In zijn rol als adviseur op vlak van gegevensbescherming binnen organisaties is de DPO in zekere zin een behoeder van de persoonsgegevens van de burgers op het terrein. Die rol is dus van essentieel belang om te leiden naar een samenleving waarin privacy een realiteit is voor iedereen.

De DPO is ook een bondgenoot van de GBA. Het is voor de GBA dus van het allergrootste belang om de DPO te steunen in diens missie, bijvoorbeeld door hem praktische instrumenten ter beschikking te stellen. In 2020 heeft ze veel tijd en inspanningen geleverd om dit doel te realiseren.  

Toolbox

Eén van de prioriteiten van de Gegevensbeschermingsautoriteit of GBA is het bijstaan en coachen van DPO’s. Een DPO moet zeer diverse taken opnemen. Zeker voor kleinere organisaties is het niet evident om hun verplichtingen zoals beschreven in de Algemene Verordening Gegevensbescherming of AVG om te zetten in de praktijk. Daarom stelt de GBA documenten en ‘tools’ ter beschikking om DPO’s, maar ook verwerkingsverantwoordelijken en verwerkers, te helpen bij het implementeren van de AVG-verplichtingen. Ook de verantwoordingsplicht blijft belangrijk: verwerkingsverantwoordelijken en verwerkers moeten hun verwerkingen van persoonsgegevens uit te voeren in overeenstemming met de AVG en dit kunnen aantonen.  De documenten en tools van de GBA kunnen hierbij helpen.

Checklist en adviesaanvraag DPO

Het is belangrijk dat de DPO een volledig advies verleent op de verwerkingen van persoonsgegevens. Het document ‘adviesaanvraag DPO’, helpt organisaties om zo volledig mogelijke informatie over een verwerking aan de DPO te communiceren. Op die manier beschikt de DPO over alle nodige informatie om een zo goed mogelijk advies te geven. Daarenboven kan het een manier zijn om de samenwerking tussen de DPO en de organisatie zelf te verbeteren. De ‘checklist DPO’ kan de DPO zelf gebruiken bij het verlenen van het advies. Zo ziet de DPO geen enkel aspect van de AVG over het hoofd.

Presentatie beginselen DPO

Een belangrijke taak van de DPO is informeren aan iedereen binnen de organisatie waar deze is aangesteld over de verplichtingen van de AVG. Informatiesessies geven en sensibiliseringsacties organiseren zijn onmisbaar in het takenpakket van de DPO. De presentatie over beginselen kan de DPO gebruiken om de organisatie en medewerkers te informeren over de beginselen van de AVG. In de presentatie zit een puzzelspel om zo de interactie en leergierigheid bij de medewerkers te vergroten.

De 10 basisregels betreffende de functionaris voor gegevensbescherming

Vanuit de praktische ervaringen van de GBA werden 10 basisregels naar voor geschoven over de DPO. Deze 10 basisregels doen geen afbreuk aan artikelen 37 tot en met 39 van de AVG en aan de richtlijnen van het Europees Comité voor gegevensbescherming. Deze basisregels dienen om verwerkingsverantwoordelijken en verwerkers te ondersteunen bij de invulling van de functie van de DPO.

DPO Connect

Eind 2020 heeft de EC het project DPO-Connect geselecteerd voor financiering met middelen van haar programma Recht, Gelijkheid en Burgerschap voor de jaren 2020-2024. Het betreffende project zal vanaf 2021 onder leiding van de GBA en in samenwerking met partners DPO-pro en VUB een samenwerkingsplatform voor DPOs ontwikkelen.

Een aandachtspunt in de controledossiers

Vanwege zijn essentiële rol is de DPO ook een belangrijk aandachtspunt voor de Inspectiedienst en de Geschillenkamer.

Zo stelt de Inspectiedienst tijdens zijn onderzoeken systematisch verschillende vragen, zoals bijvoorbeeld: Beschikt de organisatie over een functionaris voor gegevensbescherming, was hij of zij betrokken bij de ontwikkeling van de verwerking die wordt onderzocht, of wat is zijn of haar positie binnen de organisatie?

In haar beslissingen voor 2020 heeft de Geschillenkamer ook aspecten van het begrip DPO kunnen verduidelijken, met name door zich uit te spreken over de vereiste bevoegden voor deze functie (beslissing 15/2020) en het belang van de onafhankelijkheid van de functionaris binnen een organisatie (beslissing 18/2020).

In haar beslissing 18/2020 heeft de Geschillenkamer, na voorafgaand onderzoek van de Inspectiedienst een belangenconflict vastgesteld, aangezien een functionaris voor gegevensbescherming eveneens verantwoordelijk was voor compliance, risk management en interne audit. Hiermee kon hij niet in volle onpartijdigheid adviseren over verwerkingen waarvoor hij eindverantwoordelijkheid droeg. Deze beslissing heeft tot veel reacties geleid, binnen België en daarbuiten, waarbij steeds de betekenis aan de orde kwam naar de mogelijkheden om de DPO taak te cumuleren met ander functies binnen een organisatie.