Inleiding

Dit hoofdstuk behandelt de functie van 'Data Protection Officer'. Er wordt kort ingegaan op de vraag wanneer het aanstellen van een DPO verplicht gesteld is, de overeenkomsten met de 'Privacyfunctionaris' en waarom het - ook als het aanstellen van een DPO niet verplicht is - toch wenselijk kan zijn een DPO aan te stellen.

De DPO in het kort

Onder de Wet bescherming persoonsgegevens kenden we de figuur van de Privacyfunctionaris al. Het aanstellen van een dergelijke functionaris was niet verplicht. Met de komst van de GDPR wordt het aanstellen van een privacyfunctionaris voor sommige bedrijven wél verplicht. De kans dat een webwinkelier in deze doelgroep valt is klein. Alle publieke instellingen zijn overigens wel verplicht een privacyfunctionaris aan te stellen, de overheid wil daarmee zelf het ‘goede voorbeeld’ geven.

Dat neemt niet weg dat het aanstellen van een privacyfunctionaris of het inhuren van een externe privacyfunctionaris wel degelijk voordelen kan hebben. Privacywetgeving is immers complex en juist kleine ondernemers hebben niet de kennis of voldoende tijd om zichzelf in de wet- en regelgeving, de gebruikte systemen en relaties met verwerkers te verdiepen. Deze kleine ondernemers zijn wel verplicht gehoor te geven aan verzoeken van betrokkenen en moeten in voorkomende gevallen datalekken melden. De DPO neemt de ondernemer alle GDPR-gerelateerde verplichtingen uit handen. Het is goed denkbaar dat bepaalde branche-organisaties een gemeenschappelijk DPO aanstellen, waar u als ondernemer gebruik van kunt maken.

Wanneer is een DPO verplicht?

Allereerst zijn overheden verplicht een DPO aan te stellen. Andere organisaties zijn verplicht een DPO aan te stellen als zij op grote schaal (geautomatiseerd) individuen tracken en monitoren. Sommige grotere marketingbedrijven en internetgiganten als Facebook en Google vallen onder deze categorie.

Ook organisaties die gegevens verwerken waaruit het ras of de etnische afkomst van de betrokkene blijkt, of waaruit diens politieke opvattingen, religieuze- of levensbeschouwelijke overtuigingen, lidmaatschap van vakbonden kan worden afgeleid moeten een DPO aanstellen. Dezelfde verplichting geldt voor organisaties die medische-, genetische, biometrische informatie over een betrokkene verwerken en voor organisaties die gegevens verwerken waaruit iemands seksueel gedrag of zijn seksuele gerichtheid blijkt. Het verwerken van voornoemde gegevens is in beginsel verboden, maar een uitzondering is de expliciete toestemming van de betrokkene. De kans dat een kleine ondernemer een van deze categorieën gegevens verwerkt is klein, maar niet ondenkbaar. Zo kan een bestand met bestellingen van een webwinkel met seksspeeltjes voor homoseksuelen mogelijk ongemerkt dergelijke ‘persoonsgegevens’ verwerken. De GDPR Assessment Tool bevraagt u naar de verwerking van dergelijke gegevens.