Zoals in een eerdere blog aangegeven, wordt het aanstellen van een Functionaris Gegevensbescherming verplicht voor sommige organisaties, wanneer de Europese Privacyverordening in 2018 van toepassing wordt verklaard. Wat houdt dat nou precies in?
Wat doet een Functionaris Gegevensbescherming?
De Europese Privacyverordening (ook bekend als Algemene Verordening Gegevensbescherming / General Data Protection Regulation) stelt dat de Functionaris Gegevensbescherming ten minste de volgende taken heeft:
- de verwerkingsverantwoordelijke of de verwerker (in de Wet bescherming persoonsgegevens: bewerker) en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
- toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
- desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35 (Privacy Impact Assessment);
- met de toezichthoudende autoriteit samenwerken;
- optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.
- Volgens de verordening moet de Functionaris Gegevensbescherming bij de uitvoering van zijn taken naar behoren rekening houden met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.
Wanneer is Functionaris Gegevensbescherming verplicht?
De verordening stelt dat het aanstellen van een Functionaris Gegevensbescherming in ieder geval verplicht is in situaties waarbij:
- de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
- een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
- de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 (bijvoorbeeld medische gegevens) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.
- Daarnaast kan nog Unierechtelijk of lidstaatrechtelijk worden bepaald dat ook voor andere situaties het aanstellen van een Functionaris Gegevensbescherming verplicht is.
Wat is een Functionaris Gegevensbescherming?
Volgens de verordening wordt de Functionaris Gegevensbescherming aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de hierboven genoemde taken te vervullen. De Functionaris Gegevensbescherming kan een personeelslid zijn van de betreffende organisatie, maar mag ook een persoon zijn, die de taken op grond van een dienstverleningsovereenkomst verricht. Dit laatste is voor een heleboel organisaties relevant, omdat het niet voor elke organisatie haalbaar is om een eigen Functionaris Gegevensbescherming aan te stellen.
Wilt u meer weten over dit onderwerp of wilt u bovengenoemde taken uitbesteden, neem dan vrijblijvend contact met ons op.