In welke gevallen is het verplicht een functionaris voor gegevensbescherming aan te stellen?

Artikel 37 AVG bepaalt 3 gevallen waarin het verplicht is een functionaris voor gegevensbescherming aan te wijzen.

De gegevensverwerking wordt verricht door een overheidsinstantie of overheidsorgaan, ongeacht de gegevens die zij verwerken, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken (artikel 37.1.a));
De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan in verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (artikel 37.1.b));
De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 (artikel 37.1.c)).

De basisactiviteiten

De basisactiviteiten van een verwerkingsverantwoordelijke of een verwerker hebben betrekking op zijn hoofdactiviteiten en hebben geen betrekking op de verwerking van persoonsgegevens als nevenactiviteit. Telkens de gegevensverwerking een integraal deel uitmaakt van de activiteit van de verwerkingsverantwoordelijke of de verwerker is er sprake van een kerntaak. Deze kerntaken moeten niet restrictief worden geïnterpreteerd.

De ondersteunende activiteiten (betaling van wedden, gegevens verbonden aan het beheer van de beroepsloopbaan), zelfs indien noodzakelijk voor de kerntaken van de verwerkingsverantwoordelijke of de verwerker, zullen in het algemeen beschouwd worden als nevenactiviteiten.

Enkele voorbeelden van kerntaken:

de verwerking van gezondheidsgegevens in het kader van door een ziekenhuis verstrekte zorgen;
de verwerking van persoonsgegevens in het kader van het aanbieden van verzekeringsproducten door verzekeringsmaatschappijen;
de verwerking van persoonsgegevens door uitzendkantoren over de bij hen ingeschreven uitzendkrachten;
de verwerking van persoonsgegevens door onderwijsinstellingen met betrekking tot hun leerlingen of studenten;
de verwerking van persoonsgegevens door sociale secretariaten met betrekking tot de werknemers van hun klanten.

Wat wordt bedoeld met grote schaal?

Enkel overweging 91 van de AVG geeft enkele aanwijzingen. Het staat vast dat het noch mogelijk, noch coherent is met een op het risico gebaseerde benadering, om voor elke situatie een precies aantal te bepalen, noch voor het volume verwerkte gegevens, noch voor het aantal betrokkenen. Bijgevolg wordt aanbevolen de hieronder vermelde factoren te onderzoeken, en deze in voorkomend geval te combineren, om te bepalen of een verwerking al dan niet grootschalig is:

het aantal betrokkenen, in voorkomend geval in verhouding tot een betrokken bevolking;
het volume persoonsgegevens en de waaier van verschillende verwerkte persoonsgegevens;
de duur of de permanentie van de verwerkingsactiviteit;
de geografische spreiding van de verwerkingsactiviteit.

Enkele voorbeelden van grootschalige verwerkingen:

de verwerking van patiëntgegevens als onderdeel van de gebruikelijke werkzaamheden van een ziekenhuis;
de verwerking van reisinformatie van mensen die met het openbaar vervoer in een bepaalde stad reizen (door deze bijv. te volgen via reiskaarten);
het voor statistische doeleinden verwerken van actuele locatiegegevens van klanten van een internationale fastfoodketen, door een verwerker die in deze diensten gespecialiseerd is;
de verwerking van klantgegevens als onderdeel van de gebruikelijke werkzaamheden van een verzekeringsmaatschappij of bank;
de verwerking van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van internetgedrag;
de verwerking van persoonsgegevens (inhoud, gegevensverkeer, locatie) door telefoon- of internetproviders.

Enkele voorbeelden van een verwerking die NIET als een grootschalige verwerking wordt beschouwd:

de verwerking van patiëntgegevens door een individuele arts;
de verwerking van persoonsgegevens over veroordelingen en strafbare feiten door een individuele advocaat.

De AVG vermeldt ook dat de nationale wetgever door middel van een nationale wet kan voorzien in aanvullende gevallen waarin het verplicht is een DPO aan te wijzen. De artikelen 21 en 190 van de kaderwet bepalen wanneer, naast de gevallen in artikel 37.1 van de AVG, een functionaris voor gegevensbescherming aangewezen moet worden.

Vragen

Wat wordt bedoeld met het begrip "overheidsinstantie" en "overheidsorgaan" in artikel 37 van de AVG?

De begrippen "overheidsinstantie" en "overheidsorgaan" worden niet gedefinieerd in de AVG. Deze begrippen zullen moeten worden geïnterpreteerd in het licht van het Belgische recht. De Belgische hoven en rechtbanken zijn niet onderworpen aan deze bepaling wanneer zij persoonsgegevens verwerken in het kader van de uitoefening van hun gerechtelijke taken. In artikel 5 van de kaderwet worden deze begrippen gedefinieerd.

Ik ben een verwerker en de verwerkingsverantwoordelijke met wie ik een contract heb gesloten moet een functionaris voor gegevensbescherming aanwijzen. Ben ik hiervan vrijgesteld?

Nee, niet principieel. De vraag of de verwerker een functionaris voor gegevensbescherming moet aanwijzen, staat los van de vraag of de verwerkingsverantwoordelijke een functionaris voor gegevensbescherming moet aanwijzen. Zo kunnen zich verschillende situaties voordoen, afhankelijk van het feit of de ene of de andere of beide onder de criteria voor de verplichte aanwijzing van een DPO vallen.

In het laatste geval is het aan te bevelen dat de ’DPO’s onderling samenwerken. Wanneer de verwerkingsverantwoordelijke die verplicht is een DPO aan te wijzen, gebruik maakt van een verwerker die niet verplicht is dit te doen, wordt de aanwijzing van een dergelijke DPO door de verwerker aangemoedigd op grond van 'best practices'.

Mag ik een functionaris voor gegevensbescherming aanwijzen als ik daartoe niet verplicht ben?

Ja. De vrijwillige aanwijzing van een DPO door verwerkingsverantwoordelijken of verwerkers wordt sterk aangemoedigd door de toezichthoudende autoriteiten. Een DPO is immers een expert die kan helpen om de regels van de AVG en van andere wetgeving inzake persoonsgegevens correct toe te passen. Indien hij als dusdanig wordt aangewezen en de naam "functionaris voor gegevensbescherming" (DPO) krijgt, zullen alle vereisten van de AVG moeten worden nageleefd. De artikelen 37 tot 39 zullen op dezelfde wijze toegepast worden als wanneer de aanwijzing verplicht was.

Het ontbreken van een wettelijke verplichting belet een instantie niet om op vrijwillige basis personeel in dienst te nemen of een beroep te doen op een externe consultant om taken op het gebied van gegevensbescherming uit te voeren, zonder zich strikt te willen houden aan alle vereisten van de AVG. In dit geval is het belangrijk dat er zowel intern als voor de toezichthoudende autoriteiten en de betrokkenen geen verwarring ontstaat over de titel, het statuut en de taken van deze persoon, die niet kan worden beschouwd als een "functionaris voor gegevensbescherming" in de zin van de AVG.

Kan er een functionaris voor gegevensbescherming worden aangewezen per sector in plaats van één per verwerkingsverantwoordelijke?

Laatste update: 24/01/2024

Nee. De Gegevensbeschermingsautoriteit oordeelt dat wanneer een sector een functionaris voor gegevensbescherming aanwijst, dit geen invloed heeft op de verplichting van individuele verwerkingsverantwoordelijken of verwerkers in die sector om zelf een functionaris voor gegevensbescherming aan te wijzen. De AVG heeft het namelijk over de aanwijzing van een sectorale functionaris voor gegevensbescherming "in andere dan de in lid 1 bedoelde gevallen" (d.w.z. gevallen waarin de aanwijzing verplicht is)

Interessante links

Wet van 30 juli 2018 (kaderwet)