Wie aanwijzen als functionaris voor gegevensbescherming?

Nee. Volgens de AVG heeft de toezichthoudende autoriteit niet de bevoegdheid gekregen om de keuze van de verwerkingsverantwoordelijke of de verwerker voor een functionaris te valideren. De AVG voorziet enkel in de mededeling van de contactgegevens van de functionaris aan de toezichthoudende autoriteit (artikel 37.7). Deze mededeling van de contactgegevens dient geenszins beschouwd te worden als een vraag om akkoord of validatie van de toezichthoudende autoriteit met betrekking tot deze aanduiding. Een dergelijke benadering zou strijdig zijn met het principe van de verantwoordingsplicht.

De AVG staat beide mogelijkheden toe. De functionaris voor gegevensbescherming kan een werknemer van de betrokken verwerkingsverantwoordelijke of verwerker zijn. Deze laatsten kunnen ook een beroep doen op een externe DPO via een dienstverleningsovereenkomst.  In het laatste geval kan eenzelfde DPO voor verschillende bedrijven of overheidsinstanties en overheidsorganen werken, voor zover hij uiteraard voldoende ondersteuning krijgt, voldoende tijd kan besteden aan elk van zijn "klanten" en er voor hem geen belangenconflict ontstaat.

De AVG schrijft voor dat de DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van wetgeving en praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 39 van de AVG bedoelde taken te vervullen. Er zijn geen specifieke diploma’s of getuigschriften vereist.

Nee. Om hem in de mogelijkheid te stellen zijn taak naar behoren uit te voeren en de eis van onafhankelijkheid te waarborgen, is een zekere stabiliteit echter wenselijk.

Nee. Het is niet mogelijk een volledige lijst van onverenigbare functies op te stellen. Of bepaalde functies al dan niet verenigbaar zijn, hangt uiteindelijk af van de concrete situatie.

Hierdoor kunnen de verschillende rollen en taken binnen elke entiteit op flexibele wijze – binnen de in de AVG vastgestelde grenzen – worden geïnterpreteerd. De Groep Artikel 29 heeft richtsnoeren opgesteld voor de aanwijzing van de functionaris voor gegevensbescherming, waarin de voorwaarden inzake onafhankelijkheid en het verbod op belangenconflicten worden uiteengezet.

Zoals aangegeven in het gedeelte over de onafhankelijkheid van de DPO, kan de DPO weliswaar andere functies hebben, maar mag hij alleen andere taken en verantwoordelijkheden krijgen op voorwaarde dat deze geen aanleiding geven tot een belangenconflict. Dit betekent met name dat de functionaris geen functie binnen de organisatie mag bekleden die ertoe leidt dat hij de doeleinden van en de middelen voor de verwerking van persoonsgegevens bepaalt. Als algemene regel geldt dat conflicterende functies/posities binnen een bedrijf managementfuncties kunnen omvatten, maar ook functies op een lager niveau van de organisatiestructuur.

De cumulatie van de functies van DPO en CISO (afkorting voor Chief Information Security Officer) leidt niet tot een belangenconflict als de DPO of CISO niet verantwoordelijk is voor een operationele afdeling. Het voorgaande werd verduidelijkt in Beslissing ten gronde nr. 56/2021 van 26 april 2021 inzake onrechtmatige raadpleging van persoonsgegevens en weigering van het recht van inzage.

De Gegevensbeschermingsautoriteit benadrukt dat verwerkingsverantwoordelijken en verwerkers hun analyse en hun definitieve keuze van DPO moeten motiveren. De betreffende documenten moeten door de verwerkingsverantwoordelijke kunnen worden bezorgd aan de Gegevensbeschermingsautoriteit, bijvoorbeeld in het kader van een onderzoek van haar Inspectiedienst.

Er moet worden geanticipeerd op de afwezigheid van een DPO door in een procedure te voorzien bij diens afwezigheid, die in de praktijk van korte of lange duur, evenals gepland of volledig onverwacht kan zijn. Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke of verwerker in kwestie om de continuïteit van hun verplichtingen overeenkomstig de AVG te waarborgen en hiervan, met inachtneming van het verantwoordingsbeginsel, aan de Gegevensbeschermingsautoriteit (GBA) het bewijs te kunnen leveren.

Zonder in te gaan op de vele mogelijke situaties, moeten de onderstaande principes als leidraad dienen:

• In ieder geval doet de afwezigheid van de DPO niets af aan de verplichtingen van de betrokken verwerkingsverantwoordelijke of verwerker. Ondanks de afwezigheid van de DPO moeten de verwerkingsverantwoordelijke en de verwerker hun verplichtingen onder de AVG naleven: de betrokkenen moeten immers een antwoord krijgen op hun vragen en op hun verzoeken om hun rechten uit te oefenen binnen de in de AVG vastgestelde termijnen. Ook moeten de contacten met de GBA worden gewaarborgd. Het primaire doel is dat de DPO-functie steeds gewaarborgd wordt. Bij afwezigheid van de DPO moet de functie derhalve worden uitgeoefend door een persoon die over de kwalificaties en het statuut beschikt zoals bepaald in de AVG of die deze het dichtst benadert, om de effectieve continuïteit van de functie te waarborgen.
• Bij het beheer van de afwezigheid van de DPO zal concreet rekening gehouden worden met factoren zoals: de duur van de afwezigheid, het soort handelingen die door de DPO worden verricht en de toepasselijke of verwachte termijnen, de mate van risico van de door de betrokken verwerkingsverantwoordelijke of verwerker uitgevoerde verwerkingen, de omvang van de structuur van de verwerkingsverantwoordelijke of verwerker, het bestaan binnen de structuur van andere DPO’s en elke andere relevante contextuele parameter. Dit kan leiden tot een eenvoudig beheer van de afwezigheid om ervoor te zorgen dat de functie door anderen wordt uitgevoerd (intern of door tijdelijk gebruik te maken van de diensten van een externe DPO bijvoorbeeld) of tot een noodzakelijke vervanging van de DPO, met name in het geval van langdurige afwezigheid.
• Tijdens de afwezigheid van de DPO gelden de regels inzake vertrouwelijkheid en gegevensbescherming op de werkplek. In dit verband is het bestaan van een functioneel (niet op naam) contactadres een pluspunt.
• Merk op dat de contactgegevens van de DPO meegedeeld moeten worden aan de toezichthoudende autoriteit. Aan de betrokkenen kan een niet op naam gesteld functioneel adres worden meegedeeld. Aan de toezichthoudende autoriteit moeten - zoals te lezen staat in het meldformulier voor de functionaris voor gegevensbescherming dat beschikbaar is op de website van de GBA - de voor- en achternamen van de DPO meegedeeld worden, evenals een contactadres.

De concrete modaliteiten voor het beheer van de afwezigheid zullen bepalen of er al dan niet formaliteiten moeten worden vervuld bij de GBA. Indien de afwezigheid van de DPO wordt beheerd zonder dat een nieuwe DPO is aangewezen en via het aan de GBA meegedeelde contactadres nog steeds contact kan worden opgenomen met de persoon die instaat voor de opvolging bij afwezigheid van de DPO, moet deze afwezigheid niet worden gemeld.

Indien dit echter niet het geval is, of indien de DPO door een nieuwe DPO moet worden vervangen (bijvoorbeeld wegens een langdurige afwezigheid), moet deze vervanging aan de GBA worden gemeld. Het vakje "Gelieve dit vakje te selecteren indien deze mededeling een wijziging van een eerdere melding betreft" moet dan aangevinkt worden.

Gezien de verplichting voor verwerkingsverantwoordelijken en verwerkers om de contactgegevens van hun functionaris voor gegevensbescherming aan de toezichthoudende autoriteit te verstrekken, beschikt de Autoriteit over een lijst van functionarissen voor gegevensbescherming. Deze lijst is niet bedoeld voor het publiek, maar wel om de toezichthoudende autoriteit in staat te stellen om rechtstreeks contact op te nemen met de DPO bij de uitoefening van haar taken, met name toezicht houden. De inspectiedienst van de Gegevensbeschermingsautoriteit kan bijvoorbeeld rechtstreeks vragen stellen aan de DPO of de DPO uitnodigen voor een hoorzitting.