Veel bedrijven stellen zichzelf deze vraag. Helaas is het antwoord niet 100% duidelijk, zelfs niet wanneer de juridische teksten worden geraadpleegd, althans niet in het geval van kleinere bedrijven. Ik doel hier uitsluitend op de regelgeving vanaf 25.5.2018 en niet-overheidsinstanties.
In het algemeen is het aanstellen van een functionaris gegevensbescherming gangbaar voor bedrijven die doorgaans* meer dan 20 personen in dienst hebben (inclusief uitzendkrachten) die betrokken* zijn bij het verzamelen, verwerken of gebruiken van (bijzondere categorie) persoonsgegevens (Art 9 van de AVG) in een geautomatiseerde (computer)verwerking. Bedenk: in veel personeelsdossiers worden juist die bijzondere categorieën persoonsgegevens verwerkt.
Als de verantwoordelijke of de verwerker een verwerking van persoonsgegevens uitvoert die onderworpen is aan een GEB (*zie onder) of als u persoonsgegevens commercieel verwerkt met het oog op doorgifte, anonieme verzending of met het oog op markt- of opinieonderzoek, heeft u een (functionaris) gegevensbeschermingsverklaring nodig, ongeacht het aantal werknemers. (AVG art. 37). M.a.w. u zult een Fg moeten aanstellen.
Wat betekent dat concreet?
Aangezien persoonsgegevens bijna overal in bedrijven worden verwerkt en in de meeste bedrijven alle werknemers toegang hebben tot computers, zou elk bedrijf met meer verwerkingen van persoonsgegevens een functionaris gegevensbescherming moeten aanstellen. Bedenk: zelfs een klantenkaart bevat gegevens zoals naam, adres, telefoonnummer en gedetailleerde informatie over projecten, vertegenwoordigt persoonlijke gegevens.
Maar hoe zit het met bedrijven met 2, 3 of 4 medewerkers?
Het antwoord ligt in de vraag of er in het bedrijf voorbereidende werkzaamheden op de loonadministratie worden verricht. Dit betekent dat er bijzondere persoonsgegevens van de werknemers zijn, die meestal worden doorgegeven aan de belastingadviseur of de salarisadministratie. In ieder geval zou een gegevensbeschermingseffectbeoordeling vereist zijn en daarom de aanstelling van een functionaris gegevensbescherming noodzakelijk.
Veel kleinere bedrijven zullen waarschijnlijk wachten tot de eerste boetes worden uitgedeeld. Experts vermoeden dat juist het uitblijven van de aanstelling van de functionaris voor gegevensbescherming de belangrijkste reden voor boetes zal zijn.
Twijfel: doe de AVG check
Als u niet zeker weet of u een functionaris gegevensbescherming voor uw bedrijf moet aanstellen, gebruik de AVG-check.
Klik hieronder en neem de test:
• Een GEB | gegevensbeschermingseffectbeoordeling is een hulpmiddel om gegevensbeschermingsrisico’s te identificeren voordat persoonsgegevens worden verwerkt. Naar aanleiding van deze GEB kunnen vervolgens (aanvullende) maatregelen worden genomen om de gegevensbeschermingsrisico’s te verkleinen. In het Engels wordt een GEB een “Data Protection Impact Assessment” (DPIA) genoemd.
* Doorgaans: het is al voldoende als een persoon regelmatig (“niet incidenteel”) verwerkingstaken uitvoert die zich af en toe voordoen volgens hun functiebeschrijving of het organisatieplan van de verantwoordelijke instantie en deze taak niet vanaf het begin uitvoert voor een korte periode, bijvoorbeeld als vervanging voor vakantie .
* Wat betekend “betrokken bij” : doorslaggevend voor tewerkstelling in die zin, is dat de persoon taken uitvoert die verband houden met de verwerking van persoonsgegevens. Het gaat dus niet alleen om vaste medewerkers als onderdeel van het personeelsbestand, maar ook om uitzendkrachten, stagiaires, stagiaires, stagiaires, vrijwilligers of zelfs de directeur zelf.