In welke gevallen is het verplicht een functionaris voor gegevensbescherming aan te stellen?

De AVG (art. 37) bepaalt 3 gevallen waarin het verplicht is een functionaris voor gegevensbescherming aan te wijzen.


  • De gegevensverwerking wordt verricht door een overheidsinstantie of overheidsorgaan, ongeacht de gegevens die zij verwerken, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; (37.1.a));
  • De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan in verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; (37.1.b));
  • De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 (37.1.c)).

De basisactiviteiten van een verwerkingsverantwoordelijke of een verwerker hebben betrekking op zijn hoofdactiviteiten en hebben geen betrekking op de verwerking van persoonsgegevens als nevenactiviteit. Telkens de gegevensverwerking een integraal deel uitmaakt van de activiteit van de verwerkingsverantwoordelijke of de verwerker is er sprake van een kerntaak. Deze kerntaken moeten niet restrictief worden geïnterpreteerd.

De ondersteunende activiteiten (betaling van wedden, gegevens verbonden aan het beheer van de beroepsloopbaan), zelfs indien noodzakelijk voor de kerntaken van de verwerkingsverantwoordelijke of de verwerker, zullen in het algemeen beschouwd worden als nevenactiviteiten.

Enkele voorbeelden van kerntaken:

  • de verwerking van gezondheidsgegevens in het kader van door een ziekenhuis verstrekte zorgen;
  • de verwerking van gegevens in het kader van het aanbieden van verzekeringsproducten door verzekeringsmaatschappijen;
  • de verwerking van gegevens door uitzendkantoren over de bij hen ingeschreven uitzendkrachten;
  • de verwerking van gegevens door onderwijsinstellingen met betrekking tot hun leerlingen of studenten;
  • de verwerking van gegevens door sociale secretariaten met betrekking tot de werknemers van hun klanten.

Enkel overweging 91 van de AVG geeft enkele aanwijzingen. Het staat vast dat het noch mogelijk, noch coherent is met een op het risico gebaseerde benadering, om voor elke situatie een precies aantal te bepalen, noch voor het volume verwerkte gegevens, noch voor het aantal betrokkenen. Bijgevolg wordt aanbevolen de hieronder vermelde factoren te onderzoeken, en deze in voorkomend geval te combineren, om te bepalen of een verwerking al dan niet grootschalig is:

  • Het aantal betrokkenen, in voorkomend geval in verhouding tot een betrokken bevolking;
  • Het volume gegevens en de waaier van verschillende verwerkte gegevens;
  • De duur of de permanentie van de verwerkingsactiviteit;
  • De geografische spreiding van de verwerkingsactiviteit.

Enkele voorbeelden van grootschalige verwerkingen:

  • verwerking van patiëntgegevens als onderdeel van de gebruikelijke werkzaamheden van een ziekenhuis;
  • verwerking van reisinformatie van mensen die met het openbaar vervoer in een bepaalde stad reizen (door deze bijv. te volgen via reiskaarten);
  • het voor statistische doeleinden verwerken van actuele locatiegegevens van klanten van een internationale fastfoodketen, door een verwerker die in deze diensten gespecialiseerd is;
  • verwerking van klantgegevens als onderdeel van de gebruikelijke werkzaamheden van een verzekeringsmaatschappij of bank;
  • verwerking van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van internetgedrag;
  • verwerking van gegevens (inhoud, verkeer, locatie) door telefoon- of internetproviders.

Enkele voorbeelden van een verwerking die NIET als een grootschalige verwerking wordt beschouwd:

  • verwerking van patiëntgegevens door een individuele arts;
  • verwerking van persoonsgegevens over veroordelingen en strafbare feiten door een individuele advocaat.

De AVG vermeldt ook dat de nationale wetgever door middel van een nationale wet kan voorzien in aanvullende gevallen waarin het verplicht is een DPO aan te wijzen. De artikelen 21 en 190 van de kaderwet bepalen wanneer, naast de gevallen in artikel 37.1 van de AVG, een functionaris voor gegevensbescherming aangewezen moet worden.

Vragen

De begrippen "overheidsinstantie" en "overheidsorgaan" worden niet gedefinieerd in de AVG. Deze begrippen zullen moeten worden geïnterpreteerd in het licht van het Belgische recht. De Belgische hoven en rechtbanken zijn niet onderworpen aan deze bepaling wanneer zij persoonsgegevens verwerken in het kader van de uitoefening van hun gerechtelijke taken. In artikel 5 van de kaderwet worden deze begrippen gedefinieerd.

Hieronder vallen de gegevens als bedoeld in de artikelen 9 en 10 van de AVG. Het voegwoord “en” in artikel 37.1,  c),  wekt echter de indruk dat de aanwijzing van een functionaris voor gegevensbescherming verplicht is wanneer zowel de gegevens, bedoeld in artikel 9 en artikel 10 ens (cumulatieve aanwezigheid van gegevens van deze twee categorieën) op grote schaal en als kerntaak van de verwerkingsverantwoordelijke of de verwerker worden verwerkt. Dit is niet de bedoeling van de wetgever. Hier moet "en" gelezen worden als "of". De verwerking, onder de voorwaarden van artikel 37.1 c), van hetzij "gevoelige" gegevens in de zin van artikel 9, hetzij "gerechtelijke" gegevens in de zin van artikel 10 volstaat opdat de aanwijzing van een functionaris voor gegevensbescherming verplicht zou zijn.

Nee, niet principieel. De vraag of de verwerker een functionaris voor gegevensbescherming moet aanwijzen, staat los van de vraag of de verwerkingsverantwoordelijke een functionaris voor gegevensbescherming moet aanwijzen. Zo kunnen zich verschillende situaties voordoen, afhankelijk van het feit of de ene of de andere of beide onder de criteria voor de verplichte aanwijzing van een DPO vallen.

In het laatste geval is het aan te bevelen dat de ’DPO’s onderling samenwerken. Wanneer de verwerkingsverantwoordelijke die verplicht is een DPO aan te wijzen, gebruik maakt van een verwerker die niet verplicht is dit te doen, wordt de aanwijzing van een dergelijke DPO door de verwerker aangemoedigd op grond van 'best practices'.

Ja. De vrijwillige aanwijzing van de functionaris door de verwerkingsverantwoordelijke of de verwerker, wordt aangemoedigd door de toezichthoudende autoriteiten. Indien hij of zij als dusdanig wordt aangewezen en de naam "functionaris voor gegevensbescherming" krijgt, zullen alle vereisten van de AVG moeten nageleefd worden. De artikelen 37 tot 39 zullen op dezelfde wijze toegepast worden als wanneer de aanwijzing verplicht was.

Het ontbreken van een wettelijke verplichting belet een instantie niet om op vrijwillige basis personeel in dienst te nemen of een beroep te doen op een externe consultant om taken op het gebied van gegevensbescherming uit te voeren, zonder dat zij zich strikt wenst te houden aan alle vereisten van de AVG. In dit geval is het belangrijk dat er zowel intern als voor de toezichthoudende autoriteiten en de betrokkenen geen verwarring ontstaat over de titel, het statuut en de taken van deze persoon, die niet kan worden beschouwd als een "functionaris voor gegevensbescherming" in de zin van de AVG.

De GBA oordeelt dat wanneer een sector een functionaris voor gegevensbescherming aanwijst, dit geen invloed heeft op de verplichting van individuele verwerkingsverantwoordelijken of verwerkers in die sector om zelf een functionaris voor gegevensbescherming aan te wijzen. De AVG heeft het namelijk over de aanwijzing van een sectorale functionaris voor gegevensbescherming "in andere dan de in lid 1 bedoelde gevallen" (d.w.z. gevallen waarin de aanwijzing verplicht is)

Interessante links