De Algemene Verordening Gegevensbescherming (AVG) beschrijft de rol van Functionaris voor de Gegevensbescherming (FG), oftewel de Data Protection Officer (DPO). Een FG is een interne of externe toezichthouder op de naleving van de AVG binnen een organisatie. De AVG stelt het aanstellen van een FG in een drietal gevallen verplicht voor specifieke organisaties of wanneer een bepaald type verwerking van persoonsgegevens wordt verricht:
1. Publieke organisaties
Overheidsorganisaties- en organen zijn verplicht een DPO aan te stellen, met uitzondering van gerechten bij uitoefening van hun rechterlijke taken.
2. Observerende organisaties
Organisaties die hoofdzakelijk zijn belast met verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen, zijn verplicht een DPO aan te stellen. De werkgroep van Europese privacytoezichthouders (WP29) geeft nadere duiding aan ‘observatie’ en ‘regelmatig’. Een observatie wordt als ‘regelmatig’ gekwalificeerd als er voortdurend of gedurende een bepaalde periode met bepaalde tussenpozen geobserveerd wordt, als er terugkerend of op vaste tijden herhaald geobserveerd wordt, of als een constant of periodiek geobserveerd <wordt. Oftewel: als een organisatie op enigerlei wijze op grote schaal observeert, dient er een DPO aangesteld te worden. En wat betekent “op grote schaal” dan? Bij de bepaling of er sprake is van ‘grootschalige verwerking’ dienen vier factoren meegewogen te worden: het aantal betrokkenen (cijfermatig of op basis van een percentage), de hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens; de duur of permanentie, en de geografische reikwijdte. Vooralsnog zijn er geen harde grenswaarden aangegeven en dient iedere organisatie zelf de afweging te maken, maar het moge duidelijk zijn dat in de loop van de tijd jurisprudentie gaat zorgen voor duidelijkere bepaling van de uitkomst van de afweging of een organisatie vanwege haar observatie een DPO dient te hebben of niet.
3. Grootschalig verwerkende organisaties
Organisaties waarvan één van de kernactiviteiten is het grootschalig verwerken van (bijzondere) persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, zijn verplicht een DPO aan te stellen. De AVG stelt geen harde cijfermatige criteria voor het aanstellen van een FG. De bedrijfsgrootte of het aantal medewerkers van een instelling staat los van de eventuele verplichting een FG aan te wijzen.
En andere organisaties dan?
Nadere Europese of nationale wetgeving kan voorschrijven dat het aantal verplichte aanstellingen wordt uitgebreid. Volgens de Autoriteit Persoonsgegevens (AP) is het nog onduidelijk of daar in Nederland gebruik van gemaakt gaat worden.
Als een organisatie niet door de AVG verplicht wordt een FG aan te stellen, mag zij dit alsnog vrijwillig doen. De WP29 moedigt vrijwillige benoeming aan. Een FG die niet vanuit een verplichting maar op basis van een vrijwillige keuze van de organisatie is aangesteld, dient zich aan dezelfde regels en kaders te houden als een FG die wel verplicht is aangesteld.
Het hebben van een FG kan voordelen met zich meebrengen voor een organisatie. De FG kan fungeren als onafhankelijke toezichthouder op naleving van de AVG en als direct aanspreekpunt voor de AP. De FG kan adviseren met betrekking tot de risico’s van een gegevensverwerking, en kan een aanspreekpunt zijn voor de betrokkenen bij uitoefening van hun rechten tegenover de verwerkingsverantwoordelijke. En bij een interne of externe audit kan de FG een organisatie taken uit handen nemen.
Raad & Data is een voorstander van het aanstellen van een FG voor iedere organisatie. Dat hoeft bij lange na niet altijd een fulltime functie te zijn, en de benodigde onafhankelijkheid makt het het overwegen waard om die rol te beleggen bij een externe partij.