1. Keuze van de DPO
Volgens de AVG moet de DPO worden aangeduid op basis van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming (AVG, art. 37.5). Er is geen enkel getuigschrift of geen enkele opleiding vereist. Omwille van dit gebrek aan formalisme wordt de verantwoordelijke voor de verwerking sterk aangeraden om de keuze van de DPO te documenteren.
De DPO kan een andere functie vervullen binnen de organisatie, op voorwaarde dat dit niet tot een belangenconflict leidt (AVG, art. 38.6). Concreet mag de DPO geen functie uitoefenen die hem ertoe zou kunnen brengen het doel van en de middelen voor de verwerking van persoonsgegevens te bepalen. Over het algemeen leiden managementfuncties tot belangenvermenging, maar dit kan ook het geval zijn voor functies op een lager niveau. De functie van veiligheidsconsulent (CISO) is geen conflict als de persoon niet verantwoordelijk is voor een operationele afdeling.
De DPO kan een personeelslid zijn of een externe persoon die deze rol uitvoert op basis van een dienstencontract. Eenzelfde persoon kan worden aangeduid als DPO voor verschillende bedrijven of instellingen, op voorwaarde dat de persoon gemakkelijk bereikbaar en voldoende beschikbaar is voor al zijn klanten. De DPO mag een rechtspersoon zijn (onderneming).
De Gegevensbeschermingsautoriteit (GBA) geeft op haar site informatie over de keuze van de DPO: https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/functionaris-voor-gegevensbescherming/aanwijzing
2. Kennisgeving aan de GBA
De DPO moet verplicht bekend gemaakt worden aan de GBA (AVG art. 37.7) via het formulier dat op haar site ter beschikking wordt gesteld: https://www.gegevensbeschermingsautoriteit.be/professioneel/acties/functionaris-voor-gegevensbescherming.
Het formulier moet gedownload worden op een computer en niet op een mobiel toestel. Het moet verplicht worden geopend met Adobe Acrobat Reader, aangezien er een goedkeuring nodig is (technologie javascript) die enkel mogelijk is met die software of wat minder verspreide software. Om veiligheidsredenen is de goedkeuring van dit document over het algemeen niet mogelijk wanneer het geopend wordt in een browser (Chrome, Firefox, Edge, ...).
Voor een rechtspersoon moet het veld “naam” de naam van de rechtspersoon bevatten en het veld “voornaam” moet de woorden “rechtspersoon” bevatten (zie de handleiding).
Wanneer het formulier is ingevuld, goedgekeurd en op de site van de GVA is geplaatst, wordt een mail verstuurd met een ontvangstnummer. Het is aan te raden om dit nummer te bewaren als bewijs van kennisgeving.
3. Kennisgeving bij de POD MI
Het OCMW is verplicht (KB 12/08/1993, art. 4, FR/NL) om de aanduiding van een nieuwe DPO kenbaar te maken bij de POD MI.
Deze kennisgeving gebeurt als volgt:
- Het formulier tot kennisgeving downloaden op de website van de POD MI (FR/NL).
- Het formulier, bij voorkeur via Adobe Acrobat Reader, openen om digitale ondertekening met de eID mogelijk te maken.
- Het aanwijzingsformulier invullen en, bij voorkeur, digitaal ondertekenen met de eID (klikken op het veld ondertekening en de beschreven procedure volgen).
- Het document bewaren.
- Het document per mail versturen naar de POD MI op het adres mi.dpo@mi-is.be
- De POD MI controleert of aan de vereiste criteria is voldaan en indien dit zo is, bezorgt hij de kennisgeving aan de KSZ. Het OCMW wordt normaal per mail ingelicht wanneer de kennisgeving wordt aanvaard door de KSZ.
Hier volgt extra informatie om het formulier in te vullen:
- Pagina 1: Het ondernemingsnummer KBO moet dat van een OCMW zijn, de POD MI neemt enkel de OCMW’s ten laste. Uitzonderlijk en in afwachting van verduidelijking rond deze situatie mogen bepaalde welzijnsverenigingen , die geen OCMW’s zijn, eveneens hun DPO bekend maken bij de POD MI en zij moeten dus hun KBO-nummer gebruiken.
- Pagina 2: Wanneer de naam en de voornaam van de DPO moeten worden ingevuld. Wanneer de DPO een rechtspersoon is, moet het veld “naam” de naam van de onderneming bevatten en het veld “voornaam” moet het woord “rechtspersoon” bevatten, zoals bij de verklaring aan de GBA.
- Pagina 2: Het gemiddelde aantal uren dat per week wordt besteed, is een gemiddelde schatting. De POD MI verwacht minstens 2 uren/week voor een klein OCMW en 4 uren/week voor een groot.
- Pagina 2: Opgelet voor eventuele bevoegdheidsconflicten voor de andere functies, een DPO mag geen leidende functie uitoefenen voor een post waarbij persoonsgegevens worden behandeld.
- Pagina 3: De competenties kunnen verworven worden door andere personen dan de DPO in de instelling. De kolom “Toelichting” moet enkel worden ingevuld wanneer het antwoord “neen” is.
- Pagina 4: Het document moet ondertekend worden, bij voorkeur via de eID, door de DPO en door de werkingsverantwoordelijke, de directeur-generaal of de voorzitter. Wanneer de DPO een rechtspersoon is, moet de wettelijke vertegenwoordiger van de onderneming ondertekenen als DPO.
- Pagina 5: De pagina moet ondertekend worden door de DPO (of zijn wettelijke vertegenwoordiger), door de verwerkingsverantwoordelijke en eventueel door de lokale beheerder, enkel wanneer de DPO de functie van lokale beheerder niet uitoefent.
4. Andere kennisgevingen
Het OCMW moet de KSZ geen kennisgeving sturen. Het is de taak van de POD MI om de aanduiding van de DPO ter kennis te brengen van de KSZ.
Bepaalde lokale overheden eisen eveneens een kennisgeving van de DPO. Deze kennisgevingen moeten gebeuren naast die van de GBA en van de POD MI.
5. Afwezigheid van de DPO
Gedurende de tijdelijke of verlengde afwezigheid van de DPO moet ondanks alles aan de vereisten van de AVG worden voldaan. Een andere persoon, van wie de competenties het meest aanleunen bij die van de DPO, kan tijdelijk de activiteiten van de DPO overnemen tijdens zijn afwezigheid. Een kennisgeving aan de GBA en aan de POD MI is in dit geval niet nodig. De aanduiding van een adjunct DPO is eveneens een oplossing.
Om ervoor te zorgen dat een vervanger van de DPO toegang heeft tot de aanvragen van de betrokken personen, tot de informatieaanvragen en tot de correspondentie met de GBA, zou het emailadres van de DPO (bekend gemaakt aan de GB) een functioneel adres moeten zijn (niet op naam).
1. Keuze van de DPO
Volgens de AVG moet de DPO worden aangeduid op basis van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming (AVG, art. 37.5). Er is geen enkel getuigschrift of geen enkele opleiding vereist. Omwille van dit gebrek aan formalisme wordt de verantwoordelijke voor de verwerking sterk aangeraden om de keuze van de DPO te documenteren.
De DPO kan een andere functie vervullen binnen de organisatie, op voorwaarde dat dit niet tot een belangenconflict leidt (AVG, art. 38.6). Concreet mag de DPO geen functie uitoefenen die hem ertoe zou kunnen brengen het doel van en de middelen voor de verwerking van persoonsgegevens te bepalen. Over het algemeen leiden managementfuncties tot belangenvermenging, maar dit kan ook het geval zijn voor functies op een lager niveau. De functie van veiligheidsconsulent (CISO) is geen conflict als de persoon niet verantwoordelijk is voor een operationele afdeling.
De DPO kan een personeelslid zijn of een externe persoon die deze rol uitvoert op basis van een dienstencontract. Eenzelfde persoon kan worden aangeduid als DPO voor verschillende bedrijven of instellingen, op voorwaarde dat de persoon gemakkelijk bereikbaar en voldoende beschikbaar is voor al zijn klanten. De DPO mag een rechtspersoon zijn (onderneming).
De Gegevensbeschermingsautoriteit (GBA) geeft op haar site informatie over de keuze van de DPO: https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/functionaris-voor-gegevensbescherming/aanwijzing
2. Kennisgeving aan de GBA
De DPO moet verplicht bekend gemaakt worden aan de GBA (AVG art. 37.7) via het formulier dat op haar site ter beschikking wordt gesteld: https://www.gegevensbeschermingsautoriteit.be/professioneel/acties/functionaris-voor-gegevensbescherming.
Het formulier moet gedownload worden op een computer en niet op een mobiel toestel. Het moet verplicht worden geopend met Adobe Acrobat Reader, aangezien er een goedkeuring nodig is (technologie javascript) die enkel mogelijk is met die software of wat minder verspreide software. Om veiligheidsredenen is de goedkeuring van dit document over het algemeen niet mogelijk wanneer het geopend wordt in een browser (Chrome, Firefox, Edge, ...).
Voor een rechtspersoon moet het veld “naam” de naam van de rechtspersoon bevatten en het veld “voornaam” moet de woorden “rechtspersoon” bevatten (zie de handleiding).
Wanneer het formulier is ingevuld, goedgekeurd en op de site van de GVA is geplaatst, wordt een mail verstuurd met een ontvangstnummer. Het is aan te raden om dit nummer te bewaren als bewijs van kennisgeving.
3. Kennisgeving bij de POD MI
Het OCMW is verplicht (KB 12/08/1993, art. 4, FR/NL) om de aanduiding van een nieuwe DPO kenbaar te maken bij de POD MI.
Deze kennisgeving gebeurt als volgt:
- Het formulier tot kennisgeving downloaden op de website van de POD MI (FR/NL).
- Het formulier, bij voorkeur via Adobe Acrobat Reader, openen om digitale ondertekening met de eID mogelijk te maken.
- Het aanwijzingsformulier invullen en, bij voorkeur, digitaal ondertekenen met de eID (klikken op het veld ondertekening en de beschreven procedure volgen).
- Het document bewaren.
- Het document per mail versturen naar de POD MI op het adres mi.dpo@mi-is.be
- De POD MI controleert of aan de vereiste criteria is voldaan en indien dit zo is, bezorgt hij de kennisgeving aan de KSZ. Het OCMW wordt normaal per mail ingelicht wanneer de kennisgeving wordt aanvaard door de KSZ.
Hier volgt extra informatie om het formulier in te vullen:
- Pagina 1: Het ondernemingsnummer KBO moet dat van een OCMW zijn, de POD MI neemt enkel de OCMW’s ten laste. Uitzonderlijk en in afwachting van verduidelijking rond deze situatie mogen bepaalde welzijnsverenigingen , die geen OCMW’s zijn, eveneens hun DPO bekend maken bij de POD MI en zij moeten dus hun KBO-nummer gebruiken.
- Pagina 2: Wanneer de naam en de voornaam van de DPO moeten worden ingevuld. Wanneer de DPO een rechtspersoon is, moet het veld “naam” de naam van de onderneming bevatten en het veld “voornaam” moet het woord “rechtspersoon” bevatten, zoals bij de verklaring aan de GBA.
- Pagina 2: Het gemiddelde aantal uren dat per week wordt besteed, is een gemiddelde schatting. De POD MI verwacht minstens 2 uren/week voor een klein OCMW en 4 uren/week voor een groot.
- Pagina 2: Opgelet voor eventuele bevoegdheidsconflicten voor de andere functies, een DPO mag geen leidende functie uitoefenen voor een post waarbij persoonsgegevens worden behandeld.
- Pagina 3: De competenties kunnen verworven worden door andere personen dan de DPO in de instelling. De kolom “Toelichting” moet enkel worden ingevuld wanneer het antwoord “neen” is.
- Pagina 4: Het document moet ondertekend worden, bij voorkeur via de eID, door de DPO en door de werkingsverantwoordelijke, de directeur-generaal of de voorzitter. Wanneer de DPO een rechtspersoon is, moet de wettelijke vertegenwoordiger van de onderneming ondertekenen als DPO.
- Pagina 5: De pagina moet ondertekend worden door de DPO (of zijn wettelijke vertegenwoordiger), door de verwerkingsverantwoordelijke en eventueel door de lokale beheerder, enkel wanneer de DPO de functie van lokale beheerder niet uitoefent.
4. Andere kennisgevingen
Het OCMW moet de KSZ geen kennisgeving sturen. Het is de taak van de POD MI om de aanduiding van de DPO ter kennis te brengen van de KSZ.
Bepaalde lokale overheden eisen eveneens een kennisgeving van de DPO. Deze kennisgevingen moeten gebeuren naast die van de GBA en van de POD MI.
5. Afwezigheid van de DPO
Gedurende de tijdelijke of verlengde afwezigheid van de DPO moet ondanks alles aan de vereisten van de AVG worden voldaan. Een andere persoon, van wie de competenties het meest aanleunen bij die van de DPO, kan tijdelijk de activiteiten van de DPO overnemen tijdens zijn afwezigheid. Een kennisgeving aan de GBA en aan de POD MI is in dit geval niet nodig. De aanduiding van een adjunct DPO is eveneens een oplossing.
Om ervoor te zorgen dat een vervanger van de DPO toegang heeft tot de aanvragen van de betrokken personen, tot de informatieaanvragen en tot de correspondentie met de GBA, zou het emailadres van de DPO (bekend gemaakt aan de GB) een functioneel adres moeten zijn (niet op naam).
© Copyright POD Maatschappelijke Integratie, Armoedebestrijding, Sociale Economie en Grootstedenbeleid