Onafhankelijke rol van de Functionaris voor gegevensbescherming
Een FG dient zijn werkzaamheden onafhankelijk uit te kunnen voeren. De AVG stelt een aantal eisen om deze onafhankelijkheid te garanderen:
- De organisatie die de FG aanstelt mag geen instructies geven over de uitvoering van zijn taken;
- De FG mag niet ontslagen of gesanctioneerd worden als gevolg van de uitoefening van zijn taken. Een FG is ook niet persoonlijk verantwoordelijk als de AVG niet nageleefd wordt. Dit blijft de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker;
- Indien een FG ook andere taken uitvoert binnen de organisatie, mag hij niet betrokken raken bij het beslissen over het doel en de middelen van een verwerking van persoonsgegevens;
- De FG is verplicht tot geheimhouding en vertrouwelijkheid. Dit heeft bijvoorbeeld betrekking op het contact dat betrokkenen met de FG hebben over hun rechten onder de AVG, maar is ook belangrijk wanneer de FG samenwerkt met de Autoriteit Persoonsgegevens (AP).
Wie moet de Functionaris voor gegevensbescherming aanstellen?
De verwerkingsverantwoordelijke moet de FG aannemen. Dit kan bijvoorbeeld een gemeente zijn. In de praktijk kan het ook voorkomen dat een organisatie met verschillende organen verantwoordelijk is. De wet biedt de mogelijkheid om dan een gezamenlijke FG aan te nemen. Dit kan ook een goede optie zijn voor verschillende kleine gemeenten.
Wanneer er gekozen wordt voor een gezamenlijke FG, moet er voor gezorgd worden dat deze FG zijn taken goed kan uitvoeren voor alle betrokken partijen. De FG moet bijvoorbeeld goed te bereiken zijn voor de verwerkingsverantwoordelijke die hem heeft aangesteld, de interne medewerkers, betrokkenen en de AP.
De FG moet benoemd worden op grond van zijn professionele kwaliteiten en deskundigheid op het gebied van de wetgeving en de praktijk. Daarbij moet goed nagedacht worden over de capaciteiten van de kandidaat om de taken van de FG uit te kunnen voeren. Wat daarvoor nodig is hangt mede af van de organisatie en de verwerkingen die daar worden uitgevoerd.
Wat zijn de taken van de Functionaris voor gegevensbescherming?
De AVG of de Uitvoeringswet AVG leggen de FG geen formele bevoegdheden op. Artikel 39 van de AVG schrijft wel enkele taken voor die de FG minimaal moet uitvoeren:
- Het informeren en adviseren over de verplichtingen die de verwerkingsverantwoordelijke of verwerker van persoonsgegevens heeft vanuit de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
- Het toezien op de naleving van de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
- Het toewijzen van verantwoordelijkheden, bewustmaking en opleiding van het personeel van de organisatie die persoonsgegevens verwerkt;
- Het geven van advies met betrekking tot een gegevensbeschermingseffectbeoordeling (DPIA);
- Het samenwerken met en als contactpunt optreden voor de AP.
De FG moet, indien noodzakelijk, toegang verkrijgen tot alle persoonsgegevens die in de organisatie in omloop zijn, inclusief toegang tot de verwerkingsactiviteiten die daarmee gepaard gaan. Volgens de AVG moet de organisatie ervoor zorgen dat de FG ondersteund wordt bij de uitvoering van zijn taken. Deze ondersteuning kan verschillende vormen aannemen, bijvoorbeeld het verstrekken van kantoorruimte, personeel en materiaal.
Overige aandachtspunten Functionaris voor gegevensbescherming en de AVG
Naast de hierboven genoemde eisen rond onafhankelijkheid en de taken, zijn er in diverse artikelen van de AVG nog enkele andere aandachtspunten voor de FG benoemd:
- De contactgegevens van een FG moeten genoemd worden wanneer persoonsgegevens bij een betrokkene worden verzameld (artikel 13 lid 1 b);
- De contactgegevens van een FG moeten genoemd worden wanneer persoonsgegevens niet bij een betrokkene worden verzameld (artikel 14 lid 1 b);
- De naam en de contactgegevens van de FG moeten in het register van de verwerkingsactiviteiten genoteerd worden (artikel 30);
- Bij een inbreuk in verband met persoonsgegevens deelt de verwerkingsverantwoordelijke de naam en contactgegevens van de FG mee aan de AP (artikel 33);
- Wanneer de verwerkingsverantwoordelijke de AP voorafgaand raadpleegt over een verwerking met hoog risico (DPIA), verstrekt hij ook informatie over de naam en contactgegevens van de FG (artikel 36);
- Verwerkingsverantwoordelijken moeten hun FG aanmelden bij de AP. Dat kan via dit aanmeldingsformulier. De AP verricht haar taken kosteloos voor de FG (artikel 57).
Hieronder zijn alle belangrijke zaken rond de FG in de AVG schematisch weergeven:
FG | AVG |
FG verplicht voor overheidsinstanties | Ja (artikel 37 lid 1 AVG) |
Kwalificaties |
|
In dienst of niet? |
|
Aanmelding FG AP | Verwerkingsverantwoordelijke maakt FG bekend bij AP (artikel 37 lid 7 AVG) |
Positie van FG | |
Betrekken van FG | FG wordt naar behoren en tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens |
Toegang |
|
Instructies van verwerker of verantwoordelijke | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken (artikel 38 lid 3 AVG) |
Geheimhouding | Verplicht tot geheimhouding of vertrouwelijkheid ingevolge nationaal of Unierecht (artikel 38 lid 5 AVG) |
Zorg verwerker of verantwoordelijke | Geen bepaling |
Taken FG | |
Informeren en adviseren over wettelijke taken | Informeren en adviseren over verplichtingen AVG en ander Unierechtelijke of nationaalrechtelijke gegevensbeschermingsbepalingen (artikel 39) |
Toezien op naleving wet | Toezien op naleving van AVG of andere Unierechtelijke of nationaalrechtelijke gegevensbeschermingsbepalingen en beleid van verwerker of verantwoordelijke (artikel 39) |
Overig |
|