Documentatie DPO

Op deze pagina vindt u een lijst van rechtspraak met betrekking tot de functionaris voor gegevensbescherming, evenals nuttige websites over wetgeving, rechtspraak en praktijken op het gebied van gegevensbescherming.


Rechtspraak over de functionaris voor gegevensbescherming

De functionaris voor gegevensbescherming (DPO) komt soms uitdrukkelijk aan bod in de rechtspraak. In de onderstaande tabel vindt u een niet-limitatief overzicht van arresten en beslissingen over de aanwijzing, de functie en de taken van de DPO.

Onderwerp Bron Korte commentaar
De functionele onafhankelijkheid van de DPO is essentieel (= toepassing van artikel 38 AVG) Hof van Justitie, arrest in de zaak C‑453/21 van 9 februari 2023

De functionele onafhankelijkheid van de DPO is essentieel en moet worden gewaarborgd door zijn werkgever of cliënt. De leden 3, 5 en 6 van artikel 38 AVG dragen daartoe bij.

Er is sprake van een belangenconflict bij de DPO in de zin van artikel 38.6 AVG als de DPO taken krijgt waarbij hij de doeleinden en middelen van de verwerking bepaalt.

De DPO wordt beschermt tegen ontslag en sancties voor de uitvoering van zijn taken (= toepassing van artikel 38.3 AVG) Hof van Justitie, arrest in de zaak C‑534/20 van 22 juni 2022 De DPO mag worden ontslagen door zijn werkgever of cliënt als hij niet meer beschikt over de voor de uitvoering van zijn taken noodzakelijke professionele kwaliteiten of als hij zijn taken niet overeenkomstig de Algemene verordening gegevensbescherming uitvoert.
De DPO brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker (= toepassing van artikel 38.3 AVG)

Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 136/2023 van 28 september 2023 inzake de verwerking van persoonsgegevens in het kader van een fraudeonderzoek

Via een dergelijke verslaggeving wordt verzekerd dat het hogere management (bijvoorbeeld de raad van bestuur) op de hoogte is van het advies en de aanbevelingen die de functionaris voor gegevensbescherming verstrekt in het kader van zijn taak om de verwerkingsverantwoordelijke of de verwerker te informeren en te adviseren.

De DPO moet naar behoren en tijdig betrokken worden (= toepassing van artikel 38.1 AVG). De DPO moet adviseren en controleren (= toepassing van artikel 39.1 AVG)

Elk van de opgesomde elementen in de paragraaf voorafgaand aan punt 62 geeft aanleiding tot de vaststelling van een inbreuk op artikel 39, lid 1, van de AVG, aangezien uit deze punten blijkt dat de verwerkingsverantwoordelijke onvoldoende waarborgt dat de taken door de DPO adequaat worden uitgevoerd.

De DPO moet betrokken worden bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Het volstaat niet de DPO er pas bij te betrekken wanneer de Gegevensbeschermingsautoriteit contact opneemt.

De regels inzake de DPO helpen de DPO om zijn taken uit te voere

De organisatie moet haar DPO actief ondersteunen (= toepassing van artikel 38.2 AVG)

De volgende aspecten moeten in aanmerking worden genomen:

  • Actieve ondersteuning van de functie van de DPO door het hoger management;
  • Voldoende tijd voor de DPO om zijn taken uit te voeren;
  • Adequate ondersteuning in termen van financiële middelen, infrastructuur (bedrijfsruimten, uitrustingen, apparatuur) en personeel, in voorkomend geval;
  • Officiële bekendmaking van de aanwijzing van de DPO aan alle personeelsleden ;
  • Noodzakelijke toegang tot andere diensten, zoals personeelszaken, de juridische dienst, IT, veiligheid, enz.;
  • Voortgezette opleiding;
  • Gezien de omvang en de structuur van de organisatie kan het nodig zijn een DPO-team (een DPO met personeel) in te stellen
Een belangenconflict bij de DPO is verboden (= toepassing van artikel 38.6 AVG)

De DPO van een organisatie kan niet tegelijk directeur van die organisatie zijn.

De cumulatie van de functies van DPO en CISO (wat een afkorting is voor Chief Information Security Officer) leidt niet tot een belangenconflict als de DPO of CISO niet verantwoordelijk is voor een operationele afdeling.

De kwalitatieve vereisten voor de DPO moeten worden gerespecteerd (= toepassing van artikel 37, lid 5 AVG)

Een uitgebreide kennis van de interne informatiesystemen en kennis van alle bedrijfsprocessen kunnen een meerwaarde betekenen voor de uitoefening van de functie van DPO. Kennis van de wetgeving inzake gegevensbescherming is echter een vereiste, zeker met het oog op de uitoefening van de taken van de DPO.

De verwerkingsverantwoordelijke en de verwerker moeten hun keuze voor een DPO verantwoorden. De verwerkingsverantwoordelijke en de verwerker hebben immers de plicht te voldoen aan artikel 37.5 van de AVG waarin is bepaald dat de DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

Nuttige websites voor de functionaris voor gegevensbescherming

Als functionaris voor gegevensbescherming (DPO) moet u goed op de hoogte blijven van wetgeving, rechtspraak en praktijk inzake gegevensbescherming. In de onderstaande tabel vindt u een niet- limitatief overzicht van gratis toegankelijke websites met informatie over gegevensbescherming.

Website Korte commentaar
Europese commissie Deze website biedt informatie over de Europese wetgeving inzake gegevensbescherming.
Hof van Justitie van de Europese unie Deze website geeft toegang tot de arresten van het Hof van Justitie inzake gegevensbescherming.
Europees Comité voor gegevensbescherming (European Data Protection Board, afgekort “EDPB”)

De EDPB zorgt ervoor dat de algemene verordening gegevensbescherming en de rechtshandhavingsrichtlijn consequent worden toegepast en zorgt voor Europese samenwerking, onder meer op het gebied van rechtshandhaving.

De richtsnoeren, aanbevelingen en best pratices van de EDPB bevatten zeer nuttige analyses en commentaren. Zo bevatten de Guidelines on Data Protection Officers ('DPO'), WP243 rev.01 concrete aanbevelingen en commentaren inzake de DPO.

Europese Toezichthouder voor gegevensbescherming (European Data Protection Supervisor, afgekort “EDPS”)

Een van de belangrijkste opdrachten van de EDPS Is het toezicht houden op de instellingen van de EU om hen te helpen een voorbeeldrol te spelen inzake de verwerking van persoonsgegevens.

In de praktijk gaat het met name om het publiceren van richtlijnen, het onderzoeken van klachten, het antwoorden op raadplegingen van de instellingen van de EU en het uitvoeren van audits op het gebied van gegevensbescherming.

Academische bronnen Korte commentaar
CiTip blog Deze blog bevat academische teksten over gegevensbescherming.
CRIDS Privacy & Data Protection Deze webpagina bevat academische teksten over gegevensbescherming.