Volgens de Algemene Verordening Gegevensbescherming (AVG) wordt de Functionaris Gegevensbescherming aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de hierboven genoemde taken te vervullen. De Functionaris Gegevensbescherming kan een personeelslid zijn van de betreffende organisatie, maar mag ook een persoon zijn, die de taken op grond van een dienstverleningsovereenkomst verricht. Dit laatste is voor een heleboel organisaties relevant, omdat het niet voor elke organisatie haalbaar is om een eigen Functionaris Gegevensbescherming aan te stellen.
Wat doet een Functionaris Gegevensbescherming?
De verordening stelt dat de Functionaris Gegevensbescherming ten minste de volgende taken heeft:
- de verwerkingsverantwoordelijke of de verwerker (in de Wet bescherming persoonsgegevens: bewerker) en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
- toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
- desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35 (Privacy Impact Assessment);
- met de toezichthoudende autoriteit samenwerken;
- optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.
Volgens de verordening moet de Functionaris Gegevensbescherming bij de uitvoering van zijn taken naar behoren rekening houden met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.
Wanneer is Functionaris Gegevensbescherming verplicht?
De verordening stelt dat het aanstellen van een Functionaris Gegevensbescherming in ieder geval verplicht is in situaties waarbij:
- de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
- een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
- de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 (bijvoorbeeld medische gegevens) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.
Daarnaast kan nog Unierechtelijk of lidstaatrechtelijk worden bepaald dat ook voor andere situaties het aanstellen van een Functionaris Gegevensbescherming verplicht is.
Ondersteuning Functionaris Gegevensbescherming
De specialisten van De IT-Jurist zijn naast Certified Information Privacy Professional / Europe (CIPP/E) tevens gecertificeerd op het gebied van privacymanagement: Certified Information Privacy Management. Beide certificaten worden uitgegeven door IAPP (International Association of Privacy Professionals), een wereldwijd specialistenorgaan op het gebied van privacy. Het CIPP/E-certificaat kent een juridische achtergrond, waar de specialisten o.a. worden geëxamineerd ten aanzien van actuele kennis van de Algemene Verordening Gegevensbescherming. Houders van het CIPM-certificaat zijn getoetst op het opstellen, beoordelen en implementeren van privacy management programma’s bij organisaties.
Beide certificaten gecombineerd kan specialisten helpen, die de ambitie hebben om Functionaris Gegevensbescherming te worden of reeds zijn. Ook kan de kennis die wordt opgedaan bij de bijbehorende opleidingen helpen bij het adviseren van FG’s bij implementatie van en compliance aan de Algemene Verordening Gegevensbescherming. Zoals hierboven blijkt, is het ook mogelijk om een externe FG aan te stellen, mits er wordt voldaan aan de genoemde voorwaarden. Wilt u meer weten over onze mogelijkheden, neemt u dan vrijblijvend contact met ons op.