NL

De onderneming en Data Protection Officer of DPO - DEEL I:

Maarten Verhaghe

Maarten Verhaghe | 28-2-2019

Wanneer moet ik een DPO aanstellen?

Sinds de invoering van de Algemene Verordening Gegevensbescherming of General Data Protection Regulation (GDPR) worstelen vele ondernemingen met verschillende vragen over de functie van de Data Protection Officer of DPO.

De tekst van de verordening zelf laat immers heel wat ruimte voor interpretatie en maakt een eenduidig antwoord moeilijk. Het is daarom onontbeerlijk een grondige audit en analyse van de onderneming en/of instelling en haar datastromen te laten doorvoeren. Enkel zo kan de verwerking van persoonsgegevens in kaart worden gebracht en kan de kerntaak van de onderneming worden weer gegeven.

Deze audit is van groot belang om te kunnen bepalen of de onderneming al dan niet een DPO nodig heeft.

In een serie van drie blogs gaan wij dieper in op de functie van de DPO.  De volgende vragen dienen te worden gesteld om een duidelijk inzicht te krijgen in de functie:

•    Wanneer moet ik een DPO aanstellen?
•    Wat zijn de gevolgen als ik geen DPO aanstel? Kan ik vrijwillig een DPO aanstellen?
•    Wat is de positie van een DPO? Wat zijn de vereisten om de functie uit te oefenen?
     Kies ik voor een interne of externe DPO? Wat zijn de voordelen van de advocaat als DPO?

In deze blog gaan we in op de eerste vraag.

Wanneer moet ik een DPO aanstellen?

Het antwoord op deze vraag hangt vooreerst af van de hoedanigheid van de verwerkingsverantwoordelijke of verwerker.

Wanneer het gaat om de overheid of een van haar instellingen dan is er geen discussie mogelijk, de GDPR voorziet een uitdrukkelijke verplichting om een DPO aan te stellen.

Bij de private ondernemingen is het antwoord genuanceerder en is een DPO slechts verplicht

  •     wanneer de kerntaken van de onderneming een regelmatige en stelselmatige observatie op grote schaal vereisen;
of

  • wanneer deze taken bestaan uit een grootschalige verwerking van bijzondere categorieën van gegevens of van persoons
De begrippen “kerntaak”, “op grote schaal” en “regelmatige observatie” verdienen hier meer duiding:
          • Het begrip “kerntaak” dient te worden begrepen als een verwerking waarmee 50% van de jaarlijkse omzet wordt verdiend. De verwerking van persoonsgegevens is onlosmakelijk verbonden met de activiteiten van de onderneming.  Voorbeelden hiervan zijn een ziekenhuis, een beveiligingsfirma die winkelcentra bewaakt, …
                • De uitvoering op grote schaalzal worden beoordeeld aan de hand van verschillende factoren:  het aantal betrokkenen of onderdeel van een groep, de hoeveelheid van gegevens, de duur van de verwerking en de geografische omvang.  Van zodra er één van deze factoren ingevuld is, is er sprake van een verwerking op grote schaal.Denk aan verwerking van patiëntgegevens, verwerking van reisgegevens (tracering aan de hand van reiskaarten), verwerking van realtime geolocatie-gegevens, verwerking van klantgegevens door bank of verzekeraar, verwerking van persoonsgegevens met oog op gedragsgerelateerde publiciteit, verwerking van surfgedrag, content, …
                  • De termregelmatige en stelselmatige observatie  omvat alle vormen van opsporing en profilering op doorlopende of specifieke tijdstippen, terugkerend of repetitief, constant of periodiek waarbij een systeem gehanteerd wordt in het kader   van een algemene gegevensverzameling of in het kader van een strategie. Voorbeelden zijn hiervan niet moeilijk te vinden. Ze zijn alom in een groot deel van onze leefwereld aanwezig, onder andere in onze smartphones: locatietracering, monitoring van gezondheids- en conditiegegevens, gegevensverzameling via gekoppelde apparaten zoals slimme meters, slimme wagens, domotica, …

                Een lidstaat kan bovendien aan de hand van eigen nationale wetgeving de aanstelling van een DPO verplichten.


                De wet van 30/07/2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens legt de verplichting tot het aanstellen van een DPO op bij ondernemingen die optreden als verwerker van persoonsgegevens voor de overheid en voor ondernemingen aan wie de overheid persoonsgegevens doorgeeft, indien de verwerking van deze persoonsgegevens een hoog risico kan inhouden. Hierbij kan onder andere gedacht worden aan ondernemingen die toegang hebben tot het rijksregister, DIV, Kruispuntbank Sociale Zekerheid, ….

                De beslissing of er al dan niet een DPO wordt aangeduid is geen sinecure en dient afdoende gemotiveerd te worden. De Gegevensbeschermingsautoriteit (GBA), zal  immers de al dan niet aanstelling van een DPO ad hoc beoordelen, rekening houdend met de aard en omvang van de verwerking.


                Download onze White Paper GDPR

                Check of uw onderneming klaar is voor GDPR. Download nu onze whitepaper!

                White Paper GDPR

                *De informatie die je ingeeft, zal enkel gebruikt worden voor onze eigen communicatie en blijft confidentieel. Jouw informatie wordt doorgestuurd door middel van een geëncrypteerde verbinding naar ons interne systeem en zal niet verspreid worden naar derden. Lees hier onze volledige privacy policy.

                Follow us: