GDPR legt Data Protection Officers moeilijke taak op

Volgens de General Data Protection Regulation (GDPR) moeten heel wat bedrijven een Data Protection Officer (DPO) aanstellen. En die wacht geen makkelijke taak, meent advocate Heidi Waem. 

Hoewel een DPO voor alle ondernemingen nuttig kan zijn, is het aanstellen ervan slechts voor bepaalde bedrijven verplicht. “Dat zal meteen voer zijn voor discussie, want de wetgeving is daarin niet superduidelijk. Overheidsinstellingen en -organen moeten een DPO aanstellen. Maar wat valt allemaal onder de noemer overheid? Dat mogen de diverse lidstaten zelf beslissen. Een tweede categorie zijn de bedrijven die hoofdzakelijk belast zijn met het regelmatig verwerken van persoonsgegevens en monitoren op grote schaal. Wat is dat, “hoofdzakelijk”, “monitoren”, “grote schaal”? Een Facebook en een Google? Tot slot vallen ook de bedrijven die op grote schaal bijzondere categorieën van gegevens verwerken onder de verplichting. Dat gaat dan over gevoelige informatie zoals gezondheidsinfo, godsdienst, ras, gerechtelijke gegevens etc.”

Ook verwerkers verplicht

Niet alleen verwerkingsverantwoordelijken – diegenen die het doel en de middelen van de verwerking bepalen – zijn tot de aanstelling van een DPO verplicht. “Ook de zogenaamde verwerkers, de bedrijven die iets doen in naam van de verwerkingsverantwoordelijken, moeten dat doen. Dat is nieuw, want in de huidige wetgeving waren de verplichtingen voor de verwerkers beperkt.”

De taken van een DPO

Heidi Waem kijkt al even vooruit naar de belangrijkste taken en uitdagingen van de DPO’s.

1. In zijn adviserende taak moet de DPO het bedrijf inlichten over de nieuwe verordening, maar dat is niet het enige instrument dat relevant is. Ook de nationale wetgeving blijft bijvoorbeeld gelden. Men moet dus het overzicht bewaren over het geheel van wetgevingen.
2. De DPO moet toezicht houden op de naleving van de wetgeving en het beleid van de organisatie, maar ook verantwoordelijkheden toewijzen, zorgen voor bewustmaking binnen het bedrijf en werknemers opleiden.
3. Het advies geven over de Data Protection Impact Assessment (DPIA) wordt een balanceeroefening tussen de verwerking en risico’s enerzijds en de rechten en vrijheden van de betrokkenen anderzijds.
4. De DPO moet samenwerken met de toezichthoudende autoriteit en optreden als contactpersoon bij problemen. Hij zal bijvoorbeeld ook gegevens publiek moeten maken, maar moet dat met eigen naam of volstaat zijn functie?
5. Om zijn taak goed te kunnen uitvoeren moet de DPO naar behoren en tijdig ingelicht worden over nieuwe verwerkingen, processen, systemen, toepassingen en dergelijke. Maar het is niet altijd evident om zicht te hebben op alles wat er gebeurt in een onderneming. Welke verwerkingen zijn er allemaal? Welke en hoeveel gegevens worden bijgehouden? Hoe komen die daar? Waar staan ze? Bovendien betekent het in de praktijk dat de DPO van bij het begin bij alles betrokken zal moeten worden. Twee dagen voor een lancering nog even naar de privacy-aspecten kijken, lukt dus niet meer.
6. De wetgeving bepaalt dat de DPO over voldoende middelen moet beschikken, ook dat wordt voor bepaalde bedrijven niet evident. Het is niet ondenkbaar dat de DPO in de strijd zal moeten gaan met de directie over hoeveel ‘voldoende’ precies inhoudt.
7. De grootste uitdaging wordt alles op tijd klaar te krijgen, dus tegen 25 mei 2018! Dat is enkel mogelijk als er voldoende steun is vanuit alle niveaus van de onderneming en de nieuwe privacywet door de Raad van Bestuur en het management gedragen wordt.

Heidi Waem is Senior Associate bij het Benelux-advocatenkantoor NautaDutilh. Ze werkt sinds 2009 als advocaat aan de Balie van Brussel en is gespecialiseerd in data protection/privacy, intellectuele eigendom, marktpraktijken en e-commerce.