Get Even More Visitors To Your Blog, Upgrade To A Business Listing >>

Moeten we een DPO benoemen?

GDPR

Een DPO (Data Protection Officer) ofwel FG (Functionaris Gegevensbescherming), Moet je onder de GDPR (AVG) aan te stellen als:

  • Er sprake is van een overheidsinstantie of -orgaan (uitgezonderd rechtbanken).
  • De kernactiviteiten grootschalige, regelmatige en systematische monitoring van individuen vereisen (bijvoorbeeld het volgen van online gedrag).
  • De kernactiviteiten bestaan ​​uit grootschalige verwerking van speciale categorieën data zoals strafrechtelijke veroordelingen en strafbare feiten.

Ongeacht of de GDPR je verplicht om een ​​DPO te benoemen, moet je Ervoor Zorgen Dat je organisatie over voldoende personeel en middelen beschikt om de verplichtingen van de GDPR na te komen. Deze functionaris helpt om binnen de wet te opereren door over compliance te adviseren en te controleren. Op deze manier kan hij een belangrijke rol spelen in de governancestructuur voor de gegevensbescherming van je organisatie en om de verantwoordingsplicht te verbeteren.

Als je geen DPO hoeft aan te stellen is het een goed idee om deze beslissing vast te leggen om aan te tonen dat het verantwoordingsbeginsel wordt nageleefd.

Welke professionele kwaliteiten moet de DPO hebben?

De GDPR zegt dat je een functionaris moet benoemen op basis van zijn professionele kwaliteiten, en met name ervaring en deskundige kennis van de wetgeving inzake gegevensbescherming. Diploma’s of certificaten worden niet gespecificeerd, maar er staat wel in dat het in verhouding moet staan ​​tot het type verwerking van de organisatie, rekening houdend met het beschermingsniveau dat de persoonlijke gegevens vereisen.

Wat zijn de taken van de DPO?

De taken van de DPO worden in artikel 39 gedefinieerd als:

  • Her informeren en adviseren van medewerkers over de verplichtingen om te voldoen aan de GDPR en andere wetten inzake gegevensbescherming;
  • Het toezicht houden op de naleving van de GDPR en andere gegevensbeschermingswetten, en met uw beleid inzake gegevensbescherming, inclusief het beheer van interne gegevensbeschermingsactiviteiten; bewustmaking van gegevensbeschermingskwesties, opleiding van personeel en uitvoering van interne audits.
  • Het geven van advies over en toezicht houden op gegevensbeschermings- effectbeoordelingen.
  • Het samenwerken met de toezichthoudende autoriteit.
  • Optreden als het eerste aanspreekpunt voor toezichthoudende autoriteiten en voor personen van wie de gegevens worden verwerkt (werknemers, klanten, enz.).

Alle activiteiten m.b.t. privacy

Het is belangrijk om te onthouden dat de taken betrekking hebben op alle activiteiten voor de verwerking van persoonsgegevens, niet alleen op die waarvoor zij op grond van artikel 37, lid 1, moeten worden benoemd.

  • Bij het uitvoeren van DPO-taken moet rekening worden houden met het risico dat verbonden is aan de verwerking. Rekening moet worden gehouden met de aard, omvang, context en doeleinden van de verwerking.
  • Hij moet prioriteiten stellen en zich concentreren op de meer risicovolle activiteiten, bijvoorbeeld als er speciale categoriegegevens worden verwerkt of wanneer de potentiële impact op personen schadelijk kan zijn. Daarom moeten DPO’s op risico gebaseerde adviezen verstrekken aan de organisatie.
  • Als je het advies van je Data Protection Officer niet op volgt, moet je de redenen documenteren.

Mag de DPO ook andere taken uitvoeren?

De GDPR zegt dat je andere taken kunt toewijzen, zolang deze niet leiden tot een belangenconflict met de primaire DPO-taken.

In feite betekent dit dat je hem geen positie binnen je organisatie kan geven die hem of haar ertoe brengt de doelen en de middelen voor de verwerking van persoonsgegevens te bepalen. Tegelijkertijd mag niet worden verwacht dat hij concurrerende doelstellingen heeft die ertoe zouden kunnen leiden dat gegevensbescherming een ondergeschikte rol speelt bij zakelijke belangen.

Kan het een bestaande medewerker zijn?

Ja. Zolang de professionele taken van de medewerker verenigbaar zijn met de taken van de DPO en niet leiden tot een belangenconflict, kan je een bestaande medewerker benoemen.

Kunnen we de DPO-rol uitbesteden?

Je kunt de rol van DPO uitbesteden, op basis van een servicecontract met een persoon of een organisatie. Het is belangrijk dat je je ervan bewust bent  dat een extern benoemde Data Protection Officer dezelfde positie en taken heeft als een intern aangewezen persoon.

Kunnen we een functionaris delen met andere organisaties?

  • Je mag iemand aanwijzen die optreedt voor een groep bedrijven of overheidsinstanties.
  • Als deze DPO meerdere organisaties bestrijkt, moeten deze nog steeds in staat zijn om zijn taken effectief uit te voeren. Dit betekent dat je moet overwegen of een persoon op realistische wijze een grote of complexe verzameling organisaties kan dekken. Je moet ervoor zorgen dat ze over de nodige middelen beschikken om hun rol te vervullen en dat er eventueel ondersteuning is door een team.
  • Je DPO moet bereikbaar zijn voor je medewerkers, de CIO en mensen van wie je de persoonsgegevens verwerkt.

Kan je meer dan één DPO hebben?

  • De GDPR bepaalt dat een organisatie één DPO moet benoemen om de in artikel 39 vereiste taken uit te voeren. Dit neemt niet weg dat zij andere gegevensbeschermingsspecialisten mag aanstellen als onderdeel van een privacy team.

Wat moeten we doen om de DPO te ondersteunen?

U moet ervoor zorgen dat:

  • De DPO is nauw en tijdig betrokken bij alle kwesties inzake gegevensbescherming.
  • Hij rapporteert aan het hoogste managementniveau, dat wil zeggen de raad van bestuur of de directie.
  • Ontslag of bestraffing voor het uitvoeren van zijn taken is niet mogelijk. De DPO opereert onafhankelijk.
  • Zorgt voor voldoende middelen (voldoende tijd, financiële middelen, infrastructuur en, in voorkomend geval, personeel) om de DPO in staat te stellen aan de GDPR-verplichtingen te voldoen en zijn kennisniveau te handhaven.
  • Geef hem toegang tot persoonlijke gegevens en verwerkingsactiviteiten;

Een juiste invullng toont het belang van de DPO voor je organisatie aan. Het betekent dat je voldoende ondersteuning moet bieden zodat hij zijn rol onafhankelijk kan uitvoeren. Onderdeel hiervan is de vereiste dat hij of zij rapporteert aan het hoogste managementniveau. Dit betekent niet dat de DPO op dit niveau lijngestuurd moet zijn, maar dat hij direct advies moet kunnen geven aan hogere managers die beslissen over de verwerking van persoonsgegevens.

LinkedIn GroupDiscussieer mee op LinkedIn.




-- Printbare PDF-versie --


Gerelateerde artikelen

  • De impact van de AVG voor organisaties. Waarom is certificering interessant?16 mei 2018 De impact van de AVG voor organisaties. Waarom is certificering interessant?
  • Rapport - verslag - report16 oktober 2017 6 privacy-issues die in 2018 moeten worden opgelost
  • De GDPR, wat is het effect?24 maart 2018 De GDPR, wat is het effect?
  • Rechtmatig Operationeel Handelen in ICT23 juni 2011 Rechtmatig Operationeel Handelen in ICT
  • Is het strafbaar om je systeem slecht te beveiligen?21 januari 2014 Is het strafbaar om je systeem slecht te beveiligen?
  • Beacon Apps & GDPR, privacy staat bovenaan13 juni 2018 Beacon Apps & GDPR, privacy staat bovenaan
  • Datalekken? Maak een sterke SLA23 april 2018 Datalekken? Maak een sterke SLA
  • 10 verplichte GDPR compliant website aanpassingen26 maart 2018 10 verplichte GDPR compliant website aanpassingen
  • Facebook onttrekt zich aan de GDPR29 april 2018 Facebook onttrekt zich aan de GDPR


This post first appeared on ITpedia, The IT Knowlegde Source, please read the originial post: here

Share the post

Moeten we een DPO benoemen?

×

Subscribe to Itpedia, The It Knowlegde Source

Get updates delivered right to your inbox!

Thank you for your subscription

×