Wanneer is een functionaris gegevensbescherming verplicht?
‘Tekort aan privacy-experts bij duizenden organisaties’ kopte het NRC recentelijk.[1] In het artikel staat dat nog lang niet alle organisaties die hiertoe verplicht zijn een functionaris voor gegevensbescherming (hierna “FG”) hebben aangesteld. Dit terwijl per 25 mei 2018 de Algemene Verordening Gegevensbescherming (hierna “Verordening”) in werking is getreden. Deze Verordening heeft de huidige privacyrichtlijn en de daarmee corresponderende Wet bescherming persoonsgegevens vervangen. De vraag is wanneer ben je als organisatie verplicht om een FG aan te stellen?
Het aanstellen van een FG is niet binnen alle organisaties verplicht. Op grond van artikel 37 van de Verordening moeten organisaties in drie situaties een FG aanstellen. Het aanstellen van een FG is verplicht indien: (i) de verwerking van persoonsgegevens wordt verricht door een overheidsinstantie of overheidsorgaan (dit geldt overigens niet voor rechterlijke instanties bij de uitoefening van hun rechterlijke taken); (ii) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen van persoonsgegevens die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen, of; (iii) wanneer de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 van de Verordening. Voorts kunnen EU-lidstaten het benoemen van een FG in andere situaties verplicht stellen.
Het voorgaande komt er - kort gezegd - op neer dat iedere overheidsinstantie die persoonsgegevens verwerkt een FG moet aanstellen. Verder dienen organisaties die hoofdzakelijk op grote schaal individuen volgen een FG aan te stellen. De Autoriteit Persoonsgegevens noemt hierbij als voorbeeld de profilering van mensen voor bijvoorbeeld het maken van risico-inschattingen. Tot slot moeten organisaties die hoofdzakelijk op grote schaal bijzondere persoonsgegevens verwerken een FG benoemen. Onder bijzondere persoonsgegevens moet volgens de Autoriteit Persoonsgegevens onder andere worden verstaan gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
Voor de beantwoording van de vraag of een FG verplicht is het aldus relevant om onder andere te kijken naar de kerntaak van de organisatie (is de organisatie hoofdzakelijk bezig met het verwerken van (bijzondere) persoonsgegevens?), de omvang van de verwerking van de persoonsgegevens (wordt dit op grote schaal uitgevoerd?) en de frequentie van de observatie (worden de betrokkenen regelmatig en stelselmatig geobserveerd?). Is het benoemen van een FG verplicht, dan moet de FG worden aangemeld bij de Autoriteit Persoonsgegevens door middel van het daarvoor bestemde webformulier.
Heeft u vragen over de Verordening, waaronder het in sommige situaties verplicht benoemen van een FG? Neem dan gerust contact met ons op.