De functionaris gegevensbescherming: verplicht of niet?

4 november 2021
Artikel

Door de Algemene Verordening Gegevensbescherming (AVG) moet in bepaalde gevallen een functionaris gegevensbescherming worden aangesteld. Wij krijgen vaak vragen over dit onderwerp en zetten daarom de belangrijkste regels voor u op een rij.

Portretfoto van Niels Ista
Neem contact op met:
Niels Ista Jurist ondernemingsrecht en ICT-recht
Werkgever en functionaris gegevensbescherming schudden hand

Functionaris voor de gegevensbescherming

De functionaris voor de gegevensbescherming (FG), oftewel de data protection officer (DPO), is een onafhankelijk en deskundig persoon binnen de organisatie van de verwerkingsverantwoordelijke of verwerker met als taak informeren en adviseren over de omgang met persoonsgegevens. De functionaris voor de gegevensbescherming moet onder omstandigheden verplicht worden aangesteld en verricht toezichthoudende en adviserende taken. De functionaris is geen toezichthouder en heeft geen corrigerende bevoegdheden zoals de Autoriteit Persoonsgegevens bijvoorbeeld wel heeft. Toch wegen zijn aanbevelingen zwaar mee bij het bepalen of een of meerdere verwerkingen rechtmatig zijn. De functionaris voor de gegevensbescherming moet een natuurlijk persoon zijn.

Richt een bedrijf een commissie of ander orgaan (zoals de afdeling compliance) in dat toeziet op verwerkingen? Dan moet één van de leden daarvan worden aangewezen als de functionaris voor de gegevensbescherming, met de bijbehorende onafhankelijke positie. Formeel gezien geldt dat iedere rechtspersoon binnen een concern verplicht is een eigen functionaris voor de gegevensbescherming te benoemen als deze voldoet aan de in de AVG genoemde verplicht gestelde situaties. Vanwege de nauwe verbondenheid tussen dergelijke rechtspersonen, is het echter in dit geval toegestaan om één centrale functionaris te benoemen. Voorwaarde is wel dat de functionaris dan voor alle rechtspersonen die deel uitmaken van het concern makkelijk te benaderen is, efficiënt met betrokkenen kan communiceren en zo nodig samen kan werken met de Autoriteit Persoonsgegevens.

Taken van de functionaris voor de gegevensbescherming

Het takenpakket van een functionaris voor de gegevensbescherming is veelzijdig. De AVG beschrijft zijn belangrijkste taken als volgt:

  • Het informeren en adviseren van de organisatie over de verplichtingen uit de AVG.
  • Het toezien op de naleving van de AVG. Hierbij gaat het bijvoorbeeld om het creëren van privacybewustzijn bij medewerkers, het opzetten van een privacyboekhouding en het afhandelen van datalekken.
  • Het bepalen van de risico's bij het verwerken van persoonsgegevens, bijvoorbeeld via het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's).
  • Het samenwerken met de nationale toezichthouder, de Autoriteit Persoonsgegevens. De FG is namens de organisatie de eerste contactpersoon voor de Autoriteit Persoonsgegevens.

Kortom: de functionaris voor de gegevensbescherming adviseert de organisatie over een breed scala aan aspecten van het privacy- en beveiligingsbeleid en let op de uitvoering daarvan. De functionaris vervult hiermee een zeer belangrijke functie richting het bestuur, de medewerkers en de klanten en stakeholders van uw organisatie.

In de AVG is accountability een kernthema. Organisaties moeten aantonen hoe zij de wet geïmplementeerd hebben, hoe de risico’s van betrokkenen zijn verminderd en hoe eventuele incidenten worden afgehandeld. Vanuit de diverse taken die de functionaris voor de gegevensbescherming op zich neemt, kan een organisatie bij een eventuele inspectie van de Autoriteit Persoonsgegevens makkelijker aantonen dat aan deze vereisten is voldaan.

Middelen van de functionaris voor de gegevensbescherming

Conform de AVG heeft een functionaris voor de gegevensbescherming voldoende middelen nodig om zijn taak te kunnen uitvoeren. Ook moet hij toegang hebben tot de persoonsgegevens en de verwerkingen van de gegevens in de organisatie. Daarnaast moet een functionaris voor de gegevensbescherming zijn kennisniveau op peil kunnen houden.

Concreet heeft een functionaris voor de gegevensbescherming onder meer het volgende nodig om de functie in te vullen:

  • de actieve steun vanuit het management;
  • voldoende tijd om de taken uit te voeren;
  • voldoende praktische ondersteuning (budget, faciliteiten en personeel);
  • heldere communicatie aan al het personeel over de benoeming van de functionaris;
  • scholing.

Wanneer is een functionaris voor de gegevensbescherming verplicht?

Op grond van artikel 37 van de AVG is een functionaris voor de gegevensbescherming in drie situaties verplicht:

  • Overheden en publieke organisaties
    Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een functionaris voor de gegevensbescherming aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld  onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een functionaris voor de gegevensbescherming niet.
  • Observatie
    Ten tweede geldt de verplichting om een functionaris voor de gegevensbescherming aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. Denk hierbij aan bijvoorbeeld cameratoezicht in een winkelcentrum.
  • Bijzondere persoonsgegevens
    Ten derde zijn organisaties verplicht een functionaris voor de gegevensbescherming te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
  • Overige situaties
    EU-lidstaten kunnen ook andere situaties benoemen waarin een functionaris voor de gegevensbescherming verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. Is het onduidelijk of u verplicht bent om een functionaris voor de gegevensbescherming aan te stellen? Onderbouw dan goed waarom ervoor is gekozen om het wel of juist niet te doen.

Als een organisatie vrijwillig een functionaris voor de gegevensbescherming aanwijst, gelden voor zijn aanwijzing, positie en taken dezelfde voorwaarden die zouden gelden als de aanwijzing verplicht was geweest. Dit betekent niet dat een organisatie die niet vrijwillig een functionaris voor de gegevensbescherming wil aanwijzen en daar niet wettelijk toe verplicht is, niet toch werknemers of externe adviseurs mag aanstellen met taken op het gebied van de bescherming van persoonsgegevens. In dat geval is het belangrijk erop toe te zien dat er geen verwarring bestaat over hun functie, status, positie en taken. Daarom moet in alle communicatie binnen het bedrijf, met gegevensbeschermingsinstanties, met de betrokkenen en met het publiek duidelijk gemaakt worden dat deze persoon of adviseur geen functionaris voor de gegevensbescherming is.

Kwaliteit en deskundigheid

De functionaris voor de gegevensbescherming heeft een zorgplicht om op een professionele en deskundige manier zijn taken te vervullen. De AVG formuleert deze zorgplicht als het hebben van professionele kwaliteiten en deskundigheid, in het bijzonder diepgaande kennis van de nationale en Europese privacywetgeving. Ook moet de functionaris bij de uitvoering van zijn taken voldoende rekening houden met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context, en de verwerkingsdoeleinden. Het vereiste niveau van deskundigheid moet daarbij met name worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de door de verwerkingsverantwoordelijke of de verwerker verwerkte gegevens vereist is. Hoewel deze formulering nieuw is, gaat men ervan uit dat de norm hiervoor strenger is dan de normale zorgplicht van de opdrachtnemer (artikel 7:400 BW).

Onafhankelijkheid en ontslag

Zoals reeds aangegeven, moet de functionaris onafhankelijk kunnen opereren, en mag hij daarom geen instructies krijgen over hoe hij zijn taken als functionaris voor de gegevensbescherming moet uitvoeren. Hij moet daarbij naar behoren en tijdig worden betrokken bij alle aangelegenheden rondom persoonsgegevens en alle benodigde toegang en middelen krijgen om zijn werkzaamheden te kunnen uitvoeren. De functionaris rapporteert direct aan de hoogste leidinggevende bij zijn organisatie. Ook dit waarborgt de onafhankelijkheidspositie van de functionaris voor de gegevensbescherming en voorkomt dat zijn adviezen blijven steken op een verkeerde laag en/of persoon binnen de organisatie. 

De functionaris voor de gegevensbescherming heeft vanwege zijn onafhankelijke rol ontslagbescherming. Dit houdt in dat hij niet kan worden ontslagen of gestraft voor de uitvoering van zijn taken. Het niet (meer) bezitten van de benodigde professionele kwaliteiten kan echter wel reden zijn voor ontheffing uit zijn aanstelling als functionaris voor de gegevensbescherming.

Meer weten?

De juristen ondernemingsrecht en ICT-recht van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacyrecht en kunnen u bijstaan bij het opmaken van privacybeleid. Met onze juristen kunt u checken of uw organisatie voldoet aan de voorwaarden en bepalingen van de AVG. Neem voor meer informatie contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.

Wilt u meer weten over dit onderwerp? Onze jurist helpt u graag verder!

E-mail Niels
Portretfoto van Niels Ista
Jurist ondernemingsrecht en ICT-recht
Bel
013-4647180