Door de invoering van de Europese privacywet kunt je als ondernemer verplicht zijn om een functionaris voor gegevensbescherming ( Data Protection Officer – DPO) aan te stellen. Indien je hiertoe verplicht bent, is het noodzakelijk dat je jouw onderneming zo inricht dat deze functionaris zijn werkzaamheden overeenkomstig de privacywetgeving kan verrichten.
Voor wie is een functionaris voor gegevensbescherming verplicht?
De verplichting om een functionaris voor gegevensbescherming aan te stellen bestaat onder andere voor organisaties die regelmatig op grote schaal bijzondere persoonsgegevens verwerken en waarbij dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting of geloofsovertuiging.
Denk bijvoorbeeld aan het op grote schaal verwerken van gegevens over iemands gezondheid door zorgaanbieders. Denk hierbij ook aan het besluit elektronische gegevensverwerking door zorgaanbieders van 10 november 2017 en het gebruik van een elektronisch uitwisselingssysteem, zoals een HIS, EPD of eHealth applicatie. Door de samenhang van deze wetgeving en de AVG wordt de zorgaanbieder verplicht een functionaris voor gegevensbescherming aan te stellen.
Er dient intern gedocumenteerd onderzoek plaats vinden om de noodzaak tot het al dan niet aanstellen van een functionaris voor gegevensbescherming vast te kunnen stellen. Gelet op mogelijke wijzigingen binnen de organisatie, is dit een dynamisch proces. Het staat de ondernemer vrij om vrijwillig een functionaris voor gegevensbescherming aan te stellen.
Taken en positie van de functionaris voor gegevensbescherming
De functionaris voor gegevensbescherming heeft een groot aantal wettelijke taken. Hij is toezichthouder voor o.a.:
- Juiste toepassing en naleving van de AVG;
- de verantwoordelijke of zijn plaatsvervanger ongevraagd adviseren;
- de verantwoordelijke of zijn plaatsvervanger waarschuwen bij risco’s en verstoringen;
- het privacybeleid van de onderneming;
- bewustmaking en opleiding van de medewerkers in de organisatie;
- informeren en adviseren over de verplichtingen die voortvloeien uit de AVG;
- contactpersoon voor de toezichthoudende autoriteit.
De functionaris is niet zelf aansprakelijk als de verordening wordt overtreden.
De positie van de functionaris is veiliggesteld in de AVG verordening. Bij álle aangelegenheden die verband houden met de bescherming van persoonsgegevens moet de functionaris naar behoren en tijdig worden betrokken en om advies worden gevraagd. Dit houdt in dat de functionaris toegang moet hebben tot persoonsgegevens en verwerkingsactiviteiten. De verantwoordelijke of zijn plaatsvervanger stelt de benodigde middelen voor het kunnen vervullen van de taken aan de functionaris ter beschikking. Indien van het advies van de functionaris wordt afgeweken, dient dit te worden gedocumenteerd.
Bescherming van de functionaris voor gegevensbescherming
De functionaris moet zijn werk onafhankelijk kunnen verrichten, er mogen geen instructies worden gegeven met betrekking tot de uitvoering van de taken. Ook mag de functionaris niet worden gestraft voor de uitvoering van zijn taken. De functionaris geniet dezelfde bescherming als leden van de ondernemingsraad en is gehouden tot geheimhouding en vertrouwelijkheid. Als de functionaris ook nog andere werkzaamheden verricht, mogen deze niet tot een belangenconflict leiden.
Aanmelding van de functionaris voor gegevensbescherming
Ondernemingen, Organisaties en Verenigingen moeten hun FG aanmelden bij de autoriteit Persoonsgegevens (AP). Aanmelden kan via het Aanmeldingsformulier functionaris gegevensbescherming (FG).
Let op: alle FG-aanmeldingen die niet met dit webformulier zijn gedaan, zijn per 25 mei 2018 vervallen. Op het aanmelden van de FG is het Privacystatement FG-register van toepassing.