Als onderneming is men in bepaalde gevallen verplicht om een DPO (Data Protection Officer) aan te stellen. Deze zorgt ervoor dat de GDPR (General Data Protection Regulation of ook de Algemene Verordening Gegevensbescherming (AVG) genoemd) wordt nageleefd en is een belangrijke schakel in de verantwoordingsvereiste die hieruit voortvloeit. Tevens draagt de DPO verantwoordingsplicht en is deze de contactpersoon ten aanzien van de GBA (Gegevensbeschermingsautoriteit) en de betrokkenen.
In 2023 is het de prioriteit voor de GBA om toe te zien op de controle van de aanstelling van een DPO. Zo zal de GBA de DPO ondersteunen op het vlak van preventieve acties, met name via het benadrukken van de rol van de DPO bij de uitoefening van de rechten van klagers. Daarnaast zal de GBA de DPO steunen op het vlak van controle. Zo zal de inspectiedienst van de GBA de plaats van de DPO in organisaties die het voorwerp van een onderzoek uitmaken gaan onderzoeken.
Het is dus belangrijk dat elke onderneming een DPO aanstelt wanneer zij onder de gevallen valt waarbij een DPO aangesteld moet worden.
Conform art. 37, lid 1 AVG moet er verplicht een DPO worden aangesteld in drie gevallen:
-
- Wanneer de verwerking van persoonsgegevens door een overheidsinstantie of overheidsorgaan wordt verricht;
- Wanneer de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (bv verwerking van patiëntengegevens in een ziekenhuis);
- Wanneer de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met grootschalige verwerking van bijzondere categorieën van gegevens (bv persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
Een DPO kan zowel een interne als externe persoon zijn van de onderneming die deze aanstelt. Doch wanneer men een interne DPO aanstelt, moet men erop toezien dat er geen belangenconflict voorhanden is tussen de verwerkingsverantwoordelijke en de DPO. Dit wilt op zijn beurt zeggen dat een DPO ten allen tijde zijn taken en verplichtingen onafhankelijk moet vervullen.
Bovendien zijn er verschillende zaken waarmee rekening moet worden gehouden wanneer men een DPO wil aanstellen. Het is namelijk zo dat een DPO wordt aangeduid op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming, alsook zijn vermogen om wettelijke taken te vervullen.
Wanneer een onderneming verzaakt aan zijn plicht om een DPO aan te stellen, riskeert deze onderneming een administratieve geldboete opgelegd door de Gegevensbeschermingsautoriteit. Daarnaast riskeren ze een schorsing of definitieve stopzetting van hun verwerkingsactiviteiten.
Bron: legalnews.be; persbericht 15.11.2022 gegevensbeschermingsautoriteit ‘de GBA stelt haar prioriteiten voor het jaar 2023 vast’; AVG.