Een Functionaris gegevensbescherming (FG) is grond van de Algemene Verordening Gegevensbescherming (AVG) verplicht voor bepaalde bedrijven. Het goede nieuws is dat je dus niet altijd verplicht bent een FG aan te stellen. Desalniettemin kan het soms lonen om – ook wanneer dit niet verplicht is – een onafhankelijke FG aan te stellen. Stel je geen FG aan terwijl je dit wel had moeten doen? Dan kun je een boete tot 10 000 000 EUR verwachten of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Klinkt niet goed, toch? Na deze blog weet je of je een FG nodig hebt en kun je weer rustig slapen.
Wat is het voordeel van een FG?
Een goede (en daadwerkelijk onafhankelijke) FG helpt je bij het ontwikkelen en implementeren van het juiste privacybeleid. Een FG vervult bovendien de volgende taken:
- hij informeert en adviseert de verwerkingsverantwoordelijke, verwerker en eventuele werknemers over hun verplichtingen op het gebied van privacy;
- hij ziet toe op de naleving van de AVG en het privacybeleid;
- hij wijst de verantwoordelijkheden toe van het bij de verwerking betrokken personeel en traint het personeel waar nodig;
- hij verstrekt advies bij een DPIA en ziet toe op de uitvoering daarvan;
- hij werkt samen met de AP en is het contactpunt.
Wanneer is een FG nodig?
Je dient een FG aan te stellen in drie situaties:
- Wanneer je een overheidsinstantie of -orgaan bent (rechtbanken zijn uitgezonderd);
- Wanneer je hoofdzakelijk op grote schaal aan regelmatige en stelselmatige observatie van betrokkenen doet;
- Wanneer je hoofdzakelijk op grote schaal bijzondere persoonsgegevens verwerkt (zoals gegevens over gezondheid, ras of etnische afkomst, politieke opvattingen of geloofsovertuiging).
Hoofdzakelijk houdt volgens de WP29 de “sleutelactiviteiten die nodig zijn om de doelen van de verwerkingsverantwoordelijke of verwerker te bereiken”, in. Ook organisaties die zich niet bezig houden met data-analyse kunnen hieronder vallen wanneer de gegevensverwerking als een onlosmakelijk onderdeel van de activiteiten van de verwerkingsverantwoordelijke of verwerker kan worden beschouwd.
Op grote schaal refereert naar het aantal betrokkenen (en dus niet de omvang van het bedrijf). Wanneer een bedrijf slechts twee medewerkers heeft en een groot klantenbestand met bijzondere persoonsgegevens beheert, kan het verplicht zijn een FG aan te stellen. Er bestaat dus géén vrijstelling voor kleine bedrijven!
Volgens de WP29 moet met het volgende rekening worden gehouden:
- Het aantal betrokkenen in kwestie
- Het datavolume
- De duur van de gegevensverwerking
- De geografische omvang van de verwerkingsactiviteit
Regelmatige en stelselmatige observatie van betrokkenen houdt alle vormen van tracking via het internet en profilering in, maar is niet beperkt tot online tracking.
Tot slot ben je verplicht een FG aan te stellen wanneer wetgeving van een lidstaat dit vereist.
In veel gevallen is het duidelijk of een FG wel of niet verplicht is. Twijfel je? Zorg er dan voor dat je een heldere interne analyse vastlegt om te bepalen of een FG vereist is voor jouw bedrijf. Zo kun je aantonen aan de toezichthouder dat je alle factoren hebt afgewogen om tot het besluit van het wel of niet aanstellen van een FG te komen.
Voorbeelden
Je weet nu onder welke omstandigheden een FG verplicht moet worden aangesteld. Laten we eens naar een aantal voorbeelden kijken:
Een beveiligingsbedrijf dat verantwoordelijk is voor de bewaking en monitoring van winkelcentra en openbare ruimtes.
De kernactiviteit van het beveiligingbedrijf is zonder twijfel het bewaken van ruimtes. Een FG moet verplicht worden aangesteld.
Een start-up in fietsverhuur voor particulieren vraagt zich af of ze een FG moeten aanstellen. Ze hebben enkele medewerkers in dienst en verwerken persoonsgegevens vanwege de salarisadministratie.
De salarisadministratie kan hier niet als de kernactiviteit van de start-up worden beschouwd. Een FG is niet vereist.
Een strafrechtadvocaat vraagt zich af of hij een FG dient aan te stellen, omdat hij veel gevoelige persoonsgegevens (namelijk strafrechtelijke gegevens) verwerkt.
Had hij zich maar in het privacyrecht verdiept (grapje natuurlijk)! Weliswaar komt de desbetreffende advocaat regelmatig in aanraking met strafrechtelijke gegevens, maar het betreft geen verwerking op grote schaal. Volgens overweging 91 van de AVG mag de verwerking van persoonsgegevens niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat.
Conclusie: Het loont de moeite om na te gaan of jouw bedrijf een FG nodig heeft en er – indien nodig – een aan te stellen. Wees je ervan bewust dat de beoordeling of een FG moet worden aangesteld, niet een eenmalige oefening is: door veranderingen in jouw bedrijf of de regelgeving kan deze beoordeling moeten worden aangepast.
Heb je meer vragen over dit onderwerp of zoek je een onafhankelijke FG voor jouw bedrijf? Neem dan gerust contact met ons op. Wij kunnen ook de rol van FG voor jouw bedrijf vervullen.