Aanduiding van een DPO

1. Keuze van de DPO

Volgens de AVG moet de DPO worden aangeduid op basis van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming (AVG, art. 37.5). Er is geen enkel getuigschrift of geen enkele opleiding vereist. Omwille van dit gebrek aan formalisme wordt de verantwoordelijke voor de verwerking sterk aangeraden om de keuze van de DPO te documenteren.

De DPO kan een andere functie vervullen binnen de organisatie, op voorwaarde dat dit niet tot een belangenconflict leidt (AVG, art. 38.6). Concreet mag de DPO geen functie uitoefenen die hem ertoe zou kunnen brengen het doel van en de middelen voor de verwerking van persoonsgegevens te bepalen. Over het algemeen leiden managementfuncties tot belangenvermenging, maar dit kan ook het geval zijn voor functies op een lager niveau. De functie van veiligheidsconsulent (CISO) is geen conflict als de persoon niet verantwoordelijk is voor een operationele afdeling.

De DPO kan een personeelslid zijn of een externe persoon die deze rol uitvoert op basis van een dienstencontract. Eenzelfde persoon kan worden aangeduid als DPO voor verschillende bedrijven of instellingen, op voorwaarde dat de persoon gemakkelijk bereikbaar en voldoende beschikbaar is voor al zijn klanten. De DPO mag een rechtspersoon zijn (onderneming).

De Gegevensbeschermingsautoriteit (GBA) geeft op haar site informatie over de keuze van de DPO: https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/functionaris-voor-gegevensbescherming/aanwijzing

2. Kennisgeving aan de GBA

De DPO moet verplicht bekend gemaakt worden aan de GBA (AVG art. 37.7) via het formulier dat op haar site ter beschikking wordt gesteld:  https://www.gegevensbeschermingsautoriteit.be/professioneel/acties/functionaris-voor-gegevensbescherming.

Het formulier moet gedownload worden op een computer en niet op een mobiel toestel. Het moet verplicht worden geopend met Adobe Acrobat Reader, aangezien er een goedkeuring nodig is (technologie javascript) die enkel mogelijk is met die software of wat minder verspreide software. Om veiligheidsredenen is de goedkeuring van dit document over het algemeen niet mogelijk wanneer het geopend wordt in een browser (Chrome, Firefox, Edge, ...).

Voor een rechtspersoon moet het veld “naam” de naam van de rechtspersoon bevatten en het veld “voornaam” moet de woorden “rechtspersoon” bevatten (zie de handleiding).

Wanneer het formulier is ingevuld, goedgekeurd en op de site van de GVA is geplaatst, wordt een mail verstuurd met een ontvangstnummer. Het is aan te raden om dit nummer te bewaren als bewijs van kennisgeving.

3. Kennisgeving bij de POD MI

Het OCMW is verplicht (KB 12/08/1993, art. 4, FR/NL) om de aanduiding van een nieuwe DPO kenbaar te maken bij de POD MI.

Deze kennisgeving gebeurt als volgt:

  1. Het formulier tot kennisgeving downloaden op de website van de POD MI (FR/NL).
  2. Het formulier, bij voorkeur via Adobe Acrobat Reader, openen om digitale ondertekening met de eID mogelijk te maken.
  3. Het aanwijzingsformulier invullen en, bij voorkeur, digitaal ondertekenen met de eID (klikken op het veld ondertekening en de beschreven procedure volgen).
  4. Het document bewaren.
  5. Het document per mail versturen naar de POD MI op het adres mi.dpo@mi-is.be
  6. De POD MI controleert of aan de vereiste criteria is voldaan en indien dit zo is, bezorgt hij de kennisgeving aan de KSZ. Het OCMW wordt normaal per mail ingelicht wanneer de kennisgeving wordt aanvaard door de KSZ.

Hier volgt extra informatie om het formulier in te vullen:

  • Pagina 1: Het ondernemingsnummer KBO moet dat van een OCMW zijn, de POD MI neemt enkel de OCMW’s ten laste. Uitzonderlijk en in afwachting van verduidelijking rond deze situatie mogen bepaalde welzijnsverenigingen , die geen OCMW’s zijn, eveneens hun DPO bekend maken bij de POD MI en zij moeten dus hun KBO-nummer gebruiken.
  • Pagina 2: Wanneer de naam en de voornaam van de DPO moeten worden ingevuld. Wanneer de DPO een rechtspersoon is, moet het veld “naam” de naam van de onderneming bevatten en het veld “voornaam” moet het woord “rechtspersoon” bevatten, zoals bij de verklaring aan de GBA.

  • Pagina 2: Het gemiddelde aantal uren dat per week wordt besteed, is een gemiddelde schatting. De POD MI verwacht minstens 2 uren/week voor een klein OCMW en 4 uren/week voor een groot.
  • Pagina 2: Opgelet voor eventuele bevoegdheidsconflicten voor de andere functies, een DPO mag geen leidende functie uitoefenen voor een post waarbij persoonsgegevens worden behandeld.
  • Pagina 3: De competenties kunnen verworven worden door andere personen dan de DPO in de instelling. De kolom “Toelichting” moet enkel worden ingevuld wanneer het antwoord “neen” is.