De Algemene Verordening Gegevensbescherming (deel 2): is de aanstelling van een DPO verplicht voor mijn onderneming?

Michiel Beutels |

De Algemene Verordening Gegevensbescherming (General Data Protection Regulation / GDPR) is op 24 mei 2016 in werking getreden. De GDPR vervangt de databeschermingsrichtlijn (Data Protection Directive) van 1995.

In de GDPR werd een overgangsperiode van twee jaar voorzien, zodat ondernemingen, organisaties (en de privacycommissie) tot 25 mei 2018 de tijd hebben om zich aan te passen aan de nieuwe eisen van de GDPR.

We bespraken in een eerder artikel al kort het achterliggende doel van de nieuwe wetgeving, bepaalde nieuwigheden, het bestaan van administratieve geldboetes en de rechten van de betrokkenen.

De figuur “Data protection officer” (DPO) of functionaris voor de gegevensbescherming is één van die nieuwe elementen die voorkomt in de GDPR.

Een belangrijke bijkomende vraag die de toepassing van de GDPR en de figuur van de DPO met zich meebrengt is: wanneer is de aanstelling van een DPO verplicht?

In artikel 37 van de GDPR staat vermeld dat de aanstelling van een DPO verplicht is in de volgende gevallen:

 

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

 

Het is in eerste instantie belangrijk om op te merken dat de lidstaten hier een afwijkende regeling kunnen implementeren en meer concreet ervoor kunnen opteren om ook in andere gevallen de aanwijzing van een DPO op te leggen (zie artikel 37, lid 4 GDPR).

Het is duidelijk dat er voor overheidsinstanties en overheidsorganen altijd een verplichting geldt. De criteria in gevallen 2) en 3) zijn echter veel minder helder.

In een richtlijn van 13.12.2016 (herzien op 05.04.2017) bracht de Groep gegevensbescherming artikel 29 ("Working Party 29 of WP29"), een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer dat werd opgericht op grond van artikel 29 van de databeschermingsrichtlijn, toelichting bij begrippen als “kerntaken”, “op grote schaal” en “regelmatige en stelselmatige observatie”.

Wat de kerntaken (“hoofdzakelijk belast zijn met”) betreft wordt in overweging 97 van de GDPR gespecificeerd dat de kerntaken van een verwerkingsverantwoordelijke betrekking hebben op hoofdactiviteiten en niet op de verwerking van persoonsgegevens als nevenactiviteit. Kerntaken kunnen worden beschouwd als de belangrijkste handelingen die nodig zijn om de doelstellingen van de verwerkingsverantwoordelijke of de verwerker te bereiken.

Als voorbeeld wordt een privaat beveiligingsbedrijf aangehaald dat instaat voor de bewaking van een aantal private winkelcentra en openbare ruimten. De bewaking, de kerntaak van het bedrijf, is onlosmakelijk verbonden met de verwerking van persoonsgegevens. Anderzijds zijn noodzakelijke ondersteuningsfuncties voor de kerntaak van de organisatie, zoals standaard IT-ondersteuning, doorgaans als nevenactiviteit te beschouwen.

De term grootschalige verwerking wordt dan weer verduidelijkt in overweging 91 van de GDPR. Het gaat met name om een verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die een hoog risico met zich kunnen brengen.

In de richtlijn van de WP29 worden er verschillende uitersten als voorbeelden gegeven.

Verwerking van reisgegevens van personen die van het openbaar vervoerssysteem in een stad gebruikmaken, van realtime geolocatiegegevens van klanten van een internationale fastfoodketen voor statistische doeleinden door een verwerker die gespecialiseerd is in het leveren van dergelijke diensten en van klantgegevens in het kader van de regelmatige bedrijfsvoering van een verzekeringsmaatschappij of een bank worden enerzijds gezien als een grootschalige verwerking.

Anderzijds wordt bijvoorbeeld de verwerking van patiëntgegevens door een individuele arts niet als grootschalig beschouwd.

De realiteit zal zich voor vele ondernemingen ergens in het midden bevinden.

De WP29 geeft voor die gevallen enkele factoren die in aanmerking moeten genomen  worden bij het bepalen of de verwerking al dan niet op grote schaal wordt uitgevoerd:

  • Het aantal betrokkenen waarover het gaat - hetzij als een specifiek aantal of als een evenredig deel van de relevante populatie
  • De hoeveelheid gegevens en/of het bereik van de verschillende verwerkte gegevensitems
  • De duur of permanentie van de gegevensverwerking
  • De geografische omvang van de verwerkingsactiviteit

Wat tot slot de regelmatige en stelselmatige observatie betreft is er geen definitie terug te vinden in de GDPR zelf, maar het concept "controle van het gedrag van betrokkenen" wordt wel in overweging 24 vermeld.

Om uit te maken of een verwerking kan worden beschouwd als een controle van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of in dat verband eventueel persoonsgegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.

Bovendien geeft de WP29 in haar richtlijn enkele voorbeelden aan van activiteiten die als een regelmatige en stelselmatige observatie van betrokkenen worden beschouwd: telecommunicatiediensten leveren, retargeting via e-mail, marketingactiviteiten op basis van gegevens, profilering en scores toekennen met het oog op risicobeoordeling (bv. voor toekenning van een kredietwaardigheidsscore, bepaling van verzekeringspremies, fraudepreventie, detectie van witwaspraktijken), locatietracering, programma's voor klantenbinding, gedragsgerelateerde publiciteit, enz. 

Zelfs wanneer de aanstelling van een DPO niet wordt vereist, kan het mogelijks wel interessant zijn om op vrijwillige basis een DPO aan te wijzen. WP29 moedigt vrijwillige inspanningen aan en het aanwijzen van een DPO wordt over het algemeen gezien als een “good practice”

 

Michiel Beutels

Advocaat