Sinds de publicatie van de Algemene Verordening Gegevensbescherming in 2018 was er veel verwachting over de regelgeving met betrekking tot de rol van de Functionaris voor Gegevensbescherming (de beroemde "DPO"). De norm werd uiteindelijk gepubliceerd in juli 2024 door de Nationale Autoriteit voor Gegevensbescherming – ANPD (Resolutie CD/ANPD nº 18, van 16 juli 2024), met zeer belangrijke punten over de aanstelling van de functionaris, zijn plichten en wettelijke bevoegdheden, en over belangenconflicten.
In eerste instantie moeten we ons herinneren dat de aanstelling van een Functionaris voor Gegevensbescherming (FG) niet verplicht is voor microbedrijven, kleine ondernemingen enstartupsde zogenaamde "kleine verwerkingsverantwoordelijken". Echter, indien het bedrijf activiteiten met een hoog risico voor persoonsgegevens ontwikkelt (met intensief gebruik van gegevens, verwerking van gegevens die fundamentele rechten kunnen beïnvloeden, of door middel van opkomende of innovatieve technologieën – bijvoorbeeld Kunstmatige Intelligentie), moet het een Functionaris voor Gegevensbescherming (FG) aanstellen, zelfs als het als een kleine organisatie wordt beschouwd – en dit kan alleen worden vastgesteld door eenbeoordelinguitgevoerd door een gespecialiseerde juridische adviesbureau.
Voor bedrijven die verplicht zijn een Functionaris aan te stellen, zijn er verschillende aandachtspunten die in acht moeten worden genomen om aan de nieuwe regels van de ANPD te voldoen. De eerste van deze maatregelen betreft de manier waarop de Functionaris voor Gegevensbescherming (FG) wordt benoemd. Volgens de nieuwe systematiek is het verplicht dat de benoeming wordt gedaan via een schriftelijk, gedateerd en ondertekend document – een document dat aan de ANPD moet worden overgelegd indien daarom wordt gevraagd. Deze formaliteiten moeten ook worden nageleefd bij de aanwijzing van de vervanger die zal optreden bij afwezigheid van de Functionaris voor Gegevensbescherming (zoals vakantie of ziekteverlof). De aanbeveling van de ANPD is dat deze "formele handeling" bijvoorbeeld een dienstverleningsovereenkomst is (indien de Functionaris extern is voor de organisatie), maar kan ook worden gedaan door middel van een addendum bij de arbeidsovereenkomst als de Functionaris een werknemer is die onder het CLT-regime werkt.
Daarnaast moet het bedrijf "de noodzakelijke professionele kwalificaties vaststellen voor het uitvoeren van de taken van de verantwoordelijke", wat ook wordt aanbevolen te gebeuren via een formeel besluit (zoals een intern beleid), zodat verzekerd wordt dat een persoon met voldoende kennis over gegevensbescherming en informatiebeveiliging wordt aangesteld.
Een heel belangrijk punt van de nieuwe regelgeving, trouwens, is dat het toestaat dat de DPO zowel een natuurlijke persoon is (die deel kan uitmaken van het personeel van het bedrijf of extern daarvan) als een rechtspersoon, waarmee een twijfel wordt weggenomen over de activiteiten van gespecialiseerde bedrijven inDPO als een Dienst.
Ongeacht de juridische aard van de Functionaris voor Gegevensbescherming (FG), vereist de regel dat zijn identiteit en contactgegevens op de juiste wijze worden bekendgemaakt (bij voorkeur op de website van het bedrijf), met vermelding van de volledige naam (indien een natuurlijke persoon) of de handelsnaam en de naam van de natuurlijke persoon verantwoordelijk (in het geval van een rechtspersoon); naast minimale contactgegevens (zoals e-mail en telefoon), die het mogelijk maken om communicatie te ontvangen van betrokkenen of de AP (Autoriteit Persoonsgegevens).
Met betrekking tot de activiteiten van de Functionaris voor Gegevensbescherming (FG), bevat de norm een reeks nieuwe taken, met name om ondersteuning en advies te bieden aan het leiderschap van het bedrijf over:
I – registratie en communicatie van een beveiligingsincident;
II – registratie van de verwerkingen van persoonsgegevens;
III – rapport d'impact sur la protection des données personnelles
IV – interne mechanismen voor toezicht en risicobeperking met betrekking tot de verwerking van persoonsgegevens;
V – beveiligingsmaatregelen, technisch en administratief, geschikt om de persoonsgegevens te beschermen tegen ongeautoriseerde toegang en tegen accidentele of onrechtmatige situaties van vernietiging, verlies, wijziging, communicatie of enige andere vorm van ongeschikte of onrechtmatige verwerking;
VI – interne processen en beleidslijnen die zorgen voor naleving van de Wet nr. 13.709, van 14 augustus 2018, en de regelgeving en richtlijnen van de ANPD;
VII – contractuele instrumenten die kwesties met betrekking tot de verwerking van persoonsgegevens regelen;
VIII – internationale gegevensoverdrachten;
IX – regels voor goede praktijken, governance en het governanceprogramma voor privacy, zoals bedoeld in art. 50 van Wet nr. 13.709, van 14 augustus 2018;
X – producten en diensten die compatibele ontwerpnormen hanteren met de principes zoals vastgelegd in de LGPD, inclusief privacy standaard en beperking van de verzameling van persoonsgegevens tot het minimum dat nodig is voor het bereiken van hun doeleinden; en
XI – andere activiteiten en strategische besluitvorming met betrekking tot de verwerking van persoonsgegevens.
Het is vastgesteld dat de verantwoordelijkheden van de DPO aanzienlijk zijn uitgebreid, zodat de keuze noodzakelijkerwijs moet vallen op een gekwalificeerde professional, en het gebruikelijke praktijk van het benoemen van een interne medewerker "om eenvoudige formaliteit" niet langer mogelijk is. Dus wordt het nog interessanter dat bedrijven de overweging maken om een externe Functionaris voor Gegevensbescherming (FG) aan te nemen, vooral wanneer er binnen hun eigen personeel geen werknemer is met de kwalificaties of beschikbaarheid voor het uitvoeren van de taken van de Functionaris.
De beschikbaarheid, trouwens, is een andere belangrijke factor om te analyseren bij de benoeming van de Functionaris voor Gegevensbescherming. De nieuwe regels vereisen dat de Verantwoordelijke elke belangenconflicten vermijdt, die kunnen ontstaan wanneer hij andere functies binnen het bedrijf uitoefent, of wanneer hij de functies van Verantwoordelijke combineert met die met betrekking tot strategische beslissingen binnen de organisatie.
Daarom wordt het altijd aanbevolen dat de Functionaris voor Gegevensbescherming zich volledig kan richten op activiteiten met betrekking tot de bescherming van persoonsgegevens (vooral wanneer er een groot volume aan persoonsgegevens door het bedrijf wordt verwerkt), om het risico op belangenconflicten zoveel mogelijk te beperken – wat kan leiden tot het opleggen van boetes of andere sancties aan het bedrijf, indien dit wordt vastgesteld door de ANPD.
Tot slot is het altijd belangrijk om te benadrukken dat, zelfs als er een functionaris voor gegevensbescherming (FG) is aangesteld, de verantwoordelijkheid voor de verwerking en bescherming van persoonsgegevens bij het bedrijf ligt, dat wil zeggen: in geval van fouten van de FG, is het de organisatie – en niet de aangewezen persoon – die aansprakelijk is voor boetes of schadevergoedingen als gevolg van verkeerd gebruik van persoonsgegevens. Dus de keuze van de Verantwoordelijke moet met grote zorg worden gedaan, bij voorkeur met de benodigde juridische ondersteuning om te waarborgen dat dit gebeurt in overeenstemming met de LGPD en de regels van de ANPD.
