Op grond van artikel 37 van de AVG kunnen organisaties verplicht zijn een functionaris voor gegevensbescherming (FG) aan te stellen. De FG houdt toezicht op de toepassing en naleving van de AVG.
Op grond van de AVG is een FG in de volgende situaties verplicht:
- Voor overheden en publieke organisaties
Deze verplichting geldt ongeacht het type gegevens wat wordt verwerkt. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
- Regelmatige en stelsmatige observatie op grote schaal
Organisaties die als kernactiviteit op grote schaal regelmatig en stelselmatig betrokkenen observeren, zijn ook verplicht een FG aan te stellen.
- Het verwerken van bijzondere persoonsgegevens op grote schaal
Als een organisatie als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerkt, is het aanstellen van een FG ook verplicht. Bijzondere persoonsgegevens zijn gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging en/of strafrechtelijke verleden.
Guidelines FG
De Europese privacytoezichthouders hebben in april 2017 de Guidelines on Data Protection Officers gepubliceerd. Dit document geeft uitleg over de FG. Er is ook een officiële Nederlandse vertaling van de guidelines FG beschikbaar.
FG aanmelden
Organisaties moeten hun FG aanmelden bij de Autoriteit Persoonsgegevens. Aanmelden kan via het aanmeldingsformulier functionaris voor de gegevensbescherming.
FG delen
Meerdere organisaties mogen een FG delen. Dit mag alleen als een goed bereikbaar is vanuit elke afdeling en vestiging. Dit wil zeggen:
-
de contactgegevens zijn uitgebreid bekend;
-
het maken van een afspraak met de FG is helder beschreven en praktisch uitgewerkt.
FG in dubbele rol en geheimhouding
Over de rol van de functionaris voor gegevensbescherming (FG), zegt de AVG het volgende:
- Artikel 38, vijfde lid, AVG: “De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden.”
- Artikel 38, zesde lid, AVG: “De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”
Kortom, de AVG bepaalt dat een FG andere taken en plichten binnen een organisatie mag vervullen, mits er geen belangenconflict ontstaat. Daarnaast mag een FG in een dubbelrol, niet meebeslissen over bepaalde gegevensverwerkingen (bijvoorbeeld vanuit zijn rol als manager of ISO-auditor), om belangenverstrengeling of schijn daarvan te voorkomen.