Ga verder naar de inhoud

Gegevensbeschermingsautoriteit verduidelijkt: wanneer zijn DPO en PIA verplicht?

30.09.2020

GBA verruimt DPO-verplichting voor vzw’s door strenge interpretatie overheidsbegrip

Haalt je organisatie haar financiële middelen in hoofdzaak bij de overheid, is meer dan de helft van de leden van je bestuurs-, leidinggevend of toezichthoudend orgaan aangeduid door de overheid of houdt de overheid op een andere manier toezicht op het beheer van je organisatie? Dan moet je volgens de GBA een DPO aanstellen. Dat volgt uit haar strenge interpretatie van het overheidsbegrip.

Sinds 25 mei 2018 bepaalt de Algemene Verordening inzake Gegevensbescherming of GDPR hoe je organisatie persoonsgegevens verwerkt zonder privacyrechten te schenden. Daar komen heel wat verplichtingen bij kijken, zoals het bijhouden van een register, het sluiten van overeenkomsten met verwerkers en bijkomende vermeldingen voor de privacyverklaring. Bepaalde organisaties moeten sindsdien ook een Data Protection Officer of DPO aanstellen.

Er bestond nog verwarring en discussie over de DPO-verplichting voor organisaties die een ‘overheidsinstantie of overheidsorgaan’ zijn. Want de GDPR zelf definieert dit begrip niet en de ruime omschrijving die de Belgische GDPR-wet geeft, is volgens de letterlijke tekst alleen relevant voor de toepassing van die wet. En dus niet voor de DPO-verplichting die haar basis vindt in de GDPR zelf.

De Gegevensbeschermingsautoriteit (GBA) laat nu echter weten dat zij het overheidsbegrip zoals omschreven in de Belgische GDPR-wet ruimer leest. En dus ook relevant acht in het kader van de DPO-verplichting die de GDPR oplegt.

Volgens de GBA zijn dus overheidsorganen of –instanties die verplicht een DPO moeten aanstellen:

1° de Federale Staat, de deelstaten en lokale overheden

2° de rechtspersonen van publiek recht die van de Federale Staat, de deelstaten of lokale overheden afhangen

3° de personen, ongeacht hun vorm en aard, die:

— opgericht zijn met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn en

— rechtspersoonlijkheid hebben en

— waarvan hetzij de activiteiten in hoofdzaak door de overheden of instellingen vermeld in de bepalingen onder 1° of 2°, worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door deze overheden of instellingen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door deze overheden of instellingen zijn aangewezen

4° de verenigingen bestaande uit één of meer overheden als bedoeld in de bepalingen onder 1°, 2° of 3°

Heel wat organisaties uit onze sector worden door deze definitie gevat. Voor diegenen die geen beroep kunnen doen op de DPO van de overheid waarmee ze nauw verbonden zijn of die geen DPO kunnen delen met andere organisaties, blijft Sociare, via Unisoc, al het nodige doen om deze interpretatie bij te schaven. Maar op vandaag kunnen we niet anders dan vaststellen dat de Gegevensbeschermingsautoriteit dit strenge standpunt inneemt en ook wil handhaven

Lees meer over de verplichting om een DPO aan te stellen en de kwalificaties waaraan deze moet voldoen in onze FAQ.

Bron: Unisoc

GBA publiceert lijst van verwerkingsactiviteiten waarvoor PIA verplicht is

Wil je een nieuwe verwerkingsactiviteit starten waaraan waarschijnlijk een hoog risico en dus een nadelig gevolg verbonden is voor de personen waarop de persoonsgegevens betrekking hebben? Dan verplicht de GDPR je om vooraf een gegevensbeschermingseffectenbeoordeling of PIA uit te voeren. Dat is een uitgebreidere risico-evaluatie, vanuit het standpunt van de betrokken personen (dus niet vanuit het belang van de organisatie) op basis waarvan je beoordeelt welk effect de nieuwe verwerkingsactiviteit heeft op de bescherming van hun persoonsgegevens.

Op 22 maart 2019 publiceerde de Gegevensbeschermingsautoriteit in het Staatsblad een lijst met verwerkingsactiviteiten waarvoor in elk geval een PIA moet gebeuren. Die lijst is van kracht sinds 1 april 2019. Let wel: dit betekent niet dat er voor verwerkingsactiviteiten die niet in de lijst staan, nooit een PIA moet gebeuren. De organisatie zal dit nog steeds voor elke nieuwe verwerkingsactiviteit zelf moeten beoordelen. Meer daarover lees je in onze FAQ en op de website van de Gegevensbeschermingsautoriteit.

Interessant om weten: als werkgever ben je voor de meeste verwerkingsactiviteiten vrijgesteld van het uitvoeren van een PIA.

Bron:

Beslissing van het Algemeen secretariaat van de Gegevensbeschermingsautoriteit nr. 1/2019 van 16 januari 2019, Staatsblad 22 maart 2019

Anderen lazen ook dit:

Stappenplan voor een GDPR-conform medewerkersbeleid

Ook als werkgever moet je je in orde stellen met de GDPR-regels. We maakten hiervoor een stappenplan op dat organisaties kunnen gebruiken als leidraad.

GDPR-verplichtingen voor de werkgever - de voorbereiding

Hoe vul je als werkgever je verplichtingen concreet in voor de verwerking van gegevens en waar moet je overal rekening mee houden? In deze FAQ lees je een aantal veel gestelde vragen over de voorbereiding.

Komaf maken met jouw kopzorgen rond het inzetten van personeel?

Doe net als +800 socioculturele collega-organisaties, en sluit je vandaag nog aan bij Sociare!