Wat zijn de taken van de functionaris voor gegevensbescherming?

De functionaris voor gegevensbescherming (DPO) is onder meer belast met het toezien op de naleving van de AVG binnen zijn organisatie.


Toezicht op de naleving van de AVG

Artikel 39, lid 1, onder b) van de AVG belast de functionaris onder meer met de taak om toe te zien op de naleving van de AVG. De DPO zal de verwerkingsverantwoordelijke of de verwerker helpen om na te gaan of de AVG intern wordt nageleefd. In het kader van dit toezicht op de naleving van de AVG kunnen de functionarissen onder andere:

  • informatie verzamelen om de verwerkingsactiviteiten te identificeren;
  • de naleving van de verwerkingsactiviteiten analyseren en controleren;
  • aan de verwerkingsverantwoordelijke of de verwerker informatie en advies verstrekken en aanbevelingen doen.

Een rol voor de functionaris bij de gegevensbeschermingseffectbeoordelingen

Volgens artikel 35, lid 1, van de AVG is het de verantwoordelijkheid van de verwerkingsverantwoordelijke en niet van de functionaris om, indien nodig, een gegevensbeschermingseffectbeoordeling uit te voeren. De functionaris kan echter een belangrijke en zeer nuttige rol spelen bij het ondersteunen van verwerkingsverantwoordelijke. Zo geeft artikel 39, lid 1, onder c), van de AVG aan de functionaris de taak om advies te verstrekken over de gegevensbeschermingseffectbeoordeling en toe te zien op de uitvoering daarvan in overeenstemming met artikel 35.

Samenwerken met de GBA en optreden als contactpunt voor de uitoefening van de rechten van de betrokkenen

In overeenstemming met artikel 39, lid 1, onder d) en e) van de AVG moet de functionaris met de toezichthoudende autoriteit samenwerken "en optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden". Deze taken houden verband met de rol van de functionaris als 'facilitator'. De functionaris treedt op als contactpunt om voor de toezichthoudende autoriteit de toegang te vergemakkelijken tot de documenten en informatie die zij nodig heeft voor de uitvoering van haar taken en bevoegdheden, zoals haar onderzoeksbevoegdheden of haar bevoegdheden om met name corrigerende maatregelen te nemen.

De functionaris is ook het contactpunt voor personen die hun rechten wensen uit te oefenen bij de verwerkingsverantwoordelijke. Vaak wordt hiervoor een speciaal contactadres gecreëerd.

Een rol voor de functionaris bij het bijhouden van het register

In overeenstemming met artikel 30, leden 1 en 2, is het de verwerkingsverantwoordelijke of de verwerker, en niet de functionaris, die het register van de verwerkingsactiviteiten moet bijhouden. In de praktijk stellen functionarissen vaak inventarissen op en houden ze een register bij van de verwerkingen op basis van de informatie die hen wordt verstrekt door de verschillende afdelingen in hun organisatie die verantwoordelijk zijn voor de verwerking van persoonsgegevens. Aangezien in artikel 39, lid 1, een lijst van taken is vastgesteld die ten minste aan de functionaris moeten worden toevertrouwd, belet niets de verwerkingsverantwoordelijke of de verwerker om de functionaris te belasten met het bijhouden van het register van de verwerkingen die onder hun verantwoordelijkheid worden verricht. Dit register moet worden beschouwd als één van de instrumenten waarmee de functionaris zijn taken kan uitvoeren, namelijk toezien op de naleving van de AVG en informatie en advies verstrekken aan de verwerkingsverantwoordelijke of de verwerker.