De nieuwe Europese privacyverordening (de algemene verordening gegevensbescherming – hierna “de Verordening”) is op 25 mei 2016 in werking getreden. Alle organisaties in zowel de publieke en private sector worden geacht om vanaf die datum hun bedrijfsvoering met de Verordening in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd, vanaf dan geldt nog maar één privacywet in de hele EU.
Vorige week blogde ik al over een van de nieuwe verplichtingen die de Verordening introduceert, namelijk de verplichting om een Privacy Impact Assessment uit te voeren. Een andere vereiste dat de Verordening meebrengt, is de verplichting tot het aanstellen van een functionaris voor gegevensbescherming (hierna: “FG”).
Wat is een FG?
Een FG is een interne toezichthouder die binnen een organisatie toezicht houdt op de verwerking van persoonsgegevens door de betreffende organisatie en diens werknemers. De FG heeft met name als hoofdtaak om toezicht te houden op de toepassing en naleving van de privacywetgeving in het kader van de door de organisatie verrichte gegevensverwerking
Welke taken heeft een FG?
De FG vervult ten minste de volgende taken:
· de organisatie en diens werknemers die persoonsgegevens verwerken, informeren en adviseren over hun verplichtingen en privacywetgeving;
· toezien op naleving van de Verordening, andere privacywetgeving en van het beleid van de organisatie met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel;
· desgevraagd advies verstrekken met betrekking tot de Privacy Impact Assessment en toezien op de uitvoering daarvan;
· met de toezichthoudende autoriteit samenwerken, in Nederland de Autoriteit Persoonsgegevens en daarvoor ook als contactpersoon optreden.
Welke eisen worden er aan een FG gesteld?
Momenteel stelt de Wbp de volgende eisen aan FG’s:
· Alleen natuurlijke personen kunnen als FG worden benoemd. Een ondernemingsraad of commissie komt derhalve niet in aanmerking.
· De FG moet voor de vervulling van zijn taak over toereikende kennis beschikken over de organisatie en privacywetgeving
· Een FG moet tot slot ook betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.
Ook op grond van de Verordening geldt dat de FG een persoon is met deskundige kennis van gegevensbeschermingswetgeving en -praktijken van de organisatie en in staat is de organisatie bij te staan bij het toezicht op de interne naleving van de Verordening.
Daarnaast is in de Verordening vastgelegd dat organisaties ervoor dienen te zorgen dat de FG geen instructies ontvangt met betrekking tot de uitvoering van zijn taken. De FG dient namelijk in staat te zijn zijn taken en verplichtingen onafhankelijk te vervullen, ongeacht of hij in dienst is van de organisatie. Om deze reden mag de FG niet ontslagen of gestraft worden voor de uitvoering van zijn taken.
Wanneer ben ik verplicht een FG aan te stellen?
De Verordening noemt drie situaties waarin het verplicht is een FG aan te stellen, namelijk:
· Indien de verwerking door een overheidsinstantie wordt uitgevoerd, met uitzondering van gerechten of onafhankelijke rechterlijke autoriteiten die handelen in het kader van hun gerechtelijke taken,
· Indien op grote schaal bijzondere persoonsgegevens verwerkt, bijvoorbeeld medische of strafrechtelijke gegevens, en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners
· Indien de organisatie op grote schaal mensen volgt en dit een kernactiviteit van de organisatie is, bijvoorbeeld in het geval van wifi-tracking of profilering.
Ook wanneer een organisatie niet in een van bovenstaande drie categorieën valt, is het mogelijk om vrijwillig een FG aan te stellen. In dat geval gelden, ook voor een vrijwillige FG, dezelfde regels als voor de verplichte FG.
Slot
Hoewel 25 mei 2018 nog ver weg lijkt, is het voor organisaties raadzaam om nu alvast te onderzoeken of de huidige (bedrijfs)processen, diensten en producten op bepaalde punten dienen te worden aangepast om te voldoen aan de Verordening. Zo is het aan te bevelen om te onderzoeken of je organisatie straks verplicht is om een FG aan te stellen, omdat een geschikte FG doorgaans niet binnen een dag te vinden is. Om organisaties een handje te helpen, zal de Autoriteit Persoonsgegevens in ieder geval – en hopelijk nog voor 25 mei 2018 – samen met de andere Europese privacytoezichthouders uitleg geven over de voorwaarden voor en vereisten aan de FG.