Functionaris Gegevensbescherming

ID: PRIV_B.02.01.02 Norm Versie: 3.3 Status: Actueel Publicatiedatum: 16-10-2017 Redactionele wijzigingsdatum: 19-5-2020 Indeling Beveiligingsaspect: Beleid Invalshoek: Onbekend → Bovenliggende principe → Meer in normenkader èn aspect → Alle normen → Alle normenkaders → ISOR (Information Security Object Repository)

Stelling

De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
Het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
Een stelselmatige observatie op grote schaal is vereist: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of AVG (Algemene Verordening Gegevensbescherming) Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of AVG (Algemene Verordening Gegevensbescherming) Art. 10 (zie PRIV_U.01: Doelbinding gegevensverwerking).

In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een FG hebben aangewezen.

Toelichting

• De AP houdt een openbaar register bij van FG's.
• Eisen aan de FG:
  • Bereikbaarheid. Een concern kan één FG benoemen, op voorwaarde dat de FG vanuit elke vestiging makkelijk te contacteren is. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan met inachtneming van hun organisatiestructuren en omvang één FG worden aangewezen voor verschillende dergelijke instanties of organen.
  • Voor een of meerdere organisaties. De FG kan optreden voor verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
  • Professionele kwaliteiten. De FG wordt aangewezen op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming. Hij moet bijvoorbeeld over toereikende kennis beschikken van de organisatie, van de gegevensverwerkingen die zich binnen de organisatie afspelen, van de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. Hij moet betrouwbaar zijn en het vermogen hebben alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen. Hij moet met name de volgende taken kunnen vervullen:
    • Informeren en adviseren van de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken over hun verplichtingen uit hoofde van de AVG en andere wettelijke gegevensbeschermingsbepalingen;
    • Toezien op het naleven van de AVG, van andere wettelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
    • Desgevraagd verstrekken van advies met betrekking tot de DPIA en het toezien op de uitvoering daarvan;
    • Samenwerken met de AP;
    • Optreden als contactpunt voor de AP inzake met verwerking verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging ten behoeve van de gegevensbeschermingseffectbeoordeling (DPIA - zie PRIV_B.03 Risicomanagement, Privacy by Design en de DPIA) en waar passend, overleg plegen over enige andere aangelegenheid.
    • Naar behoren rekening houden met de aan verwerkingen verbonden risico's en met de aard, de omvang, de context en de verwerkingsdoeleinden.
  • Positie. De FG kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of de taken op grond van een dienstverleningsovereenkomst verrichten. De FG vervult zijn taken in onafhankelijkheid waarbij de verwerkingsverantwoordelijke de FG ondersteunt om de taken naar behoren uit te kunnen voeren. Dit betekent onder meer dat hem daartoe de benodigde menskracht en middelen ter beschikking worden gesteld. De FG geniet ontslagbescherming voor de wijze waarop hij invulling geeft aan de taakuitvoering. De FG is in het algemeen met betrekking tot de uitvoering van zijn taken binnen de geldende wetgeving gehouden tot geheimhouding of vertrouwelijkheid. Hij heeft in het bijzonder ook een geheimhoudingsplicht ten aanzien van hetgeen hem of haar op grond van een klacht of een verzoek van een betrokkene is bekend geworden, tenzij de betrokkene toestemt in bekendmaking^{UAVG Art. 39}.
  • Andere Taken. De FG kan andere taken en plichten vervullen. Deze taken of plichten mogen niet tot een belangenconflict leiden.

Bovenliggende principe(s)

Deze norm realiseert het principe Organieke inbedding via de conformiteitsindicator verdeling van de taken en verantwoordelijkheden.

Grondslag