faq1

Er worden verschillende opleidingen aangeboden op de markt, maar de Privacycommissie kan u hiervan geen lijst bezorgen.

De Privacycommissie beschikt immers niet over een volledige lijst van dergelijke initiatieven, noch heeft ze de bevoegdheid om tot enige kwaliteitscontrole over te gaan. Bovendien dient telkens geval per geval ingeschat te worden welke opleiding het best past bij de organisatéie in kwestie en de kennis en expertise waarover de betrokken persoon reeds beschikt.

In samenspraak met de verantwoordelijke voor de verwerking staat het u volledig vrij een keuze te maken in het vormingsaanbod.

Omdat de verwerkingsverantwoordelijken en de verwerkers verplicht zijn om aan de toezichthoudende autoriteit de contactgegevens van hun functionaris te bezorgen, houdt de Privacycommissie een lijst bij van de functionarissen voor gegevensbescherming en dit vanaf 25 mei 2018. Deze lijst is niet bestemd voor het publiek maar voor de toezichthoudende autoriteit en is bedoeld om - in de uitoefening van haar opdrachten, meer bepaald controle - contact te kunnen opnemen met de functionaris.

Bron: artikel 37.7 van de AVG

 

Nee.

Een exhaustieve lijst van onverenigbaarheden opstellen is niet mogelijk. Uiteindelijk hangt het van de concrete situatie af, of bepaalde functies verenigbaar zijn of niet.

Het voordeel hiervan is dat er ruimte is voor een flexibele invulling van verschillende taken en rollen binnen elke entiteit – binnen de perken gesteld door de AVG. De Privacycommissie beveelt verwerkingsverantwoordelijken en verwerkers aan hun analyse en de finale keuze te documenteren.

Meer info over de cumulatie van de rol van veiligheidsconsulent en die van functionaris voor gegevensbescherming is in aanbeveling nr 04/2017 van de Privacycommissie terug te vinden.

De AVG vermeldt de mogelijkheid voor verenigingen of andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen om op vrijwillige basis een functionaris voor gegevensbescherming voor gegevensbescherming aan te wijzen (art. 37.4 AVG). De Privacycommissie is van oordeel dat wanneer een sector een functionaris voor gegevensbescherming aanstelt, dit geen enkele invloed heeft op de verplichting die weegt op individuele verwerkingsverantwoordelijken of verwerkers uit die sector om zelf een functionaris voor gegevensbescherming aan te stellen. De AVG spreekt immers over aanstelling van een sectorale functionaris voor gegevensbescherming “in andere dan de in lid 1 bedoelde gevallen” (d.w.z. de gevallen van verplichting tot aanstelling).

Let wel – de functionaris voor gegevensbescherming moet niet noodzakelijk een voltijds aangestelde werknemer zijn. Het is dus mogelijk dat éénzelfde persoon wordt aangesteld door meer dan één verwerkingsverantwoordelijke.

Voor meer details, zie hoofdstuk 2.1.2. van de Richtsnoeren van de Werkgroep 29 over de functionaris voor gegevensbescherming

Er bestaan gevallen waarin het verplicht is een functionaris voor gegevensbescherming aan te wijzen. Die gevallen worden opgesomd in artikel 37 van de AVG. Een universiteit kan ook als een verwerkingsveranwoordelijke beschouwd worden en moet daarom nagaan of zij zich al dan niet bevinden in een van de gevallen waarin het verplicht is een functionaris voor gegevensbescherming aan te stellen.

Als de universiteit een functionaris voor gegevensbescherming aanwijst, is de verwerkingsverantwoordelijke krachtens de AVG verplicht om zijn contactgegevens te publiceren. Deze informatie zou dus in principe op hun website moeten staan.

De functies van de functionaris voor gegevensbescherming en de informatieveiligheidsconsulent vloeien voort uit verschillende wetten. Die wetten stellen hun eigen voorwaarden vast. Dat betekent dat die wetten uitgebreid moeten worden onderzocht om er de verschillen te kunnen uithalen. De Privacycommissie is deze problematiek momenteel aan het bestuderen.

De AVG bepaalt dat de functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen van de in artikel 39 van de AVG bedoelde taken te vervullen.

Het is daarom aangewezen om geval per geval te onderzoeken of de aangewezen persoon wel degelijk beantwoordt aan de voorwaarden van de AVG. Het gaat hier om een analyse die de verwerkingsverantwoordelijke of de verwerker intern moet voeren.

Artikelen 37 tot 39 van Hoofdstuk IV van de AVG, gewijd aan de verplichtingen van de verwerkingsverantwoordelijken en de verwerkers zijn bijzonder relevant:

  • Artikel 37 betreft de aanwijzing van de functionaris;
  • Artikel 38 betreft de positie van de functionaris; 
  • Artikel 39 betreft de taken van de functionaris;

Andere bepalingen voorzien in een rol voor de functionaris voor gegevensbescherming:

  • Artikel 35 betreffende de gegevensbeschermingseffectbeoordeling dat voorziet in de raadpleging van de functionaris;
  • Artikelen 13 en 14 betreffende de informatieverstrekking aan de betrokkene: de contactgegevens van de functionaris voor gegevensbescherming moeten hem meegedeeld worden;
  • De artikelen 33 en 34 met betrekking tot de melding van inbreuken aan de toezichthoudende autoriteit en aan de betrokkenen. de contactgegevens van de functionaris voor gegevensbescherming moeten hen meegedeeld worden;

Artikel 18.2 van de Richtlijn 95/46/EG voerde reeds in 1995 de functie in van « functionaris voor de gegevensbescherming ». Concreet konden de lidstaten op basis van deze bepaling via wetgevende weg bepalen dat de verwerkingsverantwoordelijken die een functionaris voor de gegevensbescherming in de zin van dit artikel 18.2 aanduiden, vrijgesteld zijn van de voorafgaande aangifte van de verwerking bij de toezichthoudende autoriteit (aangifte bedoeld in artikel 17 van de WVP). Deze functionaris voor gegevensbescherming moet zijn taken volledig onafhankelijk vervullen en een register bijhouden van de interne gegevensverwerkingen van de verwerkingsverantwoordelijke.  In tegenstelling tot de AVG beoogt de richtlijn 95/46/EG enkel de verwerkingsverantwoordelijken en niet de verwerkers ( zie infra).

Een aantal lidstaten van de Europese Unie hebben gebruik gemaakt van deze mogelijkheid en hebben de functie van "functionaris" voor de gegevensbescherming opgenomen in hun nationale wetgeving tot omzetting van de richtlijn 95/46/EG, doch niet zonder er verschillende benamingen aan toe te kennen.  Zo spreekt men momenteel van Correspondants Informatique et Liberté ( CIL) in Frankrijk, van chargé de la protection des données in Luxemburg, van functionaris voor de gegevensbescherming in Nederland, van Data Protection Officer in het Verenigd Koninkrijk of nog van délégué à la protection des données voor de Europese Instellingen.

De AVG harmoniseert zowel de terminologie als de criteria en modaliteiten voor hun aanwijzing, hun positie en hun taken.

De Richtsnoeren van de Werkgroep Artikel 29 beogen een tweeledige doelstelling:

  • Een duidelijke en geharmoniseerde interpretatie bieden van de bepalingen met betrekking tot de functionaris voor gegevensbescherming in de AVG ten behoeve van de verwerkingsverantwoordelijken en de verwerkers: «  The GDPR explained »
  • Een aantal aanbevelingen - onder meer praktische - verstrekken ten behoeve van de verwerkingsverantwoordelijken en verwerkers, aanbevelingen gestoeld op de praktijkervaring in de lidstaten van de Unie die deze functie of een gelijkaardige functie reeds kennen:  « Best practice »

De Algemene Verordening Gegevensbescherming (AVG) vereist dat in een aantal welbepaalde gevallen, de verwerkingsverantwoordelijke en de verwerker een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming vormt een hoeksteen van het stelsel van accountability en zijn aanduiding kan de conformiteit met de AVG vergemakkelijken en uitmonden in een echt competitiviteitsinstrument voor de ondernemingen. De functionarissen voor gegevensbescherming treden bovendien op als tussenpersoon tussen de betrokken actoren: de toezichthoudende autoriteiten, de betrokkenen (met inbegrip van de medewerkers van de verwerkingsverantwoordelijke en de verwerker voor wie de functionaris werkt) maar ook tussen de verschillende entiteiten/diensten in de schoot van een onderneming of een instelling.

Voor meer details, zie punt I (Inleiding) van de richtsnoeren.