Wie aanwijzen als functionaris voor gegevensbescherming?

 Cumulatie van functies door de functionaris: strikte onafhankelijkheid en totale afwezigheid van belangenverstrengeling zijn een must


De functionaris voor gegevensbescherming (DPO) moet over gespecialiseerde kennis beschikken van wetgeving en praktijk op het gebied van gegevensbescherming alsook over de capaciteit om de taken bedoeld in artikel 39 uit te voeren. In het algemeen dient het niveau van gespecialiseerde kennis te worden bepaald in functie van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de verwerkte gegevens vereist is. Zijn kennis zal dus aangepast zijn aan de gevoeligheid, de complexiteit en het volume van de verwerkte gegevens, indien de verwerkingen occasionele of regelmatige doorgiften buiten de EU omvatten enz. zonder dat er een specifiek diploma nodig is. Naast een expertiseniveau inzake gegevensbescherming is de kennis van de activiteitensector en van de organisatie van de verwerkingsverantwoordelijke of de verwerker essentieel. Tot slot kunnen diepgaande kennis van interne informaticasystemen en kennis van alle bedrijfsprocessen een meerwaarde betekenen voor de uitoefening van de functie van DPO. Het voorgaande werd verduidelijkt in Beslissing ten gronde nr. 15/2020 van 15 april 2020 inzake de verwerking van de persoonsgegevens van huurders via de belastingaangifte door een gemeente.

Zoals aangegeven in het gedeelte over de onafhankelijkheid van de DPO, kan de DPO weliswaar andere functies hebben, maar mag hij alleen andere taken en verantwoordelijkheden krijgen op voorwaarde dat deze geen aanleiding geven tot een belangenconflict. Dit betekent met name dat de functionaris geen functie binnen de organisatie mag bekleden die ertoe leidt dat hij de doeleinden van en de middelen voor de verwerking van persoonsgegevens bepaalt. Als algemene regel geldt dat conflicterende functies/posities binnen een bedrijf managementfuncties kunnen omvatten, maar ook functies op een lager niveau van de organisatiestructuur.

De GBA beveelt de betrokken verwerkingsverantwoordelijken en verwerkers aan hun keuze, alsook de functie van functionaris, te documenteren. De ondernomen acties en de in dit kader opgestelde documenten moeten overigens regelmatig opnieuw worden onderzocht en geactualiseerd om een voortdurende gegevensbescherming te verzekeren. De verwerkingsverantwoordelijke en de verwerker moeten immers voldoen aan artikel 37.5 van de AVG waarin is bepaald dat de DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van wetgeving en praktijk inzake gegevensbescherming. Dit werd verduidelijkt in Beslissing ten gronde nr. 73/2020 van 13 november 2020 inzake het niet naleven van meerdere beginselen van gegevensverwerking waaronder die van rechtmatigheid en transparantie.

De Autoriteit wordt regelmatig gevraagd of de "beveiligingsadviseur" die sommige organisaties moeten aanstellen, de functionaris voor gegevensbescherming kan worden. In principe verbiedt de AVG dit niet. Verwerkingsverantwoordelijken en verwerkers die een functionaris voor gegevensbescherming willen of moeten aanstellen, moeten de mogelijkheid onderzoeken om de ene functie met de andere te combineren of van de ene functie naar de andere over te stappen, om belangenconflicten te voorkomen.

De contactgegevens van de DPO moeten aan de toezichthoudende autoriteit worden meegedeeld.

Vragen

Nee. Volgens de AVG heeft de toezichthoudende autoriteit niet de bevoegdheid gekregen om de keuze van de verwerkingsverantwoordelijke of de verwerker voor een functionaris te valideren. De AVG voorziet enkel in de mededeling van de contactgegevens van de functionaris aan de toezichthoudende autoriteit (artikel 37.7). Deze mededeling van de contactgegevens dient geenszins beschouwd te worden als een vraag om akkoord of validatie van de toezichthoudende autoriteit met betrekking tot deze aanduiding. Een dergelijke benadering zou strijdig zijn met het principe van de verantwoordingsplicht.

De AVG staat beide mogelijkheden toe. De functionaris voor gegevensbescherming kan een werknemer van de betrokken verwerkingsverantwoordelijke of verwerker zijn. Deze laatsten kunnen ook een beroep doen op een externe DPO via een dienstverleningsovereenkomst.  In het laatste geval kan eenzelfde DPO voor verschillende bedrijven of overheidsinstanties en overheidsorganen werken, voor zover hij uiteraard voldoende ondersteuning krijgt, voldoende tijd kan besteden aan elk van zijn "klanten" en er voor hem geen belangenconflict ontstaat.

Laatste update: 29/01/2024

De AVG schrijft voor dat de DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van wetgeving en praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 39 van de AVG bedoelde taken te vervullen. Er zijn geen specifieke diploma’s of getuigschriften vereist.

Nee. Om hem in de mogelijkheid te stellen zijn taak naar behoren uit te voeren en de eis van onafhankelijkheid te waarborgen, is een zekere stabiliteit echter wenselijk.

Laatste update: 29/01/2024

Nee. Het is niet mogelijk een volledige lijst van onverenigbare functies op te stellen. Of bepaalde functies al dan niet verenigbaar zijn, hangt uiteindelijk af van de concrete situatie.

Hierdoor kunnen de verschillende rollen en taken binnen elke entiteit op flexibele wijze – binnen de in de AVG vastgestelde grenzen – worden geïnterpreteerd. De Groep Artikel 29 heeft richtsnoeren opgesteld voor de aanwijzing van de functionaris voor gegevensbescherming, waarin de voorwaarden inzake onafhankelijkheid en het verbod op belangenconflicten worden uiteengezet.

Zoals aangegeven in het gedeelte over de onafhankelijkheid van de DPO, kan de DPO weliswaar andere functies hebben, maar mag hij alleen andere taken en verantwoordelijkheden krijgen op voorwaarde dat deze geen aanleiding geven tot een belangenconflict. Dit betekent met name dat de functionaris geen functie binnen de organisatie mag bekleden die ertoe leidt dat hij de doeleinden van en de middelen voor de verwerking van persoonsgegevens bepaalt. Als algemene regel geldt dat conflicterende functies/posities binnen een bedrijf managementfuncties kunnen omvatten, maar ook functies op een lager niveau van de organisatiestructuur.

De cumulatie van de functies van DPO en CISO (afkorting voor Chief Information Security Officer) leidt niet tot een belangenconflict als de DPO of CISO niet verantwoordelijk is voor een operationele afdeling. Het voorgaande werd verduidelijkt in Beslissing ten gronde nr. 56/2021 van 26 april 2021 inzake onrechtmatige raadpleging van persoonsgegevens en weigering van het recht van inzage.

De Gegevensbeschermingsautoriteit benadrukt dat verwerkingsverantwoordelijken en verwerkers hun analyse en hun definitieve keuze van DPO moeten motiveren. De betreffende documenten moeten door de verwerkingsverantwoordelijke kunnen worden bezorgd aan de Gegevensbeschermingsautoriteit, bijvoorbeeld in het kader van een onderzoek van haar Inspectiedienst.

Laatste update: 29/01/2024

Er moet worden geanticipeerd op de afwezigheid van een DPO door in een procedure te voorzien bij diens afwezigheid, die in de praktijk van korte of lange duur, evenals gepland of volledig onverwacht kan zijn. Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke of verwerker in kwestie om de continuïteit van hun verplichtingen overeenkomstig de AVG te waarborgen en hiervan, met inachtneming van het verantwoordingsbeginsel, aan de Gegevensbeschermingsautoriteit (GBA) het bewijs te kunnen leveren.

Zonder in te gaan op de vele mogelijke situaties, moeten de onderstaande principes als leidraad dienen:

  • In ieder geval doet de afwezigheid van de DPO niets af aan de verplichtingen van de betrokken verwerkingsverantwoordelijke of verwerker. Ondanks de afwezigheid van de DPO moeten de verwerkingsverantwoordelijke en de verwerker hun verplichtingen onder de AVG naleven: de betrokkenen moeten immers een antwoord krijgen op hun vragen en op hun verzoeken om hun rechten uit te oefenen binnen de in de AVG vastgestelde termijnen. Ook moeten de contacten met de GBA worden gewaarborgd. Het primaire doel is dat de DPO-functie steeds gewaarborgd wordt. Bij afwezigheid van de DPO moet de functie derhalve worden uitgeoefend door een persoon die over de kwalificaties en het statuut beschikt zoals bepaald in de AVG of die deze het dichtst benadert, om de effectieve continuïteit van de functie te waarborgen.
  • Bij het beheer van de afwezigheid van de DPO zal concreet rekening gehouden worden met factoren zoals: de duur van de afwezigheid, het soort handelingen die door de DPO worden verricht en de toepasselijke of verwachte termijnen, de mate van risico van de door de betrokken verwerkingsverantwoordelijke of verwerker uitgevoerde verwerkingen, de omvang van de structuur van de verwerkingsverantwoordelijke of verwerker, het bestaan binnen de structuur van andere DPO’s en elke andere relevante contextuele parameter. Dit kan leiden tot een eenvoudig beheer van de afwezigheid om ervoor te zorgen dat de functie door anderen wordt uitgevoerd (intern of door tijdelijk gebruik te maken van de diensten van een externe DPO bijvoorbeeld) of tot een noodzakelijke vervanging van de DPO, met name in het geval van langdurige afwezigheid.
  • Tijdens de afwezigheid van de DPO gelden de regels inzake vertrouwelijkheid en gegevensbescherming op de werkplek. In dit verband is het bestaan van een functioneel (niet op naam) contactadres een pluspunt.
  • Merk op dat de contactgegevens van de DPO meegedeeld moeten worden aan de toezichthoudende autoriteit. Aan de betrokkenen kan een niet op naam gesteld functioneel adres worden meegedeeld. Aan de toezichthoudende autoriteit moeten - zoals te lezen staat in het meldformulier voor de functionaris voor gegevensbescherming dat beschikbaar is op de website van de GBA - de voor- en achternamen van de DPO meegedeeld worden, evenals een contactadres.

De concrete modaliteiten voor het beheer van de afwezigheid zullen bepalen of er al dan niet formaliteiten moeten worden vervuld bij de GBA. Indien de afwezigheid van de DPO wordt beheerd zonder dat een nieuwe DPO is aangewezen en via het aan de GBA meegedeelde contactadres nog steeds contact kan worden opgenomen met de persoon die instaat voor de opvolging bij afwezigheid van de DPO, moet deze afwezigheid niet worden gemeld.

Indien dit echter niet het geval is, of indien de DPO door een nieuwe DPO moet worden vervangen (bijvoorbeeld wegens een langdurige afwezigheid), moet deze vervanging aan de GBA worden gemeld. Het vakje "Gelieve dit vakje te selecteren indien deze mededeling een wijziging van een eerdere melding betreft" moet dan aangevinkt worden.

Laatste update: 29/01/2024

Gezien de verplichting voor verwerkingsverantwoordelijken en verwerkers om de contactgegevens van hun functionaris voor gegevensbescherming aan de toezichthoudende autoriteit te verstrekken, beschikt de Autoriteit over een lijst van functionarissen voor gegevensbescherming. Deze lijst is niet bedoeld voor het publiek, maar wel om de toezichthoudende autoriteit in staat te stellen om rechtstreeks contact op te nemen met de DPO bij de uitoefening van haar taken, met name toezicht houden. De inspectiedienst van de Gegevensbeschermingsautoriteit kan bijvoorbeeld rechtstreeks vragen stellen aan de DPO of de DPO uitnodigen voor een hoorzitting.