Wanneer heeft een onderneming een DPO nodig?

//

Jouw Jurist

Een DPO (‘Data Protection Officer’) is een persoon die binnen een onderneming toeziet op de correcte toepassing van de Europese data- en privacywetgeving (‘GDPR’). Aangezien een DPO onafhankelijk moet zijn, huren veel ondernemingen een externe persoon in voor deze rol.

Niet alle ondernemingen moeten een DPO in hun rangen hebben. Dit is afhankelijk van het type onderneming en de grootte ervan. De vraag is dus: wanneer heeft een onderneming een DPO nodig?

Ondernemingen die zeker een DPO moeten hebben

In de GDPR worden criteria opgesomd om uit te maken of je een DPO nodig hebt. Volgende organisaties of ondernemingen hebben een DPO nodig:

  • Overheidsinstanties of overheidsorganen
  • Ondernemingen die samenwerken met een overheid en in het kader daarvan persoonsgegevens verwerken
  • Notarissen
  • Gerechtsdeurwaarders
  • Ondernemingen in de medische sector die meer dan 10.000 klantengegevens verwerken
  • Advocatenkantoren die meer dan 10.000 klantengegevens verwerken
  • Saas (‘software as a service’) ondernemingen
  • Hostingbedrijven

Als je onderneming in een van deze categorieën valt, is het raadzaam om zo mogelijk een DPO aan te stellen. Doe je dit niet, dan riskeer je een boete van de gegevensbeschermingsautoriteit, of zelfs een schorsing of definitieve stopzetting van je gegevensverwerking. 

Ondernemingen die misschien een DPO moeten hebben

De vraag ‘wanneer heeft een onderneming een DPO nodig?’ is niet altijd eenvoudig te beantwoorden. De GDPR laat immers een ruime grijze zone. Volgens de GDPR heb je een DPO nodig wanneer:

  • De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  • De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Om te bepalen wanneer een onderneming een DPO nodig heeft, moeten we duidelijk maken wat:

  • Een kerntaak is
  • Verwerken op grote schaal is 
  • Regelmatige en stelselmatige observatie is
  • Speciale categorieën zijn

Wat is een kerntaak?

Volgens de GDPR is een kerntaak iets dat te maken heeft met je hoofdactiviteit. Het zijn de handelingen die te maken hebben met het hoofddoel van je onderneming. Alleen bij verwerking van persoonsgegevens voor het hoofddoel van je onderneming, hebl je een DPO nodig.

Wat is verwerken op grote schaal?

Volgens de GDPR betekent ‘op grote schaal’ het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau. Als je een groot aantal cliënten hebt over het hele land dus. 

Daarnaast wordt expliciet gesteld in de GDPR dat individuele artsen en advocaten geen persoonsgegevens verwerken op grote schaal.

Maar wat met de ondernemingen die daartussen vallen? Daar bestaat geen eenduidig antwoord voor. 

Wat is regelmatige en stelselmatige observatie?

Het waarnemen van gedrag van personen in bepaalde periodes of met een bepaalde strategie.

Wat zijn speciale categorieën?

Speciale categorieën in de context van de GDPR zijn persoonsgegevens die te maken hebben met onder andere ras, etniciteit, genetische gegevens, gegevens over politieke voorkeur enzovoort. 

DPO nodig?

Heeft jouw onderneming een DPO nodig? Jouw Jurist kan je helpen met een pragmatische oplossing waarbij een van onze experts als jouw DPO functioneert, zonder dat je met hoge facturen wordt opgezadeld. Onze DPO’s hebben de nodige opleidingen gevolgd en zijn steeds beschikbaar voor het verlenen van betrouwbaar advies op maat van jouw onderneming. 

Nog vragen?

Nog vragen over DPO’s of data- en privacywetgeving in het algemeen? Laat het ons gerust weten op info@jouwjurist.be of via bovenstaand formulier. We staan klaar om je te helpen met een betrouwbaar (en betaalbaar) advies!

Geef een reactie