Tot enkele jaren gelden (onder de Wet bescherming persoonsgegevens) was een Functionaris Gegevensbescherming niet verplicht. Dit is veranderd met de inwerkingtreding van de Algemene Verordening Gegevensbescherming. In een aantal specifieke gevallen dient een bedrijf (de Verantwoordelijke of Verwerker) een Functionaris Gegevensbescherming (FG) aan te stellen.
Een FG/DPO inhuren of detacheren? Contact ons. |
DPO = FG
In het Engels wordt deze functie aangeduid met de term: Data Protection Officer (DPO). Er bestaat discussie over de vertaling van “DPO” naar Functionaris Gegevensbescherming. Een DPO zou namelijk iemand zijn die een breder takenpakket heeft dan de FG. Ook wordt de functie van FG vaak verward met een privacy officer of privacyjurist. Deze laatste twee zijn geen zogenaamde toezichthouders en staan (wettelijk) niet onafhankelijk in de organisatie.
Hieronder vindt u een overzicht met de eisen en taken van de FG. Wilt u weten of een FG verplicht is voor uw organisatie, dan vindt u hier meer informatie.
Eisen aan de Functionaris Gegevensbescherming
Er worden in de nieuwe wetgeving (AVG) geen eisen gesteld aan de Functionaris Gegevensbescherming, behalve dat hij/zij een expert niveau heeft. Wel geeft het adviesorgaan van de Europese Unie, de EDPB (vroeger: Artikel 29-Werkgroep), een aantal handvatten voor de invulling van de FG. De richtlijn met betrekking tot de functionaris voor de gegevensbescherming is hier terug te lezen.
Taken van de Functionaris Gegevensbescherming
De AVG schrijft voor dat een verwerkingsverantwoordelijke passende technische en organisatorische maatregelen neemt. Voor veel organisaties zijn de “passende technische en organisatorische maatregelen” moeilijk te plaatsen, want ‘wat moeten we nu concreet doen?’. Een FG zou in zo’n geval van advies kunnen voorzien. De FG kan ook helpen bij het vaststellen van mogelijke risico’s aan de hand van aard, omvang en ernst van de verwerking. In lijn daarvan kent een ervaren FG de beste praktijken (best practices) om risico’s te beperken of zelf weg te nemen.
Verder wordt de FG in de AVG genoemd bij de uitvoering van een DPIA (Data Protection Impact Assessment), in het Nederlands ook wel Privacy Impact Assessment (PIA) genoemd. Dit is een inventarisatie van de risico’s en maatregelen rondom een verwerking.
Een wettelijke opsomming van de taken van de FG (Artikel 39 AVG):
De functionaris voor gegevensbescherming vervult ten minste de volgende taken:
de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35;
met de toezichthoudende autoriteit samenwerken;
optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangele genheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.
Positie Functionaris Gegevensbescherming
De organisatie dient de FG volledig en op tijd te betrekken bij aangelegenheden waar persoonsgegevens mogelijk worden verwerkt. Ook dient de FG daarbij toegang te worden verschaft tot de verwerkingsactiviteiten en de door de FG benodigde middelen, zodat hij zijn taken goed kan uitvoeren en zijn kennis op peil kan houden (Artikel 38 AVG). Dit kunnen ook middelen zijn voor opleiding of inzet van een derde partij om te auditen.
De EDPB (vroeger: Artikel 29-werkgroep) benadrukt dat de FG regelmatig aanwezig dient te zijn bij vergaderingen van het hoger management en bij beslissingen die gevolgen hebben voor de gegevensbescherming. Ook raadt zij aan om bij een meningsverschil te documenteren; dus waarom het advies van de FG niet wordt gevolgd.
Ontslag of sancties
De functionaris voor de gegevensbescherming heeft ontslagbescherming krachtens art. 38 lid 3 AVG. Daarin staat dat een FG niet ontslagen of gesanctioneerd kan worden voor de uitvoering voor haar taken.
Bijvoorbeeld: de bedrijfsleiding ontvangt een advies van de FG omtrent een voorgenomen verwerking van persoonsgegevens waarin zij afraadt om hiermee door te gaan. De bedrijfsleiding is niet blij met het advies. Zij kan de FG echter niet om die reden ontslaan.
De ontslagbescherming van de FG ziet echter op haar taken in de AVG. De FG kan buiten haar taken om nog steeds ontslagen worden om redenen als intimidatie, geweld, diefstal of ander wangedrag.
Privacy officer en de FG
Een privacy officer is niet hetzelfde als een functionaris voor de gegevensbescherming. De privacy officer is vaak een jurist die zaken rondom privacy in een organisatie regelt. De privacy officer zit vaak op de compliance afdeling van een organisatie. De FG is daarentegen een functie die in de wet (AVG) is beschreven en in een aantal gevallen verplicht. De FG is verder onafhankelijk en een soort interne toezichthouder met wettelijke taken, dit geldt niet voor de privacy officer. Integenstelling tot de privacy officer wordt een FG geregistreerd bij de Autoriteit Persoonsgegevens.
Hulp nodig van een functionaris gegevensbescherming?
Is uw organisatie verplicht om een functionaris gegevensbescherming in te stellen of heeft u vragen voor een FG? Wilt u een functionaris gegevensbescherming inhuren of detacheren? Neem dan contact met ons op.
Wij hebben ervaring in het onderwijs, de zorg en het bedrijfsleven. Ook als u enkel wil sparren, mag u contact opnemen.