Heeft jouw bedrijf een Data Protection Officer nodig?
In tegenstelling tot wat je vaak leest of hoort, moet niet elk bedrijf een Data Protection Officer aanwerven. Hoe zit dat voor jouw bedrijf?
Welke bedrijven moeten verplicht een Data Protection Officer hebben?
Of je al dan niet een DPO moet aannemen heeft niks te maken met de omvang van je bedrijf. Wél met het feit of je binnen drie categorieën van bedrijven en organisaties valt.
- Is jouw organisatie een overheidsinstantie of -orgaan (behalve het gerecht)?
- Is jouw bedrijf of organisatie hoofdzakelijk belast met de verwerking van bijzondere categorieën van gegevens zoals ras, politieke voorkeur, religieuze overtuiging of strafrechtelijke feiten?
- Is jouw bedrijf of organisatie hoofdzakelijk belast met gegevensverwerking die regelmatige en stelselmatige observatie van betrokkenen op grote schaal eisen?
Indien je op alle bovenstaande vragen “nee” antwoordde, is jouw bedrijf niet verplicht om een DPO te benoemen. Helaas blijven de omschrijvingen nog vrij vaag. Vandaar wat verduidelijking.
“Hoofdzakelijk” betekent dat dataverwerking tot de kernactiviteiten van de organisatie moet behoren. Het blijft voorlopig wel nog onduidelijk of met “kernactiviteiten” enkel winstgevende activiteiten bedoeld worden. In dat geval zouden bijvoorbeeld afdelingen zoals HR en IT niet onder de GDPR vallen, terwijl net deze afdelingen vaak wél op regelmatige en stelselmatige manier observatie vereisen.
“Op grote schaal” betekent dat het gaat om een aanzienlijke hoeveelheid aan persoonsgegevens op regionaal, nationaal of supranationaal niveau of een grote hoeveelheid betrokkenen”. Ook hier is dus interpretatie mogelijk. Daar zullen we allicht moeten wachten hoe de Belgische overheid deze interpretaties zal invullen.
Wat doet de Data Protection Officer?
Simpel gezegd controleert de DPO of alle klantengegevens correct worden bewaard, gebruikt en gedeeld. Hij of zij moet toezien dat de Europese en lokale regels inzake privacy en de privacy policy van het bedrijf worden nageleefd.
Daarnaast is de DPO het contactpunt voor de autoriteiten. Als jouw bedrijf bijvoorbeeld te maken krijgt met een datalek, is de DPO de contactpersoon voor de veiligheidsdiensten en de privacycommissie. De DPO informeert en adviseert je bedrijf of organisatie ook omtrent de GDPR-verplichtingen en staat in voor het trainen van werknemers en het uitvoeren van eventuele audits. Tenslotte is het de DPO die antwoordt op alle vragen over de gegevensverwerking en de rechten van de betrokkenen van wie de gegevens verwerkt worden.
Wie kan Data Protection Officer worden?
In de GDPR wordt niet beschreven welke specificaties gelden voor een DPO. Er staat nergens welk diploma hij of zij moet hebben en er is ook geen certificaat voorzien. De GDPR stelt enkel dat “de DPO moet beschikken over deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming”.
De Data Protection Officer hoeft ook niet per se een eigen werknemer te zijn. Ook experts van buiten jouw bedrijf komen in aanmerking. Er staat verder nergens dat DPO een full-time taak is: een bestaande werknemer kan/mag de rol van DPO op zich nemen, zolang zijn reguliere werk niet conflicteert met zijn taken als DPO.