Tag: data protection officer

About data protection officer

Subscribe Feeds

Wanneer hebben wij een data protection officer nodig als bedrijf?

Geplaatst op in Privacy, 16 reacties

privacy-statement.jpgEen lezer vroeg me:

In 2018 komt de Privacyverordening eraan. Eén van de plichten daaruit is het aanstellen van een data protection officer ofwel een functionaris gegevensbescherming. Maar welke bedrijven moeten dit nu verplicht doen?

De functionaris voor de gegevensbescherming oftewel de data protection officer (DPO) is een onafhankelijk en deskundig persoon binnen de organisatie van de verwerker met als taak informeren en adviseren over de omgang met persoonsgegevens. De functionaris mag een werknemer zijn of een extern ingehuurde kracht. Het idee is dat je zo meer nadruk op toezicht en naleving van de Privacyverordening kunt leggen.

Aanstellen van een functionaris voor gegevensbescherming is verplicht in drie situaties, zo staat in artikel 37 van de Verordening:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; Overheidsinstanties dus (rechtbanken zijn kort gezegd vrijgesteld van toezicht wegens de rechterlijke onafhankelijkheid)
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van [bijzondere en strafrechtelijke persoonsgegevens]; dit zijn bijvoorbeeld persoonsgegevens over ras, seksuele voorkeur of politieke gezindheid.

Er zijn dus géén getalsmatige criteria, zoals in eerdere concepten van de Verordening nog wel stonden. Diverse artikelen verwijzen hier nog naar, bijvoorbeeld dat je pas een functionaris nodig hebt vanaf 500 medewerkers of als je van 250 mensen of meer persoonsgegevens verwerkt. Dat is dus allemaal niet meer uit de wet af te leiden.

Nadere Europese of nationale wetgeving kan voorschrijven dat in andere gevallen een functionaris verplicht is (lid 4). Het staat organisaties vrij daarnaast vrijwillig een functionaris te benoemen (lid 4). En dat kan nut hebben: een bedrijf met een goed opererende functionaris zal minder snel door de toezichthouder worden besprongen met audits en boetes. En als je bedenkt dat die 20 miljoen per overtreding kunnen zijn, dan loont het best de moeite daarover na te denken.

Arnoud