Wanneer is een Functionaris voor de Gegevensbescherming nou écht verplicht?

June 22, 2017

De Algemene Verordening Gegevensbescherming, of privacyverordening, beschrijft een aantal rollen in het proces van gegevensverwerking, waaronder de rol van Functionaris voor de Gegevensbescherming (FG). De FG wordt ook wel Data Protection Officer of DPO genoemd. Een FG is een interne of externe toezichthouder op de naleving van de privacyverordening binnen een organisatie. Vorig jaar verscheen een blogpost met tips over hoe je als organisatie de rol van FG vormgeeft. In deze post wordt ingegaan op de vraag: wanneer stelt de privacyverordening een FG verplicht?

Van keuze naar verplichting

In de Wet bescherming persoonsgegevens (Wbp) is het benoemen van een FG opgenomen als een kan-bepaling. Een kan-bepaling wil zeggen dat er keuzevrijheid is over de toepassing van een bepaling. De privacyverordening ontneemt organisaties deels de mogelijkheid een eigen keuze te maken en stelt het aanstellen van een FG in een drietal gevallen verplicht.

De verplichting geldt voor specifieke organisaties óf wanneer een bepaald type verwerking van persoonsgegevens wordt verricht:

1. Overheidsorganisaties- en organen met uitzondering van gerechten bij uitoefening van hun rechterlijke taken;

2. Organisaties die hoofdzakelijk zijn belast met verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;

De werkgroep van Europese privacytoezichthouders (WP29) geeft kleur aan de bestanddelen ‘observatie’ en ‘regelmatig’ in hun Guidelines on Data Protection Officers (april 2017). Een observatie wordt als ‘regelmatig’ gekwalificeerd als er geobserveerd wordt op één of meer van de onderstaande manieren:

  • “Voortdurend of gedurende een bepaalde periode, met bepaalde tussenpozen;
  • Terugkerend of op vaste tijden herhaald;
  • Constant of periodiek.”

‘Stelselmatig’ observeren vindt plaats op basis van een systeem en is vooraf geregeld, georganiseerd of systematisch. Bij bepaling of er sprake is van ‘grootschalige verwerking’ moeten vier factorenworden meegenomen:

  1. "Het aantal betrokkenen (cijfers of een percentage)
  2. De hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die wordt verwerkt.
  3. De duur of permanentie van de gegevensverwerking.
  4. De geografische reikwijdte van de verwerking.”

In de toekomst wordt wellicht een standaard ontwikkeld voor een meer precieze bepaling van wat een grootschalige verwerking is.

3. Wanneer één van de kernactiviteiten van een organisatie het grootschalig verwerken van (bijzondere) persoonsgegevens is of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Onder de kernactiviteiten van een organisatie vallen volgens de WP29 processen die essentieel zijn om de doelen van de organisatie te bereiken of die tot de hoofdtaken van de organisatie horen. Opvallend is dat de privacyverordening geen cijfermatige criteria verbindt aan het aanstellen van een FG. De bedrijfsgrootte of het aantal medewerkers van een instelling staat los van de eventuele verplichting een FG aan te wijzen. Het verplicht moeten aanstellen van een FG bij organisaties met 250 medewerkers of meer, is echter een hardnekkig gerucht. Nadere Europese of nationale wetgeving kan voorschrijven dat het aantal verplichte aanstellingen wordt uitgebreid. Volgens de Autoriteit Persoonsgegevens (AP), is nog onduidelijk of daar in Nederland gebruik van gemaakt gaat worden.

Nut van vrijwillig een FG benoemen

Als een organisatie niet vanuit de privacyverordening verplicht wordt een FG aan te stellen, mag een organisatie dit alsnog vrijwillig doen. De WP29 moedigt vrijwillige benoeming aan. Let op, vrijwillig wil niet zeggen vrijblijvend. Een FG die niet vanuit een verplichting is aangesteld, dient zich aan dezelfde regels en kaders te houden als een FG die dat wel is.

Een FG in huis hebben, kan verschillende voordelen met zich meebrengen voor een organisatie, zoals bijvoorbeeld:

  • De FG kan fungeren als onafhankelijke toezichthouder op naleving van de privacyverordening en als direct aanspreekpunt voor de toezichthouder;
  • De FG kan een aanspreekpunt zijn voor de betrokkenen bij uitoefening van hun rechten tegenover de verwerkingsverantwoordelijke;
  • De FG kan fungeren als tussenpersoon bij verschillende belanghebbenden;
  • De FG kan een ondersteunde rol hebben bij het uitvoeren van (Data) Privacy Impact Assessment (D)PIA en adviseren met betrekking tot de risico’s van een gegevensverwerking;
  • Bij een audit of het aantonen van een niveau van accountability kan een FG een organisatie taken uit handen nemen.
Download