In dit artikel overlopen we wat een DPO-functionaris is en wanneer de vzw er beroep op moet doen.

DPO-functionaris

De DPO-functionaris (Data Protection Officer) is iemand die door de organisatie wordt aangesteld om de uitwerking van het gegevensbescherming- en privacy beleid mee te dragen. De functionaris is een soort behoeder van de persoonsgegevens die in de organisatie rouleren.

Taken

De taken van de functionaris zijn wettelijk vastgelegd. In de praktijk zal de organisatie samen met de DPO-functionaris het takenpakket uitwerken.

In se gaat het erom dat de DPO de organisatie helpt om na te gaan hoe de GDPR-wetgeving wordt nageleefd. In het kader van deze taak moet de functionaris onder andere:

  • informatie verzamelen om de verwerkingsactiviteiten te identificeren;
  • toezien op de naleving van de verwerkingsactiviteiten, door de verwerkingsactiviteiten te analyseren en controleren;
  • aan de verwerkingsverantwoordelijke of de verwerker informatie en advies verstrekken en aanbevelingen doen over de verplichtingen inzake de gegevensverwerkingen;
  • aanspreekpunt zijn voor de bevoegde toezichthoudende autoriteit (en er mee samenwerken).

Wanneer je opzoek gaat naar een DPO, dan moet je nagaan of de persoon in kwestie voldoet aan een de volgende criteria:

  1. hij/zij moet over een gespecialiseerde kennis beschikken van het recht en de praktijken inzake gegevensbescherming;
  2. hij/zij moet over de capaciteit beschikken om de taken op een onafhankelijke en belangeloze wijze uit te voeren. 

Voor welke vzw's?

In dit onderdeel overlopen we in welke gevallen een vzw (wettelijk gezien) een DPO-functionaris moet aanstellen. Het gaat om de volgende drie situaties:

  • Wanneer de organisatie een overheidsinstantie of overheidsorgaan is.

Niet enkel de officiële overheidsorganen/instellingen vallen onder deze regelingen, maar ook vzw’s die aan al deze voorwaarden voldoen:

  1. de vzw voorziet in het algemeen belang (het maatschappelijk belang van de vzw);
  2. de vzw bezit over een rechtspersoon (wat automatisch het geval is bij een vzw) en;
  3. de activiteiten worden grotendeels gefinanceerd door de overheid of de leden van het bestuur zijn voor meer dan de helft door de overheid aangesteld.
  • Wanneer de kerntaken van de de verwerker bestaan in verwerkingen, die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.

Bijvoorbeeld:

  1. De verwerking van gezondheidsgegevens in het kader van door een ziekenhuis verstrekte zorgen;
  2. de verwerking van gegevens door uitzendkantoren over de bij hen ingeschreven uitzendkrachten;
  3. de verwerking van gegevens door onderwijsinstellingen met betrekking tot hun leerlingen of studenten of:
  4. de verwerking van gegevens door sociale secretariaten met betrekking tot de werknemers van hun klanten ...
  • De kerntaken van de verwerker bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens (uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10).

Het verwerken van gegevens op grote schaal houdt onder andere het volgende in: verwerking van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van internetgedrag, verwerking van gegevens (inhoud, verkeer, locatie) door telefoon- of internetproviders, etc.

Om na te gaan of er sprake is van grote schaal kijkt men naar de volgende criteria

  • Het aantal betrokkenen waarover het gaat – hetzij als een specifiek aantal of als een evenredig deel van de relevante populatie;
  • De hoeveelheid gegevens en/of het bereik van de verschillende verwerkte gegevensitems;
  • De duur of permanentie van de gegevensverwerking;
  • De geografische omvang van de verwerkingsactiviteit.

Kostprijs delen

Kan de vzw niet alleen de kosten dragen? Dan kan het een optie zijn om de kosten van de aanstelling van een DPO-functionaris te delen met andere organisaties. Deze kostenbesparing wordt namelijk door de GDPR toegelaten (art. 37.2 en art. 37.4 AVG Verordening).

“3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.”

Aansprakelijkheid

Tot slot, weet dat het samenwerken met een DPO-functionaris de organisatie niet ontslaat van enige aansprakelijkheid in het kader van GDPR-fouten. De organisatie blijft altijd eindverantwoordelijke!

Wettelijke bronnen en nuttige links

Nuttige links:

10 basisregels over de functionaris

Overzicht taken functionaris

Unisoc GDPR