Privacy basics: De Functionaris gegevensbescherming

5 jui 2022 / in Nieuws / door Daisy Brugman

Privacy basics: De Functionaris gegevensbescherming

Inmiddels zijn we 4 jaar later met de Algemene Verordening Gegevensbescherming (AVG), desondanks zijn er nog regelmatig misverstanden over de functionaris gegevensbescherming (FG). Het is onze ervaring dat ten onrechte wordt gedacht dat de aanwijzing van een FG verplicht is voor elk bedrijf of organisatie met meer dan 250 werknemers. Of de functie wordt zodanig gecombineerd met een andere functie dat men kan spreken van ‘de slager die zijn eigen vlees keurt’. In deze blog geef ik meer duidelijkheid over de functie FG.

Wie is de FG?
De FG is degene die binnen een organisatie adviseert over en toezicht houdt op toepassing en naleving van de AVG. [1] De FG is daarmee een interne toezichthouder, maar is geen toezichthouder in de zin van de Algemene wet bestuursrecht en heeft geen formele bevoegdheden op grond van die wet.[2] De AVG geeft wel diverse regels over de FG.[3] Deze regels gelden zowel voor verwerkingsverantwoordelijkheden, als verwerkers.

De functie kan daarbij zowel op voltijd- als op deeltijdbasis worden uitgeoefend.[4] Afhankelijk van de hoeveelheid en soort persoonsgegevens en de complexiteit van de verwerkingsactiviteiten kan het daarbij noodzakelijk zijn dat de FG wordt ondersteund door een privacy office. Indien meerdere personen worden ingeschakeld moet een taakverdeling worden gemaakt en moet duidelijk zijn wie de hoofdcontactpersoon en ‘eindverantwoordelijke’ is.

Wanneer is het aanstellen van een FG verplicht?
De FG bestond ook al onder Privacyrichtlijn (95/46/EG) en de Wet bescherming persoonsgegevens. Wel zijn er veranderingen onder de AVG. Zo is het nu onder omstandigheden verplicht om een FG aan te stellen[5]. Overheidsinstanties en overheidsorganen dienen altijd een FG aan te stellen, behalve gerechten bij de uitoefening van hun rechterlijke taken; en

Daarnaast is het in de volgende twee gevallen verplicht om een FG aan te stellen. Een verwerkingsverantwoordelijk is hiertoe in de eerste plaats verplicht als gezien zijn kerntaken sprake is van de regelmatige[6] en stelselmatige[7] observatie op grote schaal van de betrokkenen. Kerntaken zijn de belangrijkste handelingen die nodig zijn om de doelstellingen van de verwerkingsverantwoordelijke of de verwerker te bereiken.

Voorbeeld: openbaarvervoerbedrijf, waarvan kerntaak bestaat uit het aanbieden van openbaar vervoer. Het openbaarvervoerbedrijf verwerkt persoonsgegevens ter ondersteuning van deze kerntaak, bijvoorbeeld voor IT-ondersteuning en uitbetaling van loon aan werknemers. Deze verwerkingsacties maken geen onlosmakelijk deel uit van de kerntaken van het openbaarvervoerbedrijf. Op basis hiervan hoeft het openbaarvervoerbedrijf geen FG aan te stellen.

Voorbeeld: beveiligingsbedrijf, waarvan de kerntaak bestaat uit de bewaking van een aantal winkelcentra. De regelmatige en stelselmatige observatie van bezoekers van de winkelcentra op grote schaal, is daarmee onlosmakelijk verbonden met de kerntaak van het bedrijf. Het beveiligingsbedrijf moet daarom een FG aanstellen.

In de tweede plaats zijn zij hiertoe verplicht als zij gezien hun kerntaak op grote schaal bijzondere categorieën van persoonsgegevens en/of strafrechtelijke persoonsgegevens verwerken. Hiervoor geldt geen hard grensgetal, maar relevant is: het aantal betrokkenen, de hoeveelheid en soort persoonsgegevens, en duur en geografische omvang van de verwerking. Daarnaast wordt de hoeveelheid ook bepaald door de bewaartermijn.

Voorbeeld: commerciële bank, waarvan de kerntaken zijn om het betalingsverkeer te verzorgen, kredieten te verstrekken aan particulier en het beheren van spaargelden. De verwerking van klantgegevens maakt daarbij onlosmakelijk deel uit van de kerntaken en vindt plaats op grote schaal. Banken moeten daarom een FG aanstellen.

Kortom, een FG is verplicht voor overheidsorganisaties en voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken of betrokkenen observeren. Hierbij is niet het aantal medewerkers bij de organisatie van belang, maar de gevoeligheid van de gegevens. Dat een FG verplicht is vanaf 250 medewerkers is dan ook niet meer dan een mythe.

Kan een FG ook vrijwillig worden aangesteld?
Een FG kan ook op vrijwillige basis worden aangesteld. Volgens de Autoriteit Persoonsgegevens (AP) kan het heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens. Privaatrechtelijke organisaties die overheidstaken verrichten (denk aan een openbaarvervoerbedrijf, energiebedrijf of woningcorporatie), wordt door de AP aangeraden dat zij ook een FG aanstellen ook al zijn hiertoe niet zijn verplicht.

Maar let op: een vrijwillig aangestelde FG dient zich aan dezelfde regels en kaders te houden als een verplichte FG. Dit betekent onder andere dat de vrijwillig ingestelde FG hetzelfde takenpakket heeft als de verplichte FG.[8] Met andere woorden: wel vrijwillig, maar niet vrijblijvend. Het kan daarom interessant zijn om een externe FG te benoemen: de FG wordt voor een aantal uur (per week of maand) ingehuurd en is bij calamiteiten oproepbaar. In sommige gevallen is dat goedkoper dan zelf de benodigde kennis en competenties up-to-date te houden.

Mag de privacy officer huidige collega de nieuwe FG worden?
De FG kan zowel iemand van binnen als buiten de organisatie zijn.[9] Van belang is dat er geen belangenverstrengeling plaatsvindt indien het iemand is van binnen de organisatie. Een FG mag geen instructies ontvangen en geen invloed uitoefenen op het proces en de controle van een verwerking. Er kan sprake zijn van belangenverstrengeling wanneer de functie privacy officer (PO) wordt gecombineerd met de functie FG. Het takenpakket van de PO kan conflicteren met de toezichthoudende rol van de FG en de onafhankelijkheid die daarvoor nodig is. De FG moet zo nodig kunnen optreden, omdat hij/zij bijvoorbeeld naar aanleiding van een klacht een onafhankelijk onderzoek moet uitvoeren. Daarmee is hij/zij een verlengstuk van de AP. Lastig wordt dit als je ‘je eigen vlees moet keuren’ waardoor de geloofwaardigheid en betrouwbaarheid van de FG geschaad kan worden. Om deze reden is het van belang dat de onafhankelijke positionering van de FG gewaarborgd blijft.

Twijfel?
Voor het geval u twijfelt aan het wel of niet moeten aanstellen van een FG kan Lex Digitalis u adviseren. Ook bieden wij ‘FG-as-a-service’ aan en kunnen advies geven over de invulling van de rol van FG of PO. Wij zijn u graag van dienst.

[1] In de praktijk wordt ook wel de Engelse afkorting DPO gebruikt.
[2] In de praktijk zijn er wel organisaties (vaak overheden) die de FG dergelijke toezichtsbevoegdheden (zoals genoemd in de Awb) toekennen.
[3] Zie art. 37-39 AVG.
[4] Art. 38 lid 6 AVG.
[5] Art. 37 lid 1 AVG. De wetgeving van de EU of van een lidstaat kan overigens ook in andere situaties vereisen dat een FG wordt aangesteld. De UAVG bevat geen dergelijke toevoeging.
[6] Constant of terugkerend, al dan niet op vaste momenten.
[7] Volgens een systeem; geregeld, georganiseerd of methodisch; in het kanter van een programma of strategie.
[8] Onder meer als het gaat om de professionaliteit en het takenpakket van de FG (zie hiervoor artikelen 37, 38 en 39 van de AVG).
[9] Art. 37 lid 6 AVG.