Wanneer moet je als organisatie een Functionaris Gegevensbescherming aanstellen?

consulting-4405260_1280.jpg

Sinds de Algemene verordening gegevensbescherming (AVG) is ingevoerd zijn er discussies ontstaan in welke gevallen je als organisatie verplicht bent om een functionaris voor de gegevensbescherming aan te stellen. In dit artikel leggen we het uit.

Wat is een functionaris gegevensbescherming eigenlijk?

Een functionaris voor de gegevensbescherming (afgekort FG) is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Dit kan een medewerker vanuit de organisatie zijn, of een externe professional die wordt ingehuurd. De FG heeft voor de uitvoering van zijn taak bepaalde bevoegdheden die gelijkwaardig zijn aan de bevoegdheden voor toezichthouders uit afdeling 5.2 van de Algemene wet bestuursrecht. Dat zijn bevoegdheden zoals het vragen om inlichtingen, het inzage mogen hebben in alle stukken, het toegang hebben tot alle locaties waar persoonsgegevens worden verwerkt.

Wat is de wettelijke grondslag voor het aanstellen van een FG?

In de Algemene verordening gegevensbescherming staat in artikel 37 dat het aanstellen van een FG in drie situaties verplicht is.

3 situaties waarin het aanstellen van een FG verplicht is:

A. Overheden en publieke organisaties

Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de gemeenten en provincies, maar ook om bijvoorbeeld  onderwijsinstellingen. Een uitzondering is er gemaakt voor rechtbanken. Voor hen geldt de verplichte aanstelling van een FG niet.

B. Organisaties die op grote schaal individuen volgen

Voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen dienen ook een FG aan te stellen. Denk dan bijvoorbeeld aan organisaties die zich bezighouden met cameratoezicht en monitoring van iemands gezondheid via (online) devices.

C. Bijzondere persoonsgegevens

Wanneer organisaties het verwerken van bijzondere persoonsgegevens als kerntaak hebben zijn ze verplicht een FG te aan te stellen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden.

Richtlijnen voor de FG

De Europese privacytoezichthouders hebben in april 2017 richtlijnen opgesteld voor de FG (Guidelines on Data Protection Officers).

Moet je jouw FG registreren bij de Autoriteit Persoonsgegevens (AP)?

Ja, je moet jouw FG bij de Autoriteit Persoonsgegevens. Dit kan Aanmelden kan via het aanmeld- en aanmeldingsformulier FG.

#Aim2Secure

Hirschel HesselAim2secureLegal, wet-en-regelgeving