Wel of geen functionaris gegevensbescherming aanstellen? bron: mr. S. Schepers)

Terug

Verplichte of vrijwillige functionaris gegevensbescherming
Onder de AVG kan het zijn dat u verplicht bent om een functionaris voor de gegevensbescherming (FG) aan te stellen. De FG wordt ook wel data protection officer genoemd. De FG wordt gezien als een functionaris die binnen de onderneming toezicht houdt op de toepassing en naleving van de AVG.

Het aanstellen van een FG is verplicht als u:

een overheidsinstantie of publieke organisatie bent. Denk hierbij aan de rijksoverheid en zorg- en onderwijsinstellingen;
vanuit uw kerntaak op grote schaal individuen regelmatig en stelselmatig observeert;
zich vanuit uw kerntaak bezig houdt met het op grote schaal verwerken van bijzondere persoonsgegevens.

Valt u niet onder de verplichtstelling, dan kunt u vrijwillig een FG aanstellen. Dit kan interessant zijn voor uw organisatie, omdat een FG uw organisatie ondersteuning biedt bij bijvoorbeeld het in kaart brengen van de risico’s bij het verwerken van persoonsgegevens. Een vrijwillig aangestelde FG dient zich aan dezelfde regels en kaders te houden als een verplichte FG. Dit betekent onder andere dat de vrijwillig ingestelde FG hetzelfde takenpakket heeft als de verplichte FG.

Als alternatief voor het instellen van een vrijwillige FG is het ook mogelijk:

een werknemer in dienst te nemen of
een adviseur in te huren die zich met de bescherming van persoonsgegevens bezighoudt.
Heeft deze persoon een andere functienaam, positie en takenpakket dan de FG, dan gelden de wettelijke regels voor de FG niet.

Taken van de functionaris gegevensbescherming
De FG heeft een aantal taken die hij verplicht dient uit te voeren. Allereerst informeert en adviseert de FG uw onderneming over uw verplichtingen uit de AVG en andere privacy wetgeving en houdt de FG toezicht op de naleving en toepassing van die verplichtingen. Daarnaast adviseert de FG u over het uitvoeren van een data protection impact assessment (DPIA). Meer informatie over het DPIA komt aan bod in stap 3. Ook is de FG de contactpersoon voor uw organisatie bij de Autoriteit Persoonsgegevens en werkt de FG samen met de Autoriteit Persoonsgegevens.

U kunt met de FG afspreken dat hij ook andere werkzaamheden verricht zoals het:

maken van inventarisaties van gegevensverwerkingen;
bijhouden van meldingen betreffende datalekken;
afhandelen van vragen en klachten van mensen binnen en buiten de organisatie; en
ontwikkelen van intern beleid.

Bevoegdheden van de functionaris gegevensbescherming
Een FG kan geen sancties opleggen. De FG heeft echter wel bepaalde bevoegdheden. Zo dient u de FG tijdig te betrekken bij alle aangelegenheden die te maken hebben met de bescherming van persoonsgegevens. Dit betekent bijvoorbeeld dat u de FG onmiddellijk dient te raadplegen op het moment dat zich een datalek heeft voorgedaan. Daarnaast dient u de FG toegang te geven tot persoonsgegevens en verwerkingsactiviteiten. Het is dus belangrijk dat de FG ruimtes mag betreden, zaken mag onderzoeken en informatie en inzage verkrijgt. Tot slot is het van belang dat u de FG de benodigde middelen ter beschikking stelt voor het vervullen van zijn taken. Denk hierbij aan het verschaffen van voldoende financiële middelen en tijd, zodat hij zijn taken naar behoren kan uitvoeren.

Waarborgen: geen instructies en geen ontslag voor een FG
Allereerst mag u de FG bij de uitvoering van de taken geen instructies geven over hoe hij bepaalde aangelegenheden moet behandelen. Bijvoorbeeld hoe de FG een klacht dient te onderzoeken en wanneer de FG de Autoriteit Persoonsgegevens moet raadplegen. Voorts beschikt de FG over een zekere ontslag- en benadelingsbescherming. Dit betekent dat de FG niet kan worden ontslagen of gestraft voor de uitvoering van zijn taken.

De AVG stelt verschillende eisen aan de FG. Het is belangrijk dat u bij het aanstellen van de FG controleert of aan de volgende eisen wordt voldaan, te weten, de FG dient voldoende deskundig te zijn en over voldoende professionele kwaliteiten te beschikken om zijn taken uit te kunnen voeren. Dit betekent dat de FG onder andere:

ervaring en kennis heeft van de AVG en andere privacywetgeving;
verstand heeft van IT en beveiliging van gegevens; en ook
kennis heeft van de organisatie en de sector waarin hij actief is.

Het is van belang dat de FG geen conflicterend belang heeft. Een conflicterend belang doet zich bijvoorbeeld voor als de FG binnen de organisatie een functie in het hogere management uitvoert (bijvoorbeeld: hoofd van Human Resources, hoofd van de IT-afdeling en Chief Executive). In principe mag u ieder personeelslid dat voldoet aan de eisen van de AVG tot FG benoemen. Laat diegene dan wel een opleiding tot FG volgen om zo de juiste kennis op te doen. U kunt echter ook een externe FG inhuren en met diegene een dienstverleningsovereenkomst overeenkomen.

Heeft u een FG aangesteld, neem de contactgegevens van de FG dan op in een privacyverklaring. Meer informatie over de privacyverklaring volgt in stap 8. Maak daarnaast de contactgegevens van de FG bekend bij de Autoriteit Persoonsgegevens.

Publicatiedatum 29/01/2018
Wel of geen functionaris gegevensbescherming aanstellen? bron: mr. S. Schepers)

Volg ons op social media