GDPR en het nut van een Data Protection Officer
De Data Protection Officer of functionaris gegevensbescherming is in het leven geroepen door de Algemene Verordening Gegevensbescherming, beter gekend als GDPR. Maar wat is een Data Protection Officer? Waarin kan deze een meerwaarde bieden voor u als onderneming ?
Wat is een Data Protection Officer?
Een Data Protection Officer, afgekort DPO en vertaald functionaris gegevensbescherming, is een persoon die over de nodige expertise inzake gegevensbescherming beschikt. Enerzijds betreft dit de Algemene Verordening Gegevensbescherming, anderzijds alle regelgeving die verband houdt met privacy en gegevensbescherming.
Deze kan een persoon binnen uw onderneming zijn of een externe persoon. Indien u een interne persoon aanstelt als DPO mag er geen belangenconflict ontstaan. Zo zal de zaakvoerder niet de rol van Data Protection Officer op zich mogen nemen.
Verplicht?
Het aanstellen van een Data Protection Officer is niet steeds een keuze. In sommige gevallen bent u als onderneming verplicht. Dit is het geval wanneer u:
- een overheidsinstantie of – orgaan bent.
- op grote schaal bijzondere categorieën persoonsgegevens of strafrechterlijke gegevens verwerkt en dit tot uw hoofdactiviteit behoort.
- op grote schaal regelmatig en stelselmatig observaties van betrokkene verricht en dit tot uw hoofdactiviteit behoort.
Om te weten of u tot één van de gevallen behoort waarbij het aanstellen van een Data Protection Officer verplicht is, is het van belang te weten wat “hoofdactiviteit” en “op grote schaal” betekent.
Wat is “de hoofdactiviteit”?
Indien het verwerken van persoonsgegevens tot de kerntaken van uw onderneming behoort, behoort deze ontegensprekelijk tot de hoofdactiviteit. Met andere woorden moet het verwerken van persoonsgegevens noodzakelijk zijn voor de doelstellingen van de onderneming.
Voorbeeld: een ziekenhuis heeft als hoofdactiviteit zorgverlening. Het verwerken van persoonsgegevens is noodzakelijk voor de doelstelling van het ziekenhuis, namelijk zorg verlenen aan patiënten.
Hoeveel is “op grote schaal”?
Het is niet mogelijk om een getal op het begrip “op grote schaal” te plaatsen. Dit zal steeds per situatie bekeken moeten worden. Bij de beoordeling of een verwerking op grote schaal plaatsvindt dient rekening te worden gehouden met de territoriale spreiding, het aantal verwerkte gegevens en betrokkene, de duur van de activiteit, …
Voorbeeld: De verwerking van persoonsgegevens door een bank wordt beschouw als “op grote schaal”. De verwerking van persoonsgegevens door een arts dan weer niet.
Geen verplichting, toch een aanrader
Indien u als onderneming niet verplicht bent om een Data Protection Officer aan te stellen, kan het toch worden aanbevolen. Een DPO kan een meerwaarde bieden in uw voorbereiding om GDPR compliant te worden, alsook de verdere opvolging.
Taken
Een Data Protection Officer heeft verscheidene taken. Allereerst zal de DPO u informeren en adviseren omtrent de verplichtingen als verwerkingsverantwoordelijke of verwerker.
In het kader van de opmaak van register van verwerkingsactiviteiten, het uitvoeren van een gegevensbeschermingseffectbeoordeling, implementeren van nieuwe procedures, … zal de DPO u bijstaan.
Daarnaast ziet de DPO ook toe op de naleving van de verplichtingen zoals opgelegd door de Verordening en andere regelgeving/bepalingen omtrent gegevensbescherming. Ook toekomstige ontwikkelingen inzake gegevensbescherming, zoals nieuwe wetgeving of rechtspraak worden opgevolgd. Dit zorgt ervoor dat u steeds op de hoogte bent van nieuwe ontwikkelingen op het vlak van gegevensbescherming, waardoor u tijdig kan ingrijpen.
Verder zal de DPO uw contactpunt zijn voor de toezichthoudende autoriteit. Hij zal met de toezichthoudende autoriteit samenwerken indien er een klacht of controle zou ontstaan.
Conclusie
Ook al bent u niet verplicht om een Data Protection Officer aan te stellen, kan dit toch nuttig zijn. Deze helpt u in verschillende opzichten om uw onderneming met gegevensbescherming te laten omgaan.
Indien u graag begeleid wordt bij de implementatie van de Verordening of een externe Data Protection Officer wenst aan stellen, kan u bij aternio terecht.
Volg aternio op LinkedIn voor meer finance, tax & legal nieuws.