Wat u moet weten.

Indien uw onderneming als hoofdactiviteit én op grote schaal ofwel gevoelige en/of gerechtelijke gegevens verwerkt, ofwel regelmatig en stelselmatig betrokkenen observeert (bijvoorbeeld online via cookies), dan moet u een Functionaris voor Gegevensbescherming (in het Engels: een Data Protection Officer of DPO) aanstellen. Zolang hij over de nodige expertise beschikt van de wetgeving en de praktijk, kan uw DPO zowel een intern personeelslid als een externe adviseur zijn. Daarnaast moet uw DPO zijn taken in volledige onafhankelijkheid uitoefenen. Dit houdt o.m. in dat hij geen instructies mag ontvangen met betrekking tot de uitvoering van die taken, dat hij hiervoor beschermd is tegen enige bestraffing en tegen ontslag en dat hij is gehouden tot geheimhouding.

Het aanstellen van een interne DPO brengt heel wat voordelen met zich mee: de DPO is bekend met de onderneming en kent ook haar (commerciële) belangen. Het waarborgen van de onafhankelijkheid en vermijden van belangenconflicten tussen de functie van DPO en eventuele andere functies, is in dat geval dan weer niet steeds vanzelfsprekend. Volgens de Werkgroep 29 (WP29) mag uw DPO inderdaad geen functie vervullen waardoor hij het doel en de middelen van de verwerking van persoonsgegevens bepaalt.

Het cumuleren van de functie van DPO met de functie als hoofd van een departement waarop de DPO toezicht moet uitoefenen, bijv. het audit, risk en compliance departement, is daarom niet mogelijk. Een directeursfunctie houdt onmiskenbaar in dat men het doel en de middelen van de verwerking van persoonsgegevens binnen het desbetreffende departement bepaalt.

Wat u moet doen.

De meeste ondernemingen zijn niet verplicht om een DPO aan te stellen. Of u een DPO onder de arm neemt omdat dit wettelijk verplicht is, dan wel omdat u deze beslissing vrijwillig neemt, u moet weten dat het aanstellen van een DPO verregaande verplichtingen met zich meebrengt.

Zo dient u uw keuze voor het (al dan niet) aanstellen van een DPO te documenteren. Het bijhouden van uw beslissingsproces volgt onder andere uit de verantwoordingsplicht die de GDPR oplegt. Indien deze beslissing voorziet in het aanstellen van een DPO, moet dit document ook de deskundigheid van de DPO aantonen (GBA). Wanneer een persoon als “meest geschikt” uit een selectieprocedure komt, betekent dit niet automatisch dat deze eveneens “voldoende” geschikt is (GBA). Daarnaast is het aan te raden om in dit document eveneens (i) de taken en (ii) het gebrek aan een belangenconflict op te nemen en om deze analyse regelmatig te herevalueren en het document te actualiseren.

Daarnaast dient u aan uw DPO alle middelen ter beschikking te stellen, zodat deze zijn taken in volledige onafhankelijkheid kan uitvoeren. Het gaat bijvoorbeeld om de actieve ondersteuning van de DPO door senior management, de toegang tot bepaalde diensten, voortdurende training, voldoende tijd om zijn taken uit te voeren en voldoende financiële middelen, infrastructuur en personeel. Hoe complexer of gevoeliger de verwerkingen zijn, des te meer middelen aan de DPO moeten worden toegewezen (GBA). Ook een formele communicatie binnen uw onderneming omtrent de aanwijzing van uw DPO, om ervoor te zorgen dat het bestaan en de functie van de DPO gekend zijn, valt onder deze verplichting.

Opdat uw DPO zijn taken kan uitvoeren, moet u hem tijdig en naar behoren betrekken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Het (louter) achteraf informeren van de DPO over een beslissing is onvoldoende. U bent met andere woorden verplicht om uw DPO zo vroeg mogelijk betrekken, zodat hij adviserend kan optreden (WP29 en GBA).

Ook moet u uw DPO in staat stellen om verslag uit te brengen aan het hoogste leidinggevende orgaan van uw onderneming. Dit mag niet worden beperkt tot een jaarverslag, aangezien deze verplichting ook geldt voor het ad hoc informeren en adviseren over verplichtingen voor specifieke voorgenomen verwerkingen (GBA).

Tenslotte dient u ook de contactgegevens van uw DPO bekend te maken bij zowel de bevoegde gegevensbeschermingsautoriteit als bij de betrokkenen. De DPO is het eerste contactpunt voor zowel de autoriteit als de betrokkenen. Als zij zich tot uw onderneming richten, wordt verwacht dat de DPO antwoordt.

Deze verplichtingen waarborgen dat uw DPO zijn taken (i.e. informeren en adviseren over verplichtingen inzake gegevensbescherming, toezien op de naleving van de GDPR, desgevallend adviezen verstrekken m.b.t. een gegevensbeschermingseffectbeoordeling, samenwerken met de autoriteiten en optreden als contactpunt) op een correcte manier kan uitvoeren.

Het is duidelijk dat de (vrijwillige) aanstelling van een DPO geen lichtzinnige beslissing mag zijn. Heeft u bij de inwerkingtreding van de GDPR een bekwame DPO aangesteld, maar staat hij ook aan het hoofd van een departement? Of werd hij niet betrokken bij de analyse van een mogelijk datalek? Of brengt hij geen verslag uit aan de raad van bestuur? Dan begaat uw onderneming een inbreuk op de GDPR en loopt zij het risico op een sanctie van de autoriteit. Tijd om de aanstelling van uw DPO te herbekijken?