Een functionaris voor de gegevensbescherming (FG) is binnen een organisatie de persoon die toezicht houdt op de toepassing en naleving van de privacywetgeving. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Veel organisaties zijn vanaf dat moment verplicht om een FG aangesteld te hebben. In welke gevallen is een FG eigenlijk verplicht? Wat is de rol van de FG en hoe positioneer je deze persoon in een organisatie?
Wanneer is een FG verplicht?
Volgens artikel 37 lid 1 van de AVG is het aanstellen van een FG verplicht als:
- de verwerking van persoonsgegevens wordt gedaan door een overheidsinstantie of overheidsorgaan. Voor rechtbanken geldt deze verplichting niet, voor zover het om hun gerechtelijke taken gaat
- een organisatie zich voornamelijk bezig houdt met werkzaamheden die vereisen dat er stelselmatig op grote schaal personen worden geobserveerd
- een organisatie zich voornamelijk bezig houdt met het op grote schaal verzamelen en gebruiken van bijzondere persoonsgegevens (gegevens over gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden)
Natuurlijk zijn organisaties die niet onder deze criteria vallen vrij om wel een FG aan te stellen.
Wat doet een functionaris voor de gegevensbescherming?
De FG is intern toezichthouder op de toepassing en naleving van de AVG. Concreter houdt dit in dat de FG:
- in kaart brengt welke verwerkingen van persoonsgegevens allemaal plaatsvinden in een organisatie
- deze verwerkingen analyseert en beoordeelt in hoeverre deze in overeenstemming met de AVG plaatsvinden
- de organisatie adviseert over deze verwerkingen en aanbevelingen doet voor eventuele aanpassingen in de werkwijze
- de eerste contactpersoon is voor mensen van wie de persoonsgegevens worden verwerkt
Om deze taken goed te kunnen uitoefenen heeft de FG een bijzondere rechtspositie gekregen. In artikel 38 van de AVG wordt namelijk benoemd dat de FG tijdig dient te worden betrokken bij aangelegenheden die met de verwerking van persoonsgegevens te maken hebben en dient hij ook daadwerkelijk toegang te krijgen tot persoonsgegevens en verwerkingsactiviteiten. De FG mag verder geen instructies ontvangen voor de uitvoering van zijn taken en geniet voor wat betreft deze taken ook ontslagbescherming.
Dat de functionaris voor de gegevensbescherming intern toezichthouder is, betekent niet dat hij een verlengstuk is van de Autoriteit Persoonsgegevens (AP). De AP behoudt als extern toezichthouder al haar taken en bevoegdheden, ook ten aanzien van organisaties die een FG hebben aangesteld. Wat wel gezegd kan worden is dat de AP zich terughoudender zal opstellen naar organisaties met een FG.
Waar positioneer je de FG in een organisatie?
In de AVG staat dat de functionaris voor de gegevensbescherming binnen een organisatie ook andere taken kan vervullen. Van belang is echter dat deze andere taken niet tot een belangenconflict mogen leiden. Er is sprake van een belangenconflict als een medewerker als FG functioneert en daarnaast ook een functie bekleedt waarbij hij of zij ‘het doel en de middelen van een gegevensverwerking bepaalt’, oftewel als die persoon iets te zeggen heeft over de manier waarop persoonsgegevens verzameld en/of gebruikt worden. Dat betekent dat het af te raden is om bijvoorbeeld lijnmanagers of de Chief Information Security Officer (CISO) aan te stellen als FG. Dit zou namelijk betekenen dat ze bij de uitvoering van de FG-taken ‘hun eigen vlees gaan keuren’. Dit bevordert niet bepaald de onafhankelijkheid van de FG.
Elke organisatie heeft natuurlijk een specifieke organisatiestructuur. Of er sprake is van een belangenconflict dient daarom per geval bekeken te worden.
FG aanmelden bij de Autoriteit Persoonsgegevens
Organisaties die verplicht zijn een functionaris voor de gegevensbescherming aan te stellen dienen deze voor 25 mei 2018 aangemeld te hebben bij de AP. Dit kan middels een aanmeldformulier op de website van de AP. Op 3 april heeft de AP een nieuw formulier gepubliceerd. Dit betekent dat als een FG vóór 3 april 2018 is aangemeld, deze opnieuw aangemeld dient te worden via het nieuwe formulier. Oude aanmeldingen komen per 25 mei 2018 te vervallen!
Ook als een organisatie vrijwillig een FG aanstelt, moet deze aangemeld worden bij de AP.