Een DPO (‘Data Protection Officer’) is een persoon die binnen een onderneming toeziet op de correcte toepassing van de Europese data- en privacywetgeving (‘GDPR’). Aangezien een DPO onafhankelijk moet zijn, huren veel ondernemingen een externe persoon in voor deze rol.
Hoewel dit ook een werknemer kan zijn, is dit af te raden. Zo iemand aanstellen kost een lange tijd om op te leiden en het is maar de vraag of deze onafhankelijk genoeg zal zijn.
Niet alle ondernemingen moeten een DPO in hun rangen hebben. Dit is afhankelijk van het type onderneming en de grootte ervan. De vraag is dus: wanneer heeft een onderneming een DPO nodig?
In dit artikel kijken we wanneer een DPO verplicht is voor je onderneming en wat een Data Protection Officer voor je bedrijf kan doen. Heb je nu een DPO nodig, wij helpen je al vanaf 295,- excl. btw per kwartaal.
Inhoudstafel
Ondernemingen die zeker een DPO moeten hebben
In de GDPR worden criteria opgesomd om uit te maken of je een DPO nodig hebt. Volgende organisaties of ondernemingen hebben een DPO nodig:
- Overheidsinstanties of overheidsorganen
- Ondernemingen die samenwerken met een overheid en in het kader daarvan persoonsgegevens verwerken
- Notarissen
- Gerechtsdeurwaarders
- Ondernemingen in de medische sector die meer dan 10.000 klantengegevens verwerken
- Advocatenkantoren die meer dan 10.000 klantengegevens verwerken
- Saas (‘software as a service’) ondernemingen
- Hostingbedrijven
Als je onderneming in een van deze categorieën valt, is het raadzaam om zo mogelijk een DPO aan te stellen. Doe je dit niet, dan riskeer je een boete van de gegevensbeschermingsautoriteit, of zelfs een schorsing of definitieve stopzetting van je gegevensverwerking.
Ondernemingen die misschien een DPO moeten hebben
De vraag ‘wanneer heeft een onderneming een DPO nodig?’ is niet altijd eenvoudig te beantwoorden. De GDPR laat immers een ruime grijze zone. Volgens de GDPR heb je een DPO nodig wanneer:
- De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
- De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
Om te bepalen wanneer een onderneming een DPO nodig heeft, moeten we duidelijk maken wat:
- Een kerntaak is
- Verwerken op grote schaal is
- Regelmatige en stelselmatige observatie is
- Speciale categorieën zijn
Wat is een kerntaak?
Volgens de GDPR is een kerntaak iets dat te maken heeft met je hoofdactiviteit. Het zijn de handelingen die te maken hebben met het hoofddoel van je onderneming. Alleen bij verwerking van persoonsgegevens voor het hoofddoel van je onderneming, hebl je een DPO nodig.
Wat is verwerken op grote schaal?
Volgens de GDPR betekent ‘op grote schaal’ het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau. Als je een groot aantal cliënten hebt over het hele land dus.
Daarnaast wordt expliciet gesteld in de GDPR dat individuele artsen en advocaten geen persoonsgegevens verwerken op grote schaal.
Maar wat met de ondernemingen die daartussen vallen? Daar bestaat geen eenduidig antwoord voor.
Wat is regelmatige en stelselmatige observatie?
Het waarnemen van gedrag van personen in bepaalde periodes of met een bepaalde strategie. In de wet staat niet precies wat de stelselmatige observatie precies is. Het is dus iets dat een inspectie of rechter zal vaststellen. Daarom huur je best niet te laat een data Protection officer in voor je onderneming.
Wat zijn speciale categorieën?
Speciale categorieën in de context van de GDPR zijn persoonsgegevens die te maken hebben met onder andere ras, etniciteit, genetische gegevens, gegevens over politieke voorkeur enzovoort.
Heb je een externe DPO nodig?
Heeft jouw onderneming een DPO nodig? Jouw Jurist kan je helpen met een pragmatische oplossing waarbij een van onze experts als jouw DPO functioneert, zonder dat je met hoge facturen wordt opgezadeld. Onze DPO’s hebben de nodige opleidingen gevolgd en zijn steeds beschikbaar voor het verlenen van betrouwbaar advies op maat van jouw onderneming.
Nog vragen over dit artikel?
Nog vragen over DPO’s of data- en privacywetgeving in het algemeen? Laat het ons gerust weten op info@jouwjurist.be of via bovenstaand formulier. We staan klaar om je te helpen met een betrouwbaar (en betaalbaar) advies!