“Nen DPO, is da verplicht?” Die vraag krijgen we steeds vaker. In deze blogpost leggen we uit in welke gevallen uw onderneming verplicht is om een DPO aan te stellen.
Samen met de General Data Protection Regulation (“GDPR”) zag in 2018 ook een nieuwe functie het levenslicht: de data protection officer of DPO.
We merken in de praktijk dat er nog steeds wat onduidelijkheid heerst over de al dan niet verplichte aanstelling van een DPO.
Hieronder lichten we kort het regelgevend kader toe.
De verplichting tot aanstelling van een DPO kan zowel uit de GDPR volgen als uit de, veel minder bekende, Netwerk en Informatiebeveiligingswet (“NIS-wet”).
GDPR
De GDPR verplicht ondernemingen om een DPO aan te stellen indien ze als hoofdactiviteit:
- verwerkingen uitvoeren die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; en/of
- belast zijn met de grootschalige verwerking van bijzondere categorieën van gegevens (bv. gegevens inzake de gezondheid, politieke opvattingen, strafrechtelijke veroordelingen, etc.).
Deze criteria zijn niet steeds eenvoudig toe te passen.
Typevoorbeelden van ondernemingen die onder het eerste criterium vallen zijn bewakingsfirma’s en bedrijven die op grote schaal aan profiling doen op het internet.
Een voorbeeld van een organisatie die onder het tweede criterium valt, is een ziekenhuis. Een huisarts dient echter geen DPO aan te stellen.
Vaak is het echter niet glashelder of de aanstelling van een DPO onder de GDPR verplicht is en dient er op basis van de richtlijnen van de bevoegde autoriteiten een afweging gemaakt te worden.
NIS-wet
Krachtens de NIS-wet worden “aanbieders van essentiële diensten” (voor een omschrijving van dit begrip, verwijzen we naar onze eerdere blogpost over de NIS-wet) en “digitale dienstverleners” verplicht om een DPO aan te stellen. Deze verplichting geldt ook indien zulke ondernemingen onder de GDPR niet verplicht zouden zijn om een DPO aan te stellen.
Een digitale dienstverlener is een rechtspersoon die in België digitale diensten aanbiedt, zijnde (i) “onlinemarktplaatsen”, (ii) “onlinezoekmachines” of (iii) “cloudcomputerdiensten”.
Het is voornamelijk de laatste categorie, de cloudcomputerdiensten, die ervoor zorgt dat veel ondernemingen, zonder het te beseffen, verplicht zijn om een DPO aan te stellen.
Het begrip cloudcomputerdiensten wordt erg breed omschreven als “een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit”. Volgens de Europose NIS-richtlijn (waarop de Belgische NIS-wet gebaseerd is) verwijst “computercapaciteit” naar “capaciteit zoals netwerken, servers en andere infrastructuur, opslag, applicaties en diensten”. De scope van dit begrip is dan ook ruimer dan louter Infrastructure-as-a-Service diensten. Er wordt aangenomen dat ook Platform-as-a-Service (PaaS) en Software-as-a-Service (SaaS) diensten hieronder vallen. Kortom: aanbieders van SaaS-diensten zijn volgens deze interpretatie verplicht om een DPO aan te stellen.
Vrijwillige aanstelling?
Ook ondernemingen die hiertoe niet wettelijk verplicht zijn, kunnen er steeds voor kiezen om dat op vrijwillige basis te doen. Dit kan zelfs een concurrentieel voordeel opleveren: hiermee geef je als onderneming immers te kennen dat je belang hecht aan gegevensbescherming.
Let wel, wanneer een onderneming vrijwillig een DPO aanstelt, dient zij te voldoen aan de regels voor aanstelling, de onafhankelijkheid en de taken van de DPO.
De DPO, die zowel een werknemer of externe consultant kan zijn, heeft louter een adviserende functie, moet zijn taken onafhankelijk kunnen uitoefenen en moet rechtstreeks verslag uitbrengen aan het hoogste management.
De DPO mag binnen de onderneming ook nog andere taken opnemen, voor zover dit niet resulteert in een belangenconflict. Een belangenconflict doet zich onder meer voor indien de DPO in het kader van zijn/haar andere functie(s) de doelstellingen van en de middelen voor de verwerking van persoonsgegevens zou bepalen. Zo wordt de functie van een DPO doorgaans onverenigbaar geacht met leidinggevende functies zoals CEO, COO, CHO, hoofd van de afdeling marketing, HR en IT. Volgens de Gegevensbeschermingsautoriteit is de functie van DPO evenmin verenigbaar met de functie van hoofd van Audit, Risk en Compliance (onze analyse van deze uitspraak kan u hier terugvinden).
Voor veel bedrijven is het aangewezen om iemand aan te stellen die intern toeziet op de naleving van de GDPR. Indien deze persoon echter niet aan alle voorwaarden voldoet om DPO te zijn (bv. omdat hij/zij een leidinggevende functie heeft en/of zelf beslissingen neemt over de verwerking van persoonsgegevens) mag deze persoon niet de titel van DPO dragen. Een andere titel, bv. privacy manager, is wel toegestaan.
Conclusie
Ongeacht of uw onderneming hiertoe wettelijk verplicht is of niet, de aanstelling van een DPO brengt heel wat juridische aandachtspunten met zich mee.
Heeft u hierover vragen, aarzel dan niet om contact op te nemen met Four & Five. We helpen u graag verder.