De GDPR verplicht in een aantal gevallen de aanstelling van een functionaris voor gegevensbescherming, de zogenaamde “DPO”. Een DPO is een functionaris voor gegevensbescherming die toezicht houdt op de onderneming die op grote schaal personeelsgegevens verwerkt. Hij speelt een belangrijke rol bij het vereenvoudigen van de ingewikkelde en soms vage regelgeving. Hij zal informeren en adviseren aan de verwerkingsverantwoordelijke en zijn medewerkers over de verplichtingen die de GDPR oplegt. Bovendien zal hij toezien op de naleving van de wettelijke bepalingen alsook op het beleid dat werd uitgestippeld om de GDPR te implementeren.
De aanwezigheid van een DPO is zeker niet voor iedereen verplicht. De GDPR schrijft dit slechts voor drie categorieën voor:
- De verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve voor gerechten in het kader van de uitoefening van hun rechterlijke taken ;
- De verwerker of verwerkingsverantwoordelijke zijn hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens en de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten ;
- De verwerker of verwerkingsverantwoordelijke zijn hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen ;
Voorbeelden van stelselmatige verwerkingen op grote schaal zijn verwerken van patiëntendata door ziekenhuizen, verzamelen van reisdata van burgers op de bus, verwerken van klantendata door verzekeraars of banken, verwerken van gegevens door telecomnetwerken en tracking van locatiegegevens. Hierbij wordt gekeken naar het aantal datasubjecten, volume van de data, tijdsduur waarin de data wordt verwerkt en het geografisch gebied van het verwerken.
De GDPR legt geen specifieke certificeringen op voor een DPO maar vereist wel dat zij over de nodige deskundigheid en expertise beschikken op het vlak van gegevensbescherming. De DPO moet kunnen aantonen dat hij goed geïnformeerd is over de bescherming die vereist is voor het soort gegevens dat wordt verwerkt. Het wordt om die reden ten zeerste aangemoedigd de DPO een gepaste opleiding te laten volgen indien men kiest om iemand binnen het bedrijf aan te stellen of om een externe opgeleide DPO aan te duiden.
Hoewel de aanstelling van een DPO niet in alle gevallen verplicht is, is het voor grotere ondernemingen (> 50 werknemers) aangewezen om toch beroep te doen op een functionaris. De complexiteit van de wetgeving en de implementatie ervan in de onderneming kost veel tijd en energie. Het is voor veel ondernemingen dan ook geruststellender om zich hierin te laten bijstaan. De boetes op het niet-naleven van de GDPR zijn immers niet min.
Indien u dit wenst kunnen wij u hierin bijstaan. Wij beschikken over gecertificeerde DPO’s die uw organisatie steeds kunnen adviseren en bijstaan omtrent de GDPR.