Hebt u al gehoord van de "data protection officer" of "functionaris voor gegevensbescherming"?

Sommige grote bedrijven doen nu reeds een beroep op één of meerdere personen die zich bezig houden met de naleving van de regels inzake gegevensbescherming. Vanaf de inwerkingtreding van de GDPR op 25 mei 2018 zullen bepaalde werkgevers verplicht zijn om een zgn. “data protection officer” of “functionaris voor gegevensbescherming” (officiële Nederlandse benaming) aan te stellen.

 

1 Voor welke organisaties geldt deze verplichting?

De aanstelling van een functionaris is verplicht voor:

  • publieke overheden, met uitzondering van gerechtelijke instellingen in de uitoefening van hun rechterlijke taken;

  • organisaties uit de privésector die:

    • hetzij als kerntaak verwerkingen uitvoeren die grootschalige, regelmatige en systematische observatie van betrokkenen vereisen;

    • hetzij hoofdzakelijk zijn belast met grootschalige verwerkingen van gevoelige gegevens.

In de privésector geldt dus geen verplichting wanneer persoonsgegevens enkel worden verwerkt als nevenactiviteit. Hoe ver het toepassingsgebied precies reikt, is echter nog niet helemaal duidelijk. Of bijvoorbeeld ook financiële instellingen, sociale secretariaten en verzekeringsmaatschappijen hieronder vallen, zal de toekomst moeten uitwijzen.

De Werkgroep Artikel 29 gaat er in haar richtlijnen (cfr. punt 5) alleszins vanuit dat ondersteunende standaard IT- of payrollactiviteiten in principe géén kerntaken uitmaken, ook al zijn deze activiteiten voor de organisatie noodzakelijk of essentieel. In geval van twijfel is het aan te raden om de rechtvaardiging van de beslissing inzake het al dan niet aanstellen van een functionaris schriftelijk te bewaren.

Verder biedt de GDPR aan de lidstaten ook de mogelijkheid om de verplichting tot het aanstellen van een functionaris uit te breiden. Het valt af te wachten of de Belgische wetgever hiervan gebruik zal maken.

 

2 Wie kan worden aangesteld als functionaris?

De functionaris moet een deskundige zijn op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Het kan zowel gaan om een werknemer als een zelfstandige dienstverlener. Hoewel de GDPR dit niet uitdrukkelijk vermeldt, is het ons inziens niet uitgesloten dat een rechtspersoon als functionaris zou worden aangesteld.

Binnen een concern is het mogelijk om slechts één functionaris aan te wijzen, op voorwaarde dat deze vanuit elke vestiging eenvoudig te contacteren is.

 

3 Welke taken heeft de functionaris?

De functionaris heeft als taak:

  • de werkgever en de werknemers te informeren en adviseren over hun verplichtingen in het kader van de gegevensbeschermingswetgeving;

  • toe te zien op de naleving van de gegevensbeschermingswetgeving en van het beleid van de werkgever inzake de bescherming van persoonsgegevens;

  • advies te verstrekken wanneer de werkgever een zgn. voorafgaande “gegevensbeschermingseffectbeoordeling” moet uitvoeren voor bepaalde verwerkingen die beschouwd worden als gevoeliger en toe te zien op de uitvoering ervan;

  • samen te werken met de Privacycommissie en op te treden als contactpunt.

 

4 Wat is de positie van de functionaris binnen de organisatie?

De functionaris rapporteert aan het hoogste managementniveau. Hij moet zijn functie onafhankelijk kunnen uitoefenen en mag bijgevolg geen instructies ontvangen met betrekking tot de uitvoering van zijn taken. Hij kan weliswaar nog andere taken en verplichtingen vervullen, maar moet er dan wel voor zorgen dat er geen sprake is van een belangenconflict.

De functionaris is tevens gehouden tot geheimhouding of vertrouwelijkheid. Hij moet naar behoren en tijdig worden betrokken bij alle aangelegenheden inzake de bescherming van persoonsgegeven en moet alle nodige middelen ter beschikking krijgen voor het vervullen zijn taken. Hij kan door alle betrokkenen worden gecontacteerd met betrekking tot de verwerking van hun gegevens en met de uitoefening van hun rechten in het kader van de GDPR.

Belangrijk is tevens dat de functionaris door de werkgever niet kan worden ontslagen of gestraft om redenen die verband houden met de uitoefening van zijn functie.

 

5  Een nuttig instrument: de richtlijnen van de Werkgroep Artikel 29  

Op 13 december 2016 heeft de Werkgroep Artikel 29 voor de bescherming van persoonsgegevens richtlijnen aangenomen met betrekking tot de functionaris. Hierbij werd rekening gehouden met eerdere ervaringen van lidstaten (bv. Duitsland en Hongarije waar de wetgeving nu reeds voorziet in de verplichte aanstelling van een functionaris) en met de gedragsregels die tot dusver door hen worden toegepast.

De richtlijnen van de Werkgroep Artikel 29 bevatten een aantal verduidelijkingen en aanbevelingen om organisaties te helpen de nieuwe verplichtingen met betrekking tot de functionaris na te leven. Zij zijn weliswaar niet bindend.

De richtlijnen kunnen hier worden geraadpleegd.