Organisaties zijn in bepaalde gevallen verplicht een functionaris voor gegevensbescherming, ook wel Data Protection Officer of DPO genoemd, aan te stellen.
Dit is o.a. het geval wanneer de verwerkingen van persoonsgegevens:
gebeurt door een overheidsinstantie;
hoofdzakelijk een regelmatige en stelselmatige observatie op grote schaal inhoudt;
hoofdzakelijk een grootschalige verwerking van bijzondere categorieën (ras, religie, lidmaatschap van een vakbond, medische gegevens, …) van gegevens inhoudt;
gebruik maakt van nieuwe technologieën en een hoog risico inhoudt;
…
Hoewel zij daar wettelijk niet toe verplicht zijn kunnen organisaties ook op vrijwillige basis een DPO aanstellen.
Privacy wordt in haar praktische uitvoering heel vaak benaderd vanuit 2 invalhoeken, te weten de technische invalshoek en de juridische invalshoek.
Dit is heel goed te merken aan de achtergrond van vele DPO’s, die ofwel een achtergrond hebben in informatica, aangevuld met bijkomende certificaten zoals CISO ofwel een juridische achtergrond hebben, al dan niet met een specialisatie in IT-recht.
Nochtans is privacy en het beschermen van de persoonsgegevens meer dan enkel maar regels of informatica.
Uit de praktijk blijkt dat het blokkeringspunt, niet altijd het gebrek aan regels is of dat de genomen beveiligingsmaatregelen en de geïmplementeerde informatica-architectuur ontoereikend is, maar wel de mensen zelf.
In een vorige blog werd reeds gewezen op het fenomeen dat interne DPO’s soms het risico lopen om onder interne druk, voor de betrokkenen, minder gunstige adviezen en aanbevelingen te geven.
In deze blog post zal dieper ingegaan worden op de situatie van interne DPO’s bij kleinere organisaties zoals KMO’s.
Zoals reeds besproken in vorige blog posts, moet een verwerkingsverantwoordelijke of een verwerker een DPO aanstellen in bepaalde gevallen. Deze gevallen staan in de GDPR opgesomd.
Bovendien bepaalt de GDPR tevens de positie van de DPO.
Zo moet de DPO onafhankelijk zijn, tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens, ondersteund worden bij zijn of haar taken als DPO, mag de DPO geen instructies ontvangen bij de uitoefening van zijn of haar taken als DPO, enz.
De onafhankelijkheid van de DPO
Zoals reeds gezegd mag de DPO geen instructies ontvangen van de verwerkingsverantwoordelijke bij de uitoefening van zijn of haar taken als DPO.
Verdedigt hij of zij de belangen van de organisatie die hem of haar heeft aangesteld of de belangen van de datasubjecten wiens persoonsgegevens de organisatie die hem of haar heeft aangesteld verwerkt?
DPO as bewaker van de belangen van de datasubjecten
Uit verschillende bepalingen van de GDPR kan men afleiden dat de DPO de belangen moet verdedigen van de datasubjecten wiens (gevoelige) persoonsgegevens de verwerkingsverantwoordelijke of de verwerker verwerkt.
Een van de bepalingen van de GDPR is dat een verwerkingsverantwoordelijke of een verwerker een DPO (Data Protection Officer / Functionaris voor Gegevensbescherming) moeten aanstellen wanneer:
de verwerking verrricht wordt door een overheidsinstantie of -orgaan;
er sprake is van regelmatige en stelselmatige observatie op grote schaal van personen; of
er sprake is van een grootschalige verwerking van bijzondere categorieën van gegevens.
Hierbij kan de verwerkingsverantwoordelijk of de verwerker kiezen tussen een personeelslid als DPO of een DPO in het kader van een dienstverleningsovereenkomst.
“De DPO als onafhankelijke bewaker van uw privacy”
Wat is een DPO?
De DPO, functionaris voor gegevensbescherming, is de persoon die de verwerkingsverantwoordelijke of de verwerker zal bijstaan en zal waken dat zij de bepalingen van de Europese verordening inzake het beschermen van de private gegevens van de personen die de verwerkingverantwoordelijke of verwerker verwerkt naleven.
Zo zal hij of zij bijvoorbeeld bij iedere aangelegenheid waarbij persoonsgegevens worden verwerkt worden geconsulteerd en brengt hierover advies uit.
Hij of zij zorgt er tevens voor dat de verwerkingsverantwoordelijke of de verwerker worden geïnformeerd inzake hun verplichtingen met betrekking tot de regels inzake het beschermen van de private gegevens van de betrokkenen.
De DPO zal ook met de toezichthoudende autoriteiten samenwerken, en optreden als contactpunt voor deze laatste inzake verwerkingen van persoonsgegevens.
Deze beperkte opsomming is weliswaar niet limitatief, maar geeft reeds een idee over de taken die de DPO op zich neemt.
Wie moet een DPO aanstellen?
Hoewel aanbevolen moet niet iedere organisatie een DPO aanstellen.
De verordening voorziet in ieder geval dat een organisatie een DPO moet aanstellen in de volgende gevallen:
wanneer het gaat om verwerkingen door overheidsinstanties of overheidsorganen, tenzij het gaat om gerechten bij de uitoefening van hun rechterlijke taken;
wanneer het gaat om verwerkingen waarvan het doel het op grote schaal een regelmatige en stelselmatige observatie vereist;
wanneer het gaat om grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens, zoals bijvoorbeeld medische gegeven.
Onafhankelijkheid van de DPO
Hoewel de DPO een personeelslid van de verwerkingsverantwoordelijke of verwerker kan zijn en andere taken en verplichtingen kan vervullen, moeten zij er wel voor zorgen dat de DPO onafhankelijk is en geen belangenconflict kan hebben.
Een belangenconflict kan bijvoorbeeld ontstaan indien de DPO tevens lid is van het management, en dus het doel en de middelen van de verwerking kan bepalen. Zijn bijvoorbeeld onverenigbare functies met die van DPO binnen een organisatie: