Functionaris voor gegevensbescherming (DPO)
Sinds 25 mei 2018 is volgens het egov-decreet elke overheidsinstantie verplicht een functionaris voor gegevensbescherming of Data Protection Officer (DPO) aan te stellen.
Een DPO/functionaris houdt binnen een organisatie toezicht op de toepassing en naleving van de AVG. De DPO heeft een onafhankelijke functie.
Betrokkenen kunnen met de DPO contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten op grond van de AVG. De verwerkingsverantwoordelijke is verplicht om de contactgegevens van de DPO te publiceren. Dit gebeurt meestal in de privacyverklaring.
De DPO is het contactpunt voor de VTC en werkt met de VTC samen.
Aanstelling DPO
Om in orde te zijn met de aanstelling van een DPO moet het volgende gebeuren:
- De DPO formeel benoemen door een beslissing van het schepencollege of de leidend ambtenaar
- DPO aanstelling meedelen aan de Vlaamse Toezichtcommissie door de leidinggevende van de instantie (zie aanmeldingsprocedure)
- De contactgegevens van de DPO bekend maken aan betrokkenen/het publiek; de DPO wordt het eerste aanspreekpunt voor de toezichthoudende autoriteit en ook voor de burger. De naam van de DPO hoeft niet noodzakelijk gekend zijn bij het publiek, hiervoor kan gewerkt worden met een algemeen mailadres van de instantie als privacy@gemeente.be (zie aanmeldingsprocedure).
Afmelden DPO Vlaamse instantie bij VTC
De VTC verwacht dat de gegevens van de functionaris voor gegevensbescherming (FG of DPO) van een Vlaamse instantie bij haar up-to-date zijn. Van zodra er een verandering gebeurt bij de tewerkstelling van een DPO, vragen we deze gegevens door te geven.
Een afmelding doet u zo:
- via een mail (of brief) van de leidend ambtenaar/leidinggevende (directeur,...) (die staat minstens in cc)
- aan contact@toezichtcommissie.be(opent in uw e-mail applicatie) met als onderwerp: ‘afmelding DPO - naam instantie’, (of naar Vlaamse Toezichtcommissie, Koning Albert II-laan 15 bus 149, 1210 BRUSSEL)
- met vermelding van de einddatum van de tewerkstelling
- met de melding van de nieuwe DPO (zie hierna) OF de termijn waarin de nieuwe DPO aangemeld zal worden en de naam en contactinformatie (e-mailadres(sen) en telefoon- en/of GSMnummer(s)) van de persoon die voorlopig de taken waarneemt.
Aanmelden DPO Vlaamse instantie bij VTC
De functionaris voor gegevensbescherming (FG of DPO) van een Vlaamse instantie en diens contactgegevens moeten bij de VTC moeten bekend gemaakt worden.
De verwerker van een Vlaamse instantie moet ook een DPO aanstellen maar moet deze niet aanmelden bij de VTC.
De melding doet u zo:
- via een mail of brief van de leidend ambtenaar/leidinggevende (directeur,...) (die staat minstens in cc)
- aan contact@toezichtcommissie.be(opent in uw e-mail applicatie) met als onderwerp: ‘aanmelding DPO - naam instantie’, of naar Vlaamse Toezichtcommissie, Koning Albert II-laan 15 bus 149, 1210 BRUSSEL
- met vermelding van de datum van de beslissing tot aanstelling (bv het collegebesluit voor de steden en gemeenten) en de datum van het opnemen van de taak zo verschillend van die van de beslissing
- met naam en contactinformatie (e-mailadres(sen) en telefoon- en/of GSMnummer(s)) van de DPO
- met vermelding of de DPO een interne of externe persoon is
De afmelding van een DPO moet gebeuren voor de aanmelding van de nieuwe DPO.
Een adjunct-DPO hoeft niet aangemeld te worden bij de VTC.
Taken DPO
Naast de taken die een informatieveiligheidsconsulent had en de nieuwe verplichtingen van de AVG zoals het opstellen van een verwerkingsregister, zijn de bijkomende taken, specifiek voor de DPO:
- de DPO is het eerste aanspreekpunt voor de burger. Daarvoor moeten de contactgegevens van de DPO (bij voorkeur met een algemeen mailadres als privacy@gemeente.be en een telefoonnummer) bekendgemaakt worden aan betrokkenen/het publiek;
- de DPO is ook het aanspreekpunt voor de Vlaamse Toezichtcommissie en moet ermee overleggen;
- de DPO moet betrokken worden bij de opmaak van de gegevensbeschermingseffectenbeoordelingen (GEB/DPIA) en er een onafhankelijk advies over geven.
Dit impliceert dat de functionaris de nodige (extra) tijd moet krijgen.
De volledige taakomschrijving van de functionaris voor de gegevensbescherming vindt u in de AVG, art. 37 e.v. en in de Richtlijnen voor functionarissen voor de gegevensbescherming uitgebracht door de Working Party Art. 29(PDF bestand opent in nieuw venster)
Ook in het Vlaamse DPO-besluit van 23 november 2018(PDF bestand opent in nieuw venster) worden de taken van de DPO verder gepreciseerd.
Onafhankelijkheid van de DPO
De VTC benadrukt dat de DPO in volle onafhankelijkheid moet kunnen werken en dat het niet aanvaardbaar is dat hij of zij onder druk wordt gezet.