Een Data Protection Officer (DPO) is binnen de Algemene verordening gegevensbescherming (AVG), ook bekend als General Data Protection Regulation (GDPR), een persoon met de nodige kennis van wetgeving op het gebied van gegevensbescherming. Hij weet hoe het bedrijf waar hij voor werkt de verzamelde persoonsgegevens verwerkt en houdt toezicht op de interne naleving van de AVG. DPO’s moeten hun taken en verplichtingen onafhankelijk kunnen vervullen.
A. De taken van een DPO staan vermeld in Artikel 39 van de AVG:
B. Een DPO biedt ondersteuning bij belangrijke verplichtingen uit de AVG, zoals:
In het oorspronkelijke wetsvoorstel werden organisaties verplicht om een DPO aan te stellen op het moment dat zij gegevens verwerkten van 5000 of meer datasubjecten, of wanneer zij beschikten over een bepaald aantal werknemers. Dankzij de inzet van Ecommerce Europe en Thuiswinkel.org, waarbij zij de impact van deze wet op het mkb hebben aangetoond, is de regel aangepast. Wij zijn blij met het resultaat dat de plicht om een DPO aan te stellen nu afhankelijk is gemaakt van hoeveel impact de gegevensverwerking op de persoonlijke levenssfeer van betrokkenen heeft.
De AVG stelt een DPO verplicht voor overheden en organisaties die grote hoeveelheden persoonsgegevens verwerken, beheren of opslaan, zeker als hierbij ook bijzondere persoonsgegevens in het spel zijn. Het instellen van een DPO is verplicht wanneer een organisatie:
Voor webshops zijn met name de laatste twee criteria van belang. Maar wanneer je hier onder valt, is in verband met de complexe uitleg van sommige begrippen nog niet geheel duidelijk. Daarom gaan we hier nog wat dieper in op deze begrippen.
De term ‘hoofdzakelijk’ slaat op het feit of de verwerking van persoonsgegevens is aan te merken als een kerntaak, noodzakelijk voor het uitoefenen van de hoofdactiviteit van een organisatie. Volgens de Autoriteit Persoonsgegevens (AP) zijn kerntaken de belangrijkste handelingen die nodig zijn om het doel van de verwerker van de gegevens (van de organisatie) te bereiken. Ondersteunende activiteiten, zoals ict-ondersteuning of loonadministratie, zijn wel belangrijk, maar geen hoofdactiviteit omdat ze niet noodzakelijk zijn voor het doel. Een voorbeeld: het bieden van medische zorg aan patiënten is de hoofdtaak van een ziekenhuis. Het aanbieden van medische zorg gaat echter niet zonder het verwerken van medische gegevens. In dit geval is de verwerking dus ook een hoofdactiviteit.
Het is nog niet geheel duidelijk wanneer organisaties ‘op grote schaal’ gegevens verwerken. Dit maakt het moeilijk in te schatten of een organisatie binnen deze categorie valt. In de AVG wordt ‘op grote schaal’ namelijk niet in cijfers uitgedrukt. De Artikel 29-werkgroep (WG29), een onafhankelijk advies- en overlegorgaan van Europese privacytoezichthouders, heeft geprobeerd het begrip wat te verduidelijken door criteria bij en voorbeelden uit de verordening te geven. Deze voorbeelden geven echter alleen de uitersten van het spectrum weer, van de kleine verwerking van medische gegevens door een arts tot een ziekenhuis dat voor een regio de patiëntgegevens verwerkt. Het blijft een grijs gebied, waarbij de WG29 heeft aangegeven dat het op den duur zelf wil bijdragen aan de ontwikkeling van duidelijke maatstaven. Of er sprake is van verwerking ‘op grote schaal’ is volgens de WG29 nu afhankelijk van het aantal, het volume, de duur en de geografische omvang van de verwerking.
Het begrip ‘regelmatige en stelselmatige observatie’ wordt niet uitgelegd in de AVG, maar besproken in een van de overwegingen bij de verordening. Hierin staat dat het in ieder geval alle vormen van gegevensverwerking zijn waarin een consument online wordt gevolgd en/of waarbij er een profiel van het online gedrag wordt gemaakt. Alle vormen van gedragsreclame door webshops komen hier dus onder te vallen. De WG29 geeft aan dat er sprake is van regelmatige observatie wanneer er voortdurend of periodiek, op gezette tijden, herhaaldelijk persoonsgegevens worden verwerkt. Stelselmatige observatie wordt uitgelegd als het volgens een systeem, georganiseerd, in het kader van een plan, of uitgevoerd als onderdeel van een strategie volgen van consumenten. Voorbeelden hiervan zijn het verstrekken van telecommunicatiediensten, e-mailretargeting, kredietbeoordelingen, loyaliteitsprogramma’s, het bijhouden van locaties via mobiele applicaties, slimme meters en andere vormen van thuismonitoring.
De derde categorie waarbij een DPO verplicht is, ziet toe op de bescherming van bijzondere persoonsgegevens. Dit zijn gevoelige gegevens zoals biometrische gegevens, genetische gegevens, gezondheid, godsdienst, lidmaatschap van een vakvereniging, politieke opvatting, ras, seksuele voorkeur en/of strafrechtelijk gedrag. Het verwerken van deze gegevens is, in de meeste gevallen verboden. Webshops die, gezien hun aard of met toestemming van consumenten, op grote schaal hoofzakelijk bijzondere persoonsgegevens verwerken, zijn in ieder geval verplicht een DPO aan te stellen.
Kortom, het aanstellen van een DPO is niet verplicht voor iedere organisatie. In veel gevallen is dit echter toch verstandig. Een DPO geeft de ondernemer de zekerheid dat zijn of haar organisatie aan de regels voldoet en dit in de toekomst ook blijft doen. Daarnaast worden op deze manier controles en maatregelen door de toezichthouder voorkomen. Zeker nu toezichthouders onder de AVG meer bevoegdheden krijgen, zoals het uitdelen van hogere boetes, dient de aanstelling van een DPO te worden overwogen. Een DPO mag zowel binnen als buiten de organisatie worden aangesteld (hij of zij kan bijvoorbeeld onderdeel zijn van een onderneming die toeziet op meerdere organisaties). Zelfs voor kleinere webshops kan zo, bijvoorbeeld op basis van een servicecontract, een DPO een haalbare en waardevolle aanvulling zijn op de bedrijfsvoering.