GDPR verplicht bepaalde ondernemingen tot het aanstellen van een DPO (data protection officer)

De Algemene Verordening Gegevensbescherming of GDPR verplicht bepaalde verwerkingsverantwoordelijken en verwerkers tot het aanstellen van een data protection officer of DPO:

overheidsinstanties;

verwerkingsverantwoordelijken en verwerkers die de betrokkenen regelmatig, stelselmatig en op grote schaal observeren;

verwerkingsverantwoordelijken en verwerkers die op grote schaal bijzondere categorieën van gegevens verwerken (zie art.?9 GDPR); en

verwerkingsverantwoordelijken en verwerkers die persoonsgegevens rond strafrechtelijke veroordelingen en strafbare feiten verwerken (zie art.?10 GDPR).

Buiten deze verplichting om kan een onderneming ook vrijwillig een DPO aanstellen. De onderneming is dan wel gebonden door de artikelen?37 t.e.m. 39 van de GDPR.

De DPO zal zijn onderneming helpen om de regels van de GDPR na te leven en zal fungeren als contactpersoon voor de verschillende belanghebbenden (betrokkenen, toezichthoudende autoriteiten, enz.). De DPO wordt betrokken bij alle zaken betreffende de bescherming van persoonsgegevens in de onderneming. Meer concreet bestaat zijn taak uit het verzamelen van informatie om verwerkingsactiviteiten te identificeren, het analyseren en controleren van de naleving van de GDPR van deze verwerkingsactiviteiten en het adviseren en informeren van de verwerkingsverantwoordelijke of verwerker.

De DPO zal niet persoonlijk aansprakelijk zijn wanneer de GDPR geschonden wordt. De verantwoordelijkheid ligt daarvoor bij de verwerkingsverantwoordelijke of verwerker. De DPO is autonoom en mag geen instructies krijgen van de verwerkingsverantwoordelijke of verwerker, zelfs al is hij een werknemer. Een DPO zal dan ook een bijzondere ontslagbescherming genieten. Hij mag binnen de onderneming andere taken uitoefenen, maar die mogen niet leiden tot belangenconflicten.

Een DPO wordt aangesteld op basis van zijn professionele kwaliteiten, zijn deskundigheid en zijn vermogen om de taken voorgeschreven door de GDPR (art.?39) uit te voeren. De verwerkingsverantwoordelijke of verwerker zorgt ervoor dat de DPO de nodige middelen heeft om zijn taken vlot en deskundig uit te voeren.

Een onderneming kan een extern individu of een externe organisatie aanstellen als DPO via een dienstencontract. Een groep ondernemingen mag samen één DPO aanstellen als deze gemakkelijk toegankelijk is voor elke onderneming.

Dit bericht is een samenvatting/vertaling van een aanbeveling van de Article?29 Data Protection Working Party.
Meer weten.

Bron: Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 119 van 4 mei 2016.