De rol van de DPO als prioriteit van de GBA voor 2023
GDPR
26 mei 2023
De aanstelling van een externe DPO biedt hiervoor een oplossing. Bij DGDM beschikken wij over gecertificeerde DPO’s die zowel de rol van externe DPO voor diverse cliënten vervullen als dagelijks geraadpleegd worden door andere DPO’s voor bijstand.
Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) ontstond een nieuwe figuur: de functionaris voor gegevensbescherming (‘Data Protection Officer’ of ‘DPO’). Hoewel de AVG naast een lijst van de taken van de DPO ook richtlijnen bevat wat de positie van de DPO binnen de onderneming betreft, merkt de Gegevensbeschermingsautoriteit toch op dat de rol van de DPO in veel gevallen vragen oproept en zelfs verkeerd wordt ingevuld.
Dit kan te verklaren zijn door het feit dat de DPO-rol toch wel een complexe en soms ambigue functie is: de DPO wordt aangesteld door de verwerkingsverantwoordelijke (of verwerker), terwijl hij verplicht is om onafhankelijk adviezen te geven zonder druk van binnen- of buitenaf.
De Gegevensbeschermingsautoriteit (GBA) heeft o.m. daarom de rol van de DPO als één van haar prioriteiten gesteld voor het jaar 2023.
Verwerkingsverantwoordelijken en verwerkers doen er dan ook goed aan om hun DPO zorgvuldig te kiezen.
Bijzondere aandacht gaat naar het statuut van de DPO binnen een organisatie.
Het is namelijk vereist dat een DPO zijn taken in volle onafhankelijkheid kan uitoefenen. Zo mag de DPO geen instructies ontvangen hoe hij zijn taken moet uitvoeren, moet hij rechtstreeks verslag uitbrengen aan het hoogste niveau van de directie, mag er geen belangenconflict bestaan voor wat betreft de DPO-taken met eventuele andere taken of functies van de DPO-persoon, enz.
De AVG staat weliswaar toe dat de DPO andere taken mag vervullen, voor zover deze taken geen belangenconflict met zich brengen. Dit betekent onder meer dat de functie van DPO alleszins niet kan worden gecombineerd met de hoedanigheid van beslissingsnemer met betrekking tot het verwerken van persoonsgegevens.
De rechtspraak heeft reeds meermaals bevestigd dat een managementfunctie is uitgesloten. Het is niet de bedoeling dat een DPO adviseert over een bepaalde verwerking wanneer hij vooraf eerst zelf het doel en de middelen ervan heeft bepaald. In voorkomend geval moet de DPO zich verder onthouden van het uitvoeren van die taak, dan wel de functie van DPO naast zich neerleggen.
Het is duidelijk dat de AVG hoge eisen stelt aan de rol van de DPO binnen een onderneming. De Inspectiedienst van de GBA zal dan ook de plaats van de DPO in organisaties regelmatig gaan onderzoeken en kijken of zij over de nodige middelen beschikken om hun taken uit te voeren, alsook of zij wel voldoende onafhankelijk zijn van het management.
De rol van de DPO als prioriteit van de GBA in 2023
Nationale en Europese toezichthouders zien de DPO als ultieme bondgenoot voor de naleving van de AVG in de markt en het is hun betrachting om deze rol als onafhankelijke tussenpersoon tussen toezichthouder en bedrijfseenheid nog meer te ondersteunen, maar ook om de invulling van de rol van DPO verder te controleren! Dit zal de GBA dan ook doen aan de hand van preventieve acties én verdere controle.
Op het vlak van bewustmaking wil de GBA het belang van de rol van de DPO benadrukken bij onder meer het behandelen van verzoeken van betrokkenen en het melden van datalekken. Daarnaast probeert de GBA meer en meer bewustmaking te creëren voor de essentiële adviesrol van de DPO bij de opmaak van een gegevensbeschermings-effectbeoordeling of ‘DPIA’.
De GBA zal de rol van DPO ook verder ondersteunen op het vlak van controle. Nog al te vaak blijkt immers dat de DPO onvoldoende ondersteund wordt, niet of laattijdig betrokken wordt en zijn adviezen niet (voldoende) worden gevolgd. Vaak moet worden vastgesteld dat de DPO om uiteenlopende redenen niet voldoet aan de vereisten die de AVG oplegt.
Nood aan een onafhankelijke en betrouwbare DPO?
Indien de GBA bij controles inderdaad vaststelt dat de DPO-functie verkeerd wordt toegepast, soms louter omwille van een volledig gebrek aan voldoende onafhankelijkheid, stelt de onderneming zich vaak bloot aan zeer hoge boetes. Gelet op de prioriteit van de GBA wordt het dit jaar dus des te belangrijker dat bedrijven de rol van de DPO niet onderschatten of lichtzinnig omgaan met de aanstelling van een DPO.
De aanstelling van een externe DPO biedt het hoofd aan de bovenstaande bekommernissen.
Daarnaast kan externe begeleiding door een privacy-expert, al dan niet DPO, ook heel wat bedrijven en hun DPO’s ondersteunen het uitvoeren van een correct gegevensbeschermingsbeleid.
Voor al uw vragen omtrent de aanstelling van een DPO en invulling van de taken van de DPO kan u bij ons terecht.
Bij DGDM beschikken wij over gecertificeerde DPO’s die zowel de rol van externe DPO voor diverse cliënten vervullen als dagelijks geraadpleegd worden door andere DPO’s voor bijstand.
