In 2023 is de controle op de functie en aanstelling van een DPO is prioriteit voor de GBA (Mr. Franklin)

Auteur: Olivier Sustronck (Mr. Franklin)

De prioriteiten van de Gegevensbeschermingsautoriteit voor het jaar 2023 liggen voornamelijk op het cookie beleid en de aanstelling en functie van de Data Protection Officer (ook wel functionaris voor gegevensverwerking) bij ondernemingen.

Voor wat betreft cookies: bij gebrek aan een eengemaakt Europees kader zal de BGA zich hierover duidelijker en uitdrukkelijker uitspreken.

Daarnaast, voor de Data Protection officer, die de plaatselijke bondgenoot van de GBA is, is er een tweedelig actieplan voorzien.

Zowel op vlak van preventie (bij het uitoefenen van de rechten van de klagers zal het GBA de rol van DPO blijven benadrukken), als op vlak van controle. Bij organisaties die het voorwerp van een onderzoek uitmaken, zal de Inspectiedienst ook de plaats van de DPO onderzoeken.Uit het jaarverslag van de GBA[1] van 2021 blijkt dat hier nog verschillende werkpunten zijn. De DPO wordt vaak niet voldoende ondersteund, wordt niet op tijd geraadpleegd en diens adviezen worden niet altijd voldoende gevolgd. Daarnaast voldoet de DPO vaak niet aan de vereisten die worden opgelegd vanuit de GDPR.

Wat is een DPO?

Een Data Protection Officer (DPO), ook wel functionaris voor gegevensverwerking genoemd, werkt als onafhankelijk adviesorgaan van een onderneming binnen het kader van de GDPR. Hij zorgt ervoor dat de GDPR wordt nageleefd en is een belangrijke schakel in de verantwoordingsvereiste die hieruit voortvloeit. De DPO draagt bij tot de verantwoordingsplicht en is de contactpersoon ten aanzien van de GBA en de betrokkenen.[2]

Voor meer informatie over een externe DPO, zie https://www.misterfranklin.be/post/voordelen-van-een-externe-dpo

Is de aanstelling van een DPO verplicht?

Volgens artikel 37, lid 1 GDPR is men verplicht een DPO aan te stellen in drie gevallen:

1. Wanneer de verwerking van persoonsgegevens door een overheidsinstantie of overheidsorgaan wordt verricht.
2. Wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
3. Wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit de verwerking op grote schaal van bijzondere categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke beoordelingen en strafbare feiten.[3]

Tevens moet een DPO worden aangesteld door dienstverleners van een overheidsinstantie die persoonsgegevens verwerkt voor deze overheid.

Alle personen die toegang hebben tot het rijksregister moeten een DPO aanstellen.

Aanbieders van essentiële diensten in het kader van de NIS-wetgeving moeten tevens een DPO aanstellen.

Wie kan aangesteld worden als DPO?

Dit kan zowel een interne als externe persoon zijn van de onderneming. Bij de aanstelling van een interne DPO moet er wel rekening mee gehouden worden dat er geen belangenconflict mag zijn tussen de verwerkingsverantwoordelijke en de DPO. De DPO moet ten allen tijde zijn taken en verplichtingen onafhankelijk vervullen.

Tevens moet er rekening mee gehouden worden dat een interne DPO-medewerker van een ontslag beperking geniet met betrekking tot de uitvoering van zijn taken als DPO.

In elk geval moet een DPO worden aangeduid op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming, alsook zijn vermogen om wettelijke taken te vervullen.[4]

[1] https://www.gegevensbeschermingsautoriteit.be/publications/jaarverlag-2021.pdf, p. 39.
[2] O. Sustronck, T. Vansteenkiste en A. Saerens, GDPR in de advocatuur, Gent, 2021, p. 69.
[3] Ibid., p. 70.
[4] O. Sustronck, T. Vansteenkiste en A. Saerens, GDPR in de advocatuur, Gent, 2021, p. 73.

Bron: Mr. Franklin