Sinds de officiële publicatie van de GDPR zijn er reeds een aantal zaken veranderd of verduidelijkt. De regelgeving inzake de DPO of Data Protection Officer heeft zijn eigen richtlijnen gekregen van de WP29, een Europees adviesorgaan. We zetten de belangrijkste zaken en verduidelijkingen graag even op een rijtje. Want het is niet altijd duidelijk wanneer u nu wel of geen DPO moet aanduiden.
WP29: wat is dat?
WP29, of Working Party 29, is een adviserend orgaan dat bestaat uit vertegenwoordigers uit ieder land van de EU, vertegenwoordigers van de Europese instellingen, en een vertegenwoordiger van de Europese Commissie.
Het materiaal dat ze publiceren, dus ook de richtlijnen over de DPO, geeft hun advies weer en zegt niets over de officiële positie van de Europese Commissie. De WP is een platform voor coöperatie en haar verantwoordelijkheden zijn:
- Advies geven inzake gegevensbescherming vanuit het nationaal niveau aan de Europese commissie,
- De Europese Commisie advies geven over ieder Europees gemeenschapsrecht dat invloed heeft op het recht op gegevensbescherming.
In december 2016 publiceerde ze haar richtlijnen bij de invoer van de rol van Data Protection Officer. De plicht om een DPO aan te duiden is een van de meest ingrijpende veranderingen van de GDPR, maar is niet voor iedereen geldig. Er zijn criteria waaraan een organisatie moet beantwoorden. U leest meer over Data Protection Officer, zijn functies en de praktische zaken in onze blogpost.
Concretisering van voorwaarden
Een opvallende afwezige in Richtlijn WP29 is de voorwaarde dat een bedrijf zich moet bezighouden met de verwerking van persoonsgegevens van meer dan 5.000 gegevensverstrekkers per jaar. Dit is ook niet langer een specifieke voorwaarde van de GDPR. In de plaats daarvan biedt de richtlijn verduidelijking bij de overige voorwaarden.
Voorwaarde 1: de verwerking wordt uitgevoerd door een publieke autoriteit of overheidsinstantie.
De GDPR verduidelijkt niet wat onder de noemer "publieke autoriteit of overheidsinstantie" kan vallen. De richtlijn stelt dat de regionale autoriteit deze notie moet bepalen. Bovendien zijn er een aantal publieke taken die niet (alleen) door publieke instanties worden uitgevoerd, maar ook door andere natuurlijke of rechtspersonen die publieke of private wetten naleven.
In zulke gevallen kunnen gegevensverstrekkers nood hebben aan de extra bescherming die een DPO kan bieden. Ze kunnen namelijk niet altijd kiezen hoe en waarom de gegevensverwerking plaatsvindt. Al is er geen sprake van een verplichte aanduiding van een DPO, toch raadt de WP29 dit aan.
Voorwaarde 2: de kernactiviteiten van de gegevensverwerker of -verantwoordelijke bestaan uit verwerkingsactiviteiten waarvoor een regelmatige en systematische controle van gegevensverstrekkers op grote schaal nodig is.
De term 'kernactiviteiten' verwijst naar hoofdactiviteiten en heeft niets te maken met de verwerking van persoonsgegevens als ondergeschikte activiteit. Dit sluit echter niet die activiteiten uit waar de gegevensverwerking onlosmakelijk verbonden is met de activiteiten van de gegevensverantwoordelijke of -verwerker. Hier bestaat de uitdaging eruit het onderscheid te maken tussen "ondergeschikte activiteiten", zoals noodzakelijke ondersteuningsfuncties binnen een bedrijf, en de "onlosmakelijk verbonden activiteiten", zoals gegevensverwerking bij een beveiligingsfirma.
IT-support is een voorbeeld van een ondersteuningsfunctie binnen een bedrijf dat essentieel is, maar niet tot de kernactiviteit behoort.
De term "op grote schaal" krijgt ook geen nadere verklaring in de GDPR, maar inmiddels werden een aantal richtlijnen vastgelegd. Het is niet mogelijk om een exact aantal te plakken op de hoeveelheid verwerkte gegevens of de hoeveelheid betrokken gegevensverstrekkers. De situaties zijn te uiteenlopend. Er wordt wel verwacht dat er, naargelang de tijd verstrekt, een standaard zal ontstaan voor vaak voorkomende verwerkingsactiviteiten. De WP29 zal ook praktijkvoorbeelden die relevant zijn, publiceren. Om te bepalen of iets "op grote schaal" plaatsvindt, raadt de Working Party aan om rekening te houden met volgende zaken:
- Het aantal betrokken gegevensverstrekkers: dit kan een absoluut cijfer zijn of een percentage ten opzichte van de relevante populatie;
- Het volume van de gegevens;
- De duur van de verwerkingsactiviteiten;
- De geografische omvang van de verwerkingsactiviteiten.
Wat er juist met "regelmatige en systematische controle van gegevensverstrekkers" bedoeld wordt, staat niet duidelijk beschreven in de GDPR. In recital 24 staat wel dat de "controle van gegevensverstrekkers" slaat op iedere vorm van tracking en profiling op het internet, ook niet voor adverteringsdoeleinden.
Volgens de WP is de actie "regelmatig" als ze:
- lopende is, of plaatsvindt op bepaalde tijdstippen voor een bepaalde periode,
- of terugkerend is, of herhaald wordt op vaste tijdstippen,
- of voortdurend of periodiek plaatsvindt.
Een actie is volgens hen "systematisch" als ze:
- Volgens een bepaald systeem plaatsvindt,
- of vooraf vastgelegd, georganiserd of methodisch is,
- of deel uitmaken van een algemeen plan voor gegevensverzameling,
- of werd uitgevoerd als onderdeel van een strategie.
Voorwaarde 3: de kernactiviteiten van de gegevensverwerker of -verantwoordelijke bestaan uit de verwerking van bijzondere categorieën van gegevens of van persoonsgegevens inzake criminele veroordelingen en overtredingen op grote schaal.
In de GDPR staat het uitgeschreven alsof er aan beide criteria (bijzondere categorieën en gegevens inzake criminele veroordelingen) moet worden voldaan, maar in realiteit geldt hier dat je maar aan de ene of de andere moet beantwoorden.
DPO bij gegevensverantwoordelijke én -verwerker
Deze voorwaarde geldt zowel voor de gegevensverantwoordelijke als de -verwerker. In sommige gevallen hoeft slechts één een DPO aan te duiden, in andere moeten ze het beide doen. Zelfs al beantwoordt de verantwoordelijke aan de voorwaarden om een DPO te benoemen, is het geen zekerheid dat de verwerker hier ook toe verplicht is.
Contactgegevens van DPO: publicatie
De GDPR verwacht van de gegevensverantwoordelijke- en verwerker dat ze:
- de contactgegevens van de DPO publiceren,
- en dat ze die gegevens ook doorgeven aan de bevoegde autoriteit.
Het idee daarachter is dat iedere dataverstrekker en autoriteit de DPO direct en op vertrouwelijke wijze kan contacteren zonder dat de organisatie hierbij bertrokken hoeft te raken. Om welke gegevens gaat het dan?
- Adres
- Een toegewezen telefoonnummer
- Een toegewezen e-mailadres
In de GDPR staat niet specifiek dat de naam van de Data Protection Officer gepubliceerd moet worden. De WP raadt echter aan dat een organisatie de bevoegde autoriteit en werknemers op de hoogte brengt van de naam en contactgegevens van de DPO.