De experts van Agoria behandelen elk jaar ongeveer 30 000 vragen. In de rubriek ‘Ask an expert’ beantwoorden we geregeld een van die vragen. Hebt u ook een vraag? In de rubriek Contact kunt u via een ABC-lijst met onderwerpen de expert(s) zoeken die u kunnen helpen. U kunt ons uw vraag ook via ons Vraagformulier voorleggen.

Een specifieke verplichting die voortvloeit uit de nieuwe verordening aangaande bescherming van persoonsgegevens heeft betrekking op de aanstelling van een 'DPO' (Data protection officer, délégué à la protection des données, functionaris voor gegevensbescherming).

Vanaf de effectieve toepasselijkheid van de verordening, namelijk in mei 2018, zullen sommige bedrijven over iemand moeten beschikken die erop toeziet dat de verwerking van persoonsgegevens binnen het bedrijf de privacyregels naleeft. Daarom vereist de verordening dat een DPO een 'deskundig iemand is op het gebied van de wetgeving en praktijk inzake gegevensbescherming'. Hij of zij zal de contactpersoon zijn naar de Privacycommissie en naar de betrokken personen die een recht zoals inzage, verbetering, … wensen uit te oefenen. Voor het invullen van de functie heeft de verordening wel enige flexibiliteit voorzien. Een DPO-functie kan extern uitbesteed worden en voor een grote groep waar uw bedrijf deel van uitmaakt kan gezamenlijk 1 DPO aangesteld worden.

En ook niet elk Belgisch bedrijf zal een DPO moeten hebben. Het is slechts in een aantal gevallen verplicht. Wel laat de verordening nog een opening naar de lidstaten toe om verder te gaan dan die beperkte lijst. Het lijkt er niet op dat men in België de intentie heeft verder te gaan dan de verordening, dus artikel 37 is een goede basis.

Wanneer dient een bedrijf in een “DPO” te voorzien?

  • Organisaties die als verantwoordelijke of als verwerker hoofdzakelijk belast zijn met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;

  • Organisaties die als verantwoordelijke of als verwerker hoofdzakelijk belast zijn met de grootschalige verwerking van bijzondere categorieën van gegevens (zoals gezondheidsdata of geloofsovertuiging) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Door de verwijzing naar het woord “hoofdzakelijk” houden deze voorwaarden in een bedrijf dat persoonlijke data verwerkt geen DPO hoeft aan te stellen als deze processen geen onderdeel zijn van de kernactiviteiten van het bedrijf. Het bedrijf moet dan wel aan kunnen tonen dat de processen daadwerkelijk buiten de kernactiviteiten/core business van de organisatie vallen.

Sommige bedrijven zullen privacy hoog in het vaandel dragen en dat ook vertalen in de aanstelling van een DPO, zelfs al is het voor hen niet verplicht. Dit zal mogelijks een interactie met de Privacycommissie vergemakkelijken indien zich een incident voordoet, alsook tonen op een positieve wil en medewerking met het oog op privacycompliancy.