Op grond van de (nieuwe) privacywet (de Algemene Verordening Gegevensbescherming of de AVG) moeten sommige organisaties verplicht een Functionaris Gegevensbescherming (FG) aanstellen/benoemen. Dit staat benoemd in artikel 37 AVG. In deze blog leest u hier meer over.
Functionaris Gegevensbescherming (FG)
Een FG is een persoon die binnen een organisatie toezicht houdt op de toepassing en naleving van de privacywet. De FG is daarmee eigenlijk een interne privacytoezichthouder. In het Engels wordt de FG ‘Data Protection Officer’ genoemd.
Wanneer is aanstellen van een Functionaris Gegevensbescherming verplicht?
Niet alle organisaties zijn verplicht om een FG aan te stellen. Alleen in de volgende gevallen is een aanstelling verplicht:
- overheidsinstanties en overheidsorganen, behalve gerechten bij de uitoefening van hun rechterlijke taken (rechtbanken);
- als de kernactiviteiten van de verantwoordelijke of van de verwerker draaien om op grote schaal van bijzondere persoonsgegevens te verwerken (bijvoorbeeld ziekenhuizen);
- als de kernactiviteiten van de verantwoordelijke of van de verwerker draaien om het op grote schaal volgen van individuen (zoals cameratoezicht en monitoring van mensen).
Een groot deel van het MKB hoeft dus geen FG aan te stellen (niet verplicht, het mag wel).
Wie kan een Functionaris Gegevensbescherming zijn?
Op grond van artikel 37 lid 6 AVG kan bijvoorbeeld een personeelslid FG zijn. Maar dit hoeft niet: het mag ook een ander dan een werknemer zijn (bijvoorbeeld een extern persoon).
Gelden er bepaalde eisen waaraan een Functionaris Gegevensbescherming moet voldoen?
Ja, de FG dient op grond van lid 5 van dit artikel aan professionele eisen te voldoen. Zo moet de FG voldoende deskundig zijn op het gebied van het privacyrecht en de praktijk van gegevensbescherming. De FG moet ook voldoende op de hoogte zijn van zijn taken en bevoegdheden. Ook voldoende kennis van de organisatie, informatietechnologie en beveiliging is een vereiste.
Welke taken heeft een Functionaris Gegevensbescherming?
De taken van een FG staan opgesomd in artikel 39 AVG. Het gaat kort gezegd om de volgende taken:
- informeren en adviseren van de organisatie over de verplichtingen uit de AVG;
- toezien op naleving van de verplichtingen uit de AVG;
- op verzoek advies geven over ‘PIA’s’ (gegevensbeschermingseffect-beoordeling of privacy impact assessments);
- samenwerken met de toezichthouder (Autoriteit Persoonsgegevens);
- optreden als contactpunt voor de Autoriteit Persoonsgegevens.
Kan de Functionaris Gegevensbescherming (als werknemer) worden ontslagen?
Ja, maar niet wegens zijn taken als FG. In artikel 38 lid 3 AVG staat namelijk dat de FG niet mag worden ‘ontslagen of gestraft’ voor de uitvoering van zijn taken ter zake. Natuurlijk kan een FG die werknemer is wel ontslagen worden op andere gronden (arbeidsrechtelijke gronden). Dan mag er evenwel geen verband bestaan tussen de reden van het ontslag en dit benoemde ‘opzegverbod’. Denk hierbij aan disfunctioneren, verwijtbaar handelen of een verstoorde arbeidsverhouding die niets te maken hebben met de manier waarop de FG zijn taken ter zake uitvoert.
Al met al dienen werkgevers goed na te denken welke persoon als FG wordt aangesteld.
Vrijwillige aanstelling Functionaris Gegevensbescherming
Het is mogelijk om vrijwillig een FG aan te stellen. Dan gelden alle regels die ook gelden voor een verplichte aanstelling. Dat is iets waar men rekening mee dient te houden!
Juridisch advies AVG
Heeft u nog vragen over het bovenstaande? Neem dan eens contact met een van onze juristen/advocaten op. Wij zijn u graag van dienst.
Legal8 Advocaten & Bedrijfsjuristen
05-04-2018