In welke gevallen is een Functionaris Gegevensbescherming verplicht?

Functionaris gegevensbescherming verplichtVanaf mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Vanaf dit moment kunnen organisaties verplicht zijn om functionaris gegevensbescherming (FG) aan te stellen. Een FG wordt ook wel Data Protection Officer (DPO) genoemd. Een FG is een persoon die toezicht houdt op de verwerking van persoonsgegevens binnen een organisatie. Een FG is in drie gevallen verplicht (artikel 37 AVG).

Optioneel onder de Wbp, verplicht onder de AVG

In de Wet bescherming persoonsgegevens (Wbp) is het benoemen van een FG nog optioneel. Dit staat in artikel 62 Wbp. Organisaties hebben nu nog de vrijheid om wel/niet een FG aan te stellen. Met de komst van de AVG (Europese privacyverordening) verandert dit. De AVG stelt in een drie gevallen de FG verplicht:

1. Wanneer de organisatie een overheidsinstantie of overheidsorgaan. Hierbij worden gerechten bij de uitoefening van rechterlijke taken uitgezonderd.
Voorbeelden van overheidsinstanties of -organen: gemeentes, rijksuniversiteiten, belastingdienst, UWV;

2. een organisatie die hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
Voorbeelden van zulke organisaties: bedrijven die profileren voor het maken van risico-inschattingen, cameratoezicht en ook het monitoren van iemands gezondheid via wearables;

3. een organisatie die hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens.
Voorbeelden van bijzondere persoonsgegevens: ras, politieke opvattingen, religieuze overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens (vingerafdruk of irisscan) en strafrechtelijke gegevens.

Gerucht: FG bij 250 medewerkers of meer

Interessant weetje AVGIn één van stukken voorafgaand aan de definitieve tekst van de Algemene Verordening Gegevensbescherming is gesproken over het verplichten van een FG bij organisaties waarbij 250 of meer personen werken. Dit is echter niet in de definitieve tekst van de AVG terecht gekomen en dus een fabeltje.

De grootte van het bedrijf is niet relevant voor het verplicht instellen van een functionaris gegevensbescherming.