Documentatie DPO

De functionele onafhankelijkheid van de DPO is essentieel en moet worden gewaarborgd door zijn werkgever of cliënt. De leden 3, 5 en 6 van artikel 38 AVG dragen daartoe bij.

Er is sprake van een belangenconflict bij de DPO in de zin van artikel 38.6 AVG als de DPO taken krijgt waarbij hij de doeleinden en middelen van de verwerking bepaalt.

Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 136/2023 van 28 september 2023 inzake de verwerking van persoonsgegevens in het kader van een fraudeonderzoek

De DPO moet naar behoren en tijdig betrokken worden (= toepassing van artikel 38.1 AVG). De DPO moet adviseren en controleren (= toepassing van artikel 39.1 AVG)

• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 110/2023 van 9 augustus 2023 inzake de publicatie van tuchtverslagen enerzijds en een leerlingenbevraging anderzijds
• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 162/2022 van 16 november 2022 inzake het delen van logiesgegevens via het platform Airbnb
• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 45/2022 van 30 maart 2022 inzake de vervaltermijnen van de SIDIS SUITE databank

Elk van de opgesomde elementen in de paragraaf voorafgaand aan punt 62 geeft aanleiding tot de vaststelling van een inbreuk op artikel 39, lid 1, van de AVG, aangezien uit deze punten blijkt dat de verwerkingsverantwoordelijke onvoldoende waarborgt dat de taken door de DPO adequaat worden uitgevoerd.

De DPO moet betrokken worden bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Het volstaat niet de DPO er pas bij te betrekken wanneer de Gegevensbeschermingsautoriteit contact opneemt.

De regels inzake de DPO helpen de DPO om zijn taken uit te voere

• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 41/2020 van 29 juli 2020 inzake recht van inzage bij de voormalige werkgever
• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 45/2022 van 30 maart 2022 inzake de vervaltermijnen van de SIDIS SUITE databank

De volgende aspecten moeten in aanmerking worden genomen:

• Actieve ondersteuning van de functie van de DPO door het hoger management;
• Voldoende tijd voor de DPO om zijn taken uit te voeren;
• Adequate ondersteuning in termen van financiële middelen, infrastructuur (bedrijfsruimten, uitrustingen, apparatuur) en personeel, in voorkomend geval;
• Officiële bekendmaking van de aanwijzing van de DPO aan alle personeelsleden ;
• Noodzakelijke toegang tot andere diensten, zoals personeelszaken, de juridische dienst, IT, veiligheid, enz.;
• Voortgezette opleiding;
• Gezien de omvang en de structuur van de organisatie kan het nodig zijn een DPO-team (een DPO met personeel) in te stellen

• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 18/2020 van 28 april 2020 inzake verantwoordelijkheid bij gegevenslekken en positie functionaris gegevensbescherming
• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 141/2021 van 16 december 2021 inzake de uitoefening van de rechten van de betrokkene met betrekking tot de informatiesystemen van een bank
• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 56/2021 van 26 april 2021 inzake onrechtmatige raadpleging van persoonsgegevens en weigering van het recht van inzage

De DPO van een organisatie kan niet tegelijk directeur van die organisatie zijn.

De cumulatie van de functies van DPO en CISO (wat een afkorting is voor Chief Information Security Officer) leidt niet tot een belangenconflict als de DPO of CISO niet verantwoordelijk is voor een operationele afdeling.

• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 15/2020 van 15 april 2020 inzake de verwerking van de persoonsgegevens van huurders via de belastingaangifte door een gemeente
• Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 73/2020 van 13 november 2020 inzake het niet naleven van meerdere beginselen van gegevensverwerking waaronder die van rechtmatigheid en transparantie

Een uitgebreide kennis van de interne informatiesystemen en kennis van alle bedrijfsprocessen kunnen een meerwaarde betekenen voor de uitoefening van de functie van DPO. Kennis van de wetgeving inzake gegevensbescherming is echter een vereiste, zeker met het oog op de uitoefening van de taken van de DPO.

De verwerkingsverantwoordelijke en de verwerker moeten hun keuze voor een DPO verantwoorden. De verwerkingsverantwoordelijke en de verwerker hebben immers de plicht te voldoen aan artikel 37.5 van de AVG waarin is bepaald dat de DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

De EDPB zorgt ervoor dat de algemene verordening gegevensbescherming en de rechtshandhavingsrichtlijn consequent worden toegepast en zorgt voor Europese samenwerking, onder meer op het gebied van rechtshandhaving.

De richtsnoeren, aanbevelingen en best pratices van de EDPB bevatten zeer nuttige analyses en commentaren. Zo bevatten de Guidelines on Data Protection Officers ('DPO'), WP243 rev.01 concrete aanbevelingen en commentaren inzake de DPO.

Een van de belangrijkste opdrachten van de EDPS Is het toezicht houden op de instellingen van de EU om hen te helpen een voorbeeldrol te spelen inzake de verwerking van persoonsgegevens.

In de praktijk gaat het met name om het publiceren van richtlijnen, het onderzoeken van klachten, het antwoorden op raadplegingen van de instellingen van de EU en het uitvoeren van audits op het gebied van gegevensbescherming.