaarden voldoet en rapporteert aan het hoogste managementniveau.
[1] Zijn contactgegevens moeten dan ook meegedeeld worden aan de GBA (meer info vindt u op de website van de Gegevensbeschermingsautoriteit).
[2] Beslissing van de Geschillenkamer van de GBA van 28 april 2020.