DPO aanstellen of niet?

De Algemene Verordening Gegevensbescherming (ook wel “GDPR”) heeft een bijzondere rol weggelegd voor de “functionaris gegevensbescherming” (ook wel “DPO”). Een DPO heeft een belangrijke adviserende rol en moet betrokken worden bij verschillende stappen in het complianceproces, zoals de effectenbeoordelingen en de audits.

Hoewel de figuur van de DPO in bepaalde EU Lidstaten reeds bestond, voert de GDPR thans voor het ganse EU-grondgebied een verplichting in voor bepaalde organisaties om er een aan te stellen. De verplichting geldt voor overheden, maar ook voor organisaties die aan monitoring doen of die bijzondere gegevens verwerken. Er bestaat – tot op vandaag – nog steeds verwarring over de toepassing van de voorwaarden. We lichten het daarom graag even toe.

Overheden, monitoring en/of gevoelige gegevens

Of de aanstelling van een DPO verplicht is, is te vinden in artikel 37 (1) van de GDPR, namelijk wanneer:

a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

De wetgever beoogde voornamelijk organisaties die persoonsgegevens verwerken waarbij de betrokkenen een bijzondere waarborg nodig hebben met betrekking tot de bescherming van hun privacy. Doorgaans zal het duidelijk zijn voor organisaties of zij al dan niet verplicht zijn tot de aanstelling van een DPO. Maar in bepaalde gevallen is er marge tot interpretatie. In die gevallen bieden de richtlijnen ter zake van het adviescomité “Article 29 Working Party” enige houvast.

“Overheid”

De aanstelling van een DPO is in eerste instantie verplicht voor “overheden”. Het maakt daarbij niet uit of het nu gaat om een federale, regionale, provinciale of gemeentelijke overheid. Bepaalde lidstaten kennen bovendien nog andere bestuursniveaus, zoals departementen of prefecturen.

Meer twijfel bestaat er omtrent de verplichting voor ondernemingen die een publieke functie uitoefenen. De WP29 gaat ervan uit dat wanneer burgers jegens een onderneming in een gelijkaardige positie terecht komen als jegens de overheid, dat er dan moet gesproken worden van een “overheid” in de zin van de GDPR. Dit is dan ongeacht of een dergelijke overheid gereglementeerd is door publiek, dan wel privaat recht.

Voorbeelden hiervan zijn ondernemingen die openbaar vervoer, nutsvoorzieningen, openbare omroepdiensten en openbare huisvesting aanbieden.

“Regelmatige en stelselmatige observatie”

Ook private organisaties zijn in twee hypotheses verplicht om een DPO aan te stellen. Een eerste betreft organisaties die hoofdzakelijk belast zijn met verwerkingsactiviteiten die een regelmatige en stelselmatige monitoring van betrokkenen vereist.

Om onder deze hypothese te vallen, moet de verwerkingsactiviteit (met monitoring) werkelijk een kerntaak zijn. Wat precies verstaan moet worden onder hoofdactiviteit of nevenactiviteit, is voor interpretatie vatbaar, ondanks de WP29-richtsnoeren. Als voorbeeld worden beveiligingsfirma’s aangehaald, wiens taak eveneens impliceert om met videobewaking te werken. Wanneer monitoring bijkomend van aard is, valt de DPO-verplichting weg. Organisaties voeren soms monitoring uit op hun werknemers of het gebruik van de IT-infrastructuur; dergelijke monitoring valt vermoedelijk buiten de toepassing van de DPO-verplichting.

De monitoring moet ook op “grote schaal” worden uitgevoerd. De term “grote schaal” leidt misschien wel tot de grootste marge tot interpretatie en wordt in de komende maanden en jaren ongetwijfeld verder uitgediept. Er moet alleszins rekening gehouden worden met (1) het aantal betrokkenen, (2) het datavolume, (3) de duurtijd van verwerking en bewaring en (4) de geografische reikwijdte.

Tot slot moet het gaan over een “regelmatige en stelselmatige” monitoring. Om te spreken over “regelmaat” moet de verwerking enigszins voortdurend, herhaaldelijk en repetitief of continu zijn. Monitoring is anderzijds ook “stelselmatig” als er een zekere methodiek, systematiek, planmatigheid of strategie aan de basis ligt (of achter schuil gaat).

“Bijzondere categorieën van gegevens”

Een tweede hypothese waarin private organisaties verplicht zijn om een DPO aan te stellen houdt de verwerking van de zogenaamde gevoelige gegevens in, zoals vermeld in artikel 9 GDPR, maar ook gegevens van betrokkenen omtrent hun strafrechtelijk verleden, zoals vermeld in artikel 10 GDPR).

De bedoelde gevoelige gegevens zijn de volgende: ras of etnie, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, syndicaal lidmaatschap, genetische gegevens, biometrische gegevens voor identificatie, gezondheidsgegevens, seksueel gedrag of seksuele geaardheid.

Net zoals bij de monitoring, moet de verwerking van dergelijke bijzondere gegevens werkelijk een kerntaak uitmaken van de verantwoordelijke organisatie. Als voorbeeld wordt verwezen naar de zorgverstrekkende diensten van een hospitaal, waarbij de verwerking van gezondheidsgegevens dermate essentieel is voor het verstrekken van medische zorg, dat het een kernactiviteit uitmaakt. Het bijhouden van ziekteverlet van werknemers binnen een organisatie zou hier buiten kunnen vallen.

De verwerking van bijzondere categorieën van gegevens moet andermaal op “grote schaal” worden uitgevoerd. Hiervoor verwijzen we naar het voorgaande. Volgens de WP29 moeten alleszins worden uitgezonderd, de patiëntengegevens van een individuele arts, kinesist of andere paramedicus, en de cliëntengegevens van advocaten.

Evaluatie

In bepaalde gevallen zal het overduidelijk zijn of een organisatie al dan niet verplicht is tot het aanstellen van een DPO. Als er echter twijfel is, wordt aangeraden om intern een evaluatiemoment in te lassen en alle in rekening genomen overwegingen goed te documenteren. Dit advies kadert in de algemene verantwoordingsverplichting die door de GDPR wordt ingevoerd.

En als de aanstelling van een DPO niet verplicht is…

… wordt een dergelijke aanstelling toch sterk aangeraden. Het helpt organisaties om de privacyhuishouding goed op orde te houden en zou garanties moeten bieden om eventuele complianceoefeningen tot een goed einde te brengen.

Indien een DPO niet verplicht is en organisaties kiezen evenmin voor een vrijwillige aanstelling, kunnen dergelijke organisaties er echter wel in alle vrijheid voor opteren om een privacyadviseur aan te stellen met gelijkaardige taken en bevoegdheden. Het aanstellen van dergelijk adviseur is niet gereglementeerd. Er wordt in dat geval aanbevolen om een andere titel of omschrijving toe te kennen dan “DPO” of “FGB”.

In een volgend artikel gaan we verder in op de vereisten van een DPO en zijn/haar takenpakket.

Mocht u vragen hebben omtrent privacy, gegevensbescherming of de aanstellen van een DPO, neem gerust contact met ons op: telefonisch op 02/721 13 00 of per email op andries@siriuslegal.be.