De GDPR verplicht een dpo in overheidsinstanties en -organen (behalve gerechten bij de uitvoering van hun rechterlijke taken), bedrijven waar de aard, omvang en/of doeleinden van de verwerking van persoonsgegevens een regelmatige en stelselmatige opvolging vereisen evenals organisaties waar bijzondere categorieën van gegevens worden verwerkt (zoals medische, genetische, ethnische, levensbeschouwelijke, politieke en andere info zoals voorzien in artikel 9 van de GDPR).

De aanstelling van een dpo wordt evenwel ook voor alle andere bedrijven en organisaties waar de verwerking van persoonsgegevens van belang is, aanbevolen. De dpo kan eventueel een persoon buiten het bedrijf zijn maar moet wel makkelijk beschikbaar zijn en regelmatig van nabij het bedrijf opvolgen.

Wie?

De dpo, functionaris voor gegevensbescherming in het Nederlands, moet erop toekijken dat het bedrijf in kwestie zijn data bewaart en volgens de regels van de GDPR verwerkt. Hij adviseert het bedrijf om, indien nodig, bepaalde dingen aan te passen wat betreft privacy-maatregelen, security-voorzieningen, processen en procedures evenals contracten met derden.

Zelf draagt hij geen verantwoordelijkheid: indien de GDPR niet wordt nageleefd is niet hij, maar het bedrijf - als verwerkingsverantwoordelijke (“controller”) - volledig aansprakelijk. De dpo fungeert met andere woorden louter als adviseur en toezichthouder. Hij vormt voor iedereen binnen het bedrijf of de organisatie het aanspreekpunt voor wie terzake vragen heeft, evenals voor de “toezichthoudende autoriteit” (“Data Protection Auhority”).

De dpo moet een brede achtergrond hebben, met goede communicatieve vaardigheden. Hij moet immers kunnen praten en onderhandelen met personen uit zowel ICT, de verschillende bedrijfsafdelingen, ondersteunende diensten (HR, legaal departement) als de bedrijfsleiding (alle niveaus). Hij kan dan ook het best functioneren als een persoon in een team.

Waar?

De wetgeving geldt op Europees niveau. Elke onderneming in de EU dient zich te houden aan deze regels. Is een onderneming internationaal actief, dan moet bepaald worden onder welke toezichthoudende autoriteit deze valt. Dat is afhankelijk van de plaats van de hoofdvestiging of de vestiging waar de beslissingen omtrent de gegevensverwerkingen worden genomen. Het volstaat voor een concern om één functionaris te hebben in het land waar de hoofdverantwoordelijkheid inzake de verwerking van persoonsgegevens berust, maar die persoon moet wel makkelijk contacteerbaar zijn vanuit alle andere vestigingen.

Wanneer?

De Europese Privacy-verordening (GDPR of AVG) is op 24 mei 2016 in werking getreden. Bedrijven en organisaties hebben twee jaar de tijd om zich aan deze nieuwe regelgeving aan te passen. Vanaf 25 mei 2018 moeten bedrijven aan deze wetten voldoen.

Waarom?

Een dpo helpt een bedrijf om de GDPR tot een opportuniteit te maken en geen extra beslommering. Door te adviseren welke data best niet meer worden behouden of voor bepaalde doelstellingen niet meer worden verwerkt, helpt de dpo niet alleen om problemen inzake de naleving van de GDPR te voorkomen. Problemen die kunnen leiden tot zwaar financieel verlies (boetes, kosten voor het verhelpen van problemen, omzetverlies) en reputatieschade (met schade voor de marktpositie). Hij kan immers helpen bij het verkleinen van security-risico’s en besparingen inzake ICT-infrastructuur (minder data-opslag, een veiliger gebruik van de cloud, …). Hij helpt bij bedrijfsprocessen die voorzien in privacy-zekerheid in de dagelijkse omvang met persoonsgegevens (onder meer door het personeel bewust te houden).

Bovendien kan de dpo voorkomen dat de verantwoordelijke(n) voor privacy binnen bedrijven en organisaties (tot en met personen op de hoogste beleidsniveaus) persoonlijk in de problemen komen.

Concreet helpt een dpo dus zowel bij het voorkomen van problemen, naast een optimalisatie van de verwerking van persoonsgegevens - twee voordelen waar bedrijven en organisaties best wel oren naar hebben.