Wie aanwijzen als functionaris?

 Cumulatie van functies door de functionaris: strikte onafhankelijkheid en totale afwezigheid van belangenverstrengeling zijn een must


De functionaris moet over een gespecialiseerde kennis beschikken van het recht en de praktijken inzake gegevensbescherming alsook over de capaciteit om de taken bedoeld in artikel 39 uit te voeren, wat ruimer is dan de loutere invoering van een passende beveiliging en de verplichtingen in verband met de veiligheid. In het algemeen dient het niveau van gespecialiseerde kennis bepaald te worden in functie van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de verwerkte gegevens vereist is. Het zal dus aangepast zijn aan de gevoeligheid, de complexiteit en het volume van verwerkte gegevens, indien de verwerkingen occasionele of regelmatige doorgiften buiten de EU omvatten enz. Naast een expertiseniveau inzake gegevensbescherming is een kennis van de activiteitensector en de organisatie van de verwerkingsverantwoordelijke of de verwerker essentieel.

Hoewel de functionaris andere functies mag hebben, mag deze alleen andere taken en verantwoordelijkheden opgelegd krijgen als deze niet tot een belangenconflict leiden. Dit houdt in dat de functionaris binnen het orgaan geen positie mag hebben die ertoe leidt dat hij het doel van en de middelen voor het verwerken van persoonsgegevens bepaalt. Conflicterende functies kunnen algemeen gesproken directieposten omvatten, maar kunnen eveneens lagere functies in een organisatorische structuur omvatten. De GBA beveelt de betrokken verwerkingsverantwoordelijken en verwerkers aan hun keuze, alsook de functie van functionaris, te documenteren. De acties die worden ondernomen en de documenten die hiervoor worden opgemaakt zullen overigens regelmatig opnieuw onderzocht en geactualiseerd moeten worden om een aanhoudende gegevensbescherming te verzekeren.

De Autoriteit krijgt regelmatig de vraag of de veiligheidsadviseur, die in sommige organisaties aangewezen moet worden, ook als functionaris voor gegevensbescherming kan worden aangesteld. De AVG verbiedt dit in principe niet. De verwerkingsverantwoordelijke en de verwerker, die een functionaris wensen of moeten aanwijzen, moeten onderzoeken of een cumul met een andere functie of de overstap van de ene functie naar de andere mogelijk is. Om hen te begeleiden bij deze analyse en het kiezen van een functionaris in overeenstemming met de AVG publiceerde de Autoriteit hieromtrent een aanbeveling.

De gegevens van de functionaris moeten meegedeeld worden aan de toezichthoudende autoriteit.

Vragen

Nee. Volgens de AVG heeft de toezichthoudende autoriteit niet de bevoegdheid gekregen om de keuze van de verwerkingsverantwoordelijke of de verwerker voor een functionaris te valideren. De AVG voorziet enkel in de mededeling van de contactgegevens van de functionaris aan de toezichthoudende autoriteit (artikel 37.7). Deze mededeling van de contactgegevens dient geenszins beschouwd te worden als een vraag om akkoord of validatie van de toezichthoudende autoriteit met betrekking tot deze aanduiding. Een dergelijke benadering zou strijdig zijn met het principe van de verantwoordingsplicht.

De AVG staat beide mogelijkheden toe. De functionaris voor gegevensbescherming kan een werknemer van de betrokken verwerkingsverantwoordelijke of verwerker zijn. Deze laatsten kunnen ook een beroep doen op een externe functionaris via een dienstverleningsovereenkomst.  In het laatste geval kan een zelfde functionaris voor meerdere ondernemingen of overheidsorganen werken, mits hij uiteraard voldoende tijd kan besteden aan elk van zijn "klanten" en er voor hem geen belangenconflict ontstaat.

De AVG stelt dat de DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen. Er zijn geen specifieke diploma's of getuigschriften vereist.

Nee. Om hem in de mogelijkheid te stellen zijn taak naar behoren uit te voeren en de eis van onafhankelijkheid te waarborgen, is een zekere stabiliteit echter wenselijk.

Nee. Het is niet mogelijk een volledige lijst van onverenigbare functies op te stellen. Of bepaalde functies al dan niet verenigbaar zijn, hangt uiteindelijk af van de concrete situatie.

Dit heeft het voordeel dat de verschillende rollen en taken binnen elke entiteit op flexibele wijze – binnen de in de AVG vastgestelde grenzen – kunnen worden geïnterpreteerd. De Groep Artikel 29 heeft richtsnoeren opgesteld voor de aanwijzing van de functionaris voor gegevensbescherming, waarin de voorwaarden inzake onafhankelijkheid en het verbod op belangenconflicten worden uiteengezet.

Met name wat betreft de cumulatie van de rol van de functionaris voor gegevensbescherming met andere functies, waaronder die van veiligheidsadviseur, heeft de Commissie voor de bescherming van de persoonlijke levenssfeer, de voorloper van de huidige GBA, aanbeveling nr. 04/2017 uitgebracht.

De GBA beveelt verwerkingsverantwoordelijken en verwerkers aan hun analyse en hun definitieve keuze te documenteren.

Er moet worden geanticipeerd op de afwezigheid van een functionaris door in een procedure te voorzien bij diens afwezigheid, die in de praktijk van korte of lange duur kan zijn en gepland of volledig onverwacht kan zijn. Het is namelijk de verantwoordelijkheid van de verwerkingsverantwoordelijke/verwerker in kwestie om de continuïteit van hun verplichtingen in overeenstemming met de AVG te waarborgen en hiervan, in overeenstemming met het beginsel van de verantwoordingsplicht, aan de Gegevensbeschermingsautoriteit (GBA) het bewijs te kunnen leveren.

De concrete modaliteiten voor het beheer en de formalisering (dienstnota, akkoord, enz.) van deze afwezigheid vallen onder de verantwoordelijkheid van de betrokken verwerkingsverantwoordelijke/verwerker, met inachtneming van de vereisten voor de uitoefening van de functie van functionaris. De procedure moet regelmatig worden geëvalueerd en geactualiseerd.

Zonder in te gaan op de vele mogelijke situaties, moeten de onderstaande principes als leidraad dienen:

  • In ieder geval doet de afwezigheid van de functionaris niets af aan de verplichtingen van de betrokken verwerkingsverantwoordelijke/verwerker. Kortom, het moet werken: dit betekent met name dat de betrokkenen een antwoord moeten krijgen op hun vragen en op hun verzoeken om hun rechten uit te oefenen binnen de in de AVG vastgestelde termijnen. Ook moeten de contacten met de GBA worden gewaarborgd. Het primaire doel is dat de functionaris-functie gewaarborgd wordt. Bij afwezigheid van de functionaris moet de functie derhalve worden uitgeoefend door een persoon die over de kwalificaties en het statuut beschikt zoals bepaald in de AVG of die deze het dichtst benadert, om de effectieve continuïteit van de functie te waarborgen.
  • Bij het beheer van de afwezigheid van de functionaris zal concreet rekening gehouden worden met factoren zoals: de duur van de afwezigheid, het soort handelingen die door de functionaris worden verricht en de toepasselijke of verwachte termijnen, de mate van risico van de door de betrokken verwerkingsverantwoordelijke/verwerker uitgevoerde verwerkingen, de omvang van de structuur van de verwerkingsverantwoordelijke/verwerker, het bestaan binnen de structuur van andere functionarissen en elke andere relevante contextuele parameter, enz. Dit kan leiden tot een eenvoudig beheer van de afwezigheid om ervoor te zorgen dat de functie door anderen wordt uitgevoerd (intern of door tijdelijk gebruik te maken van de diensten van een externe functionaris bijvoorbeeld) of tot een noodzakelijke vervanging van de functionaris, met name in het geval van langdurige afwezigheid.
  • Tijdens de afwezigheid van de functionaris gelden de regels inzake vertrouwelijkheid en gegevensbescherming op de werkplek. In dit verband is het bestaan van een functioneel (niet op naam) contactadres een pluspunt.
  • Merk op dat de contactgegevens van de functionaris meegedeeld moeten worden aan de toezichthoudende autoriteit. Aan de betrokkenen kan een niet op naam gesteld functioneel adres worden meegedeeld. Aan de toezichthoudende autoriteit moeten - zoals te lezen staat in het meldformulier voor de functionaris voor gegevensbescherming dat beschikbaar is op de website van de GBA - de voor- en achternamen van de functionaris meegedeeld worden evenals een contactadres.

De concrete modaliteiten in verband met het afwezigheidsbeheer zullen afhangen van de al dan niet bij de GBA te vervullen formaliteiten. Indien de afwezigheid van de functionaris wordt beheerd zonder dat een nieuwe functionaris is aangewezen en de GBA via het meegedeelde contactadres nog steeds contact kan opnemen met de persoon die instaat voor de opvolging bij afwezigheid van de functionaris, dan moet deze afwezigheid niet gemeld worden.

Indien dit echter niet het geval is, of indien u tot de conclusie komt dat uw functionaris moet worden vervangen door een nieuwe functionaris (bijvoorbeeld wegens een langdurige afwezigheid), moet deze vervanging aan de GBA worden gemeld. Het vakje "Gelieve dit vakje te selecteren indien deze mededeling een wijziging van een eerdere melding betreft" moet dan aangevinkt worden.

Gezien de verplichting voor verwerkingsverantwoordelijken en de verwerkers om de contactgegevens van hun functionaris voor gegevensbescherming aan de toezichthoudende autoriteit te verstrekken, beschikt de Autoriteit over een lijst van functionarissen voor gegevensbescherming. Deze lijst is niet bedoeld voor het publiek, maar wel om de toezichthoudende autoriteit in staat te stellen contact op te nemen met de DPO bij de uitoefening van zijn taken, die met name een toezichthoudend karakter hebben.