In welke gevallen is het verplicht om een Data Protection Officer of een Functionaris voor de Gegevensbescherming aan te stellen? Wij zetten alles voor u op een rijtje.


In het artikel "De GDPR Stap 1: Een GDPR-Team en/of Data Protection Officer en zijn team" hebben we gelezen dat het in sommige gevallen verplicht is om een Data Protection Officer (DPO) of Functionaris voor de Gegevensbescherming aan te stellen.

De drie toepassingsgevallen voor een verplichte aanstelling zijn de volgende:

  • verwerking door†overheidsinstantie of -orgaan, met uitzondering van gerechten bij uitoefening rechterlijke taken;

  • de verantwoordelijke is†hoofdzakelijk belast†met verwerkingen die vanwege aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal†van betrokkenen vereisen;

  • de verantwoordelijke is hoofdzakelijk belast met†grootschalige verwerking van†bijzondere categorieŽn van gegevens (ook wel gevoelige persoonsgegevens genoemd zoals onder andere gezondheidsgegevens, iemands seksuele geaardheid of politieke overtuiging) en van persoonsgegevens met betrekking tot†strafrechtelijke veroordelingen en strafbare feiten.†

Ondernemingen kunnen ook steeds vrijwillig een Data Protection Officer aanstellen. Bij een vrijwillige aanduiding van een DPO, kan het misschien aangeraden zijn om een andere benaming te gebruiken dan de "Data Protection Officer / DPO" of "Functionaris voor de Gegevensbescherming" aangezien dit zal leiden tot het verplicht aanmelden van de DPO aan de Privacycommissie.†

De GDPR schrijft immers in art. 37.7 voor dat de verwerkingsverantwoordelijke (de organisatie die het doeleinde van de verwerking van persoonsgegevens en de middelen voor de verwerking bepaalt) of de verwerker (verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke) de contactgegevens van de DPO bekend moet maken en tevens dient mee te delen aan de toezichthoudende autoriteit (art. 37.7 GDPR). Dit is in BelgiŽ nog voor enkele dagen/weken de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (ook wel Privacycommissie), maar binnenkort zal dit de Gegevensbeschermingsautoriteit worden met haar nieuwe bevoegdheden (inspectie- en sanctioneringsbevoegdheid). (Lees het artikel Privacycommissie wordt Gegevensbeschermingsautoriteit met slagkrachtvan 15/01/2018)

De Privacycommissie heeft nu een meldingsformulier beschikbaar gesteld op haar website waarbij zij tevens de te volgens formele procedure toelicht.

Klik hier voor de procedure en het meldingsformulier